[发明专利]一种对抗样本防御方法、系统、计算机及介质

说明书

本发明提供了一种对抗样本防御方法、系统、计算机及介质，所述方法包括获取待检测图像样本；分别采用不同的去噪方法对待检测图像样本进行去噪处理，得到对应的第一去噪样本和第二去噪样本；将待检测图像样本、第一去噪样本和第二去噪样本分别输入深度神经网络模型，得到对应的待检测样本概率向量、第一去噪样本概率向量和第二去噪样本概率向量；分别获取待检测图像样本概率向量与第一去噪样本概率向量的第一相似度、以及与第二去噪样本概率向量的第二相似度，并根据第一相似度和第二相似度，判断待检测图像样本是否为对抗样本。本发明能够简单、高效且精准的识别对抗样本及给出对应的预测类别，有效提升对抗样本的防御能力及模型的服务能力。

技术领域

本发明涉及人工智能安全技术领域，特别是涉及一种基于去噪算法的对抗样本防御方法、系统、计算机设备及存储介质。

背景技术

近年来，深度学习技术取得了重大突破，其成功应用于图像处理、自然语言处理、语音识别、医疗诊断等多个领域，且在图像分类、目标检测中，深度学习的准确率甚至超越了人类。与此同时，通过构造轻微扰动来干扰输入样本得到对抗样本，使得深度学习模型识别出错的攻击技术也成为恶意攻击者热衷研究的对象。众所周知，对抗样本的存在使得深度学习应用受到限制甚至是受到严重威胁，尤其是当其应用于安全性要求较高场景时，问题尤为突出，如，在人脸识别场景下，攻击者可以利用一些脸部伪装，来破解被攻击者的手机人脸识别系统，从而盗取被攻击者的个人隐私。那么，如何有效防御对抗样本的攻击行成为当前深度学习安全领域极具挑战性的问题。

目前，针对对抗样本的防御思路主要有以下两种：(1)完全防御，其目的是不断提高模型鲁棒性，最常用的方法是对抗训练，即在模型训练过程中不断加入对抗样本，构建鲁棒性更好的模型来防御对抗样本；(2)检测防御，大多使用混入了大量对抗样本的数据集去训练附加模型，用附加模型来检测输入样本是否为对抗样本，或通过对待检测样本进行多种图像变换处理，检测待检测样本和去噪处理后样本的预测结果是否一致识别判断对抗样本，其且只需要识别出输入样本是否为对抗样本，无须识别对抗样本本身真实的标签。

虽然，上述现有完全繁防御和检测防御方法都能在一定程度上防御对抗样本的攻击行为，但它们也存在着各自的应用缺陷：首先，完全防御的对抗训练中需要大量的对抗样本，进而极大地增加了训练时间和计算资源的消耗，且由于训练过程中只能加入由已知攻击算法产生的对抗样本的限制，导致该对抗训练防御通常只对与加入训练同类型的对抗样本有效，对其他攻击算法产生的对抗样本不具有泛化能力；其次，检测防御要么训练检测器仍旧需要提前训练大量对抗样本，耗费时间、训练效率不高，要么仅凭借去噪前后样本类别是否一致来判定样本是否为对抗样本会存在一定的误报率与漏报率，训练识别准确度不够，防御效果差。因此，亟需提供一种方法简单、训练高效且识别精准的对抗样本识别防御方法。

发明内容

本发明的目的是提供一种基于去噪算法的对抗样本防御方法，无需利用对抗样本生成算法生成大量的对抗样本来加固模型，只需对待检测图像样本进行一些去噪处理，结合待检测图像样本和去噪样本的深度神经网络预测向量之间的差异，即可简单、高效且精准的识别对抗样本及给出对应的预测类别，有效提升对抗样本的防御能力及模型的服务能力。

为了实现上述目的，有必要针对上述技术问题，提供了一种对抗样本防御方法、系统、计算机设备及存储介质。

第一方面，本发明实施例提供了一种对抗样本防御方法，所述方法包括以下步骤：

获取待检测图像样本；

分别采用不同的去噪方法对所述待检测图像样本进行去噪处理，得到对应的第一去噪样本和第二去噪样本；

将所述待检测图像样本、第一去噪样本和第二去噪样本分别输入深度神经网络模型，得到对应的待检测样本概率向量、第一去噪样本概率向量和第二去噪样本概率向量；