[发明专利]一种基于FPGA的对抗攻击防御系统及方法

说明书

本发明公开了一种基于FPGA的对抗攻击防御系统及方法，基于FPGA的对抗攻击防御平台，构建基于FPGA的异构流架构，将PC端算法在不影响其防御效果的情况下移植到FPGA上，用于快速正确识别原始样本以及对抗攻击产生的对抗样本，且功耗很低，满足实际应用场景需求，提高实际应用场景安全性。

技术领域

本发明涉及图像识别安全领域，特别涉及一种基于FPGA的对抗攻击防御系统及方法。

背景技术

深度学习已经成为一种强大而高效的框架，可以应用于广泛的复杂学习问题，在日常应用中得到了广泛的应用。然而随着CNN的快速发展，其易被攻击性也随之暴露。Szegedy等人发现CNN极易受到对抗样本的攻击。对抗样本是对原始数据进行精心设计的像素级的微小修改，使得基于CNN对其输出错误的分类结果。对于图像对抗样本来说，通常添加的对抗扰动很小，人眼仍能做出正确分类，但CNN模型却不能做出正确判断。这使得大量基于深度学习的应用面临着严重的安全问题。

对抗攻击防御算法大致可分为主动防御和反应防御。主动防御的目的是提高神经网络应对对抗攻击的鲁棒性。反应防御的目的是检测对抗样本， CNN可以通过验证输入图像的属性或检测Softmax层的状态来确定模型是否受到攻击。

但目前针对对抗攻击的防御方法主要都是在CPU或GPU上实现，其功耗和延时较大，无法满足实际应用场景需求。

本发明中所提到的名词缩写解释有：CNN-卷积神经网络；SWU-滑动窗口单元；MVU-矩阵向量相乘单元；(BN_ReLU-批归一化和激活合并单元； CampU-特征参数比较单元；PE(processing Element)-运算单元；SIMD-Single Instruction Multiple Data-单指令多数据流。

发明内容

为解决以上技术问题，本发明公开一种基于FPGA的对抗攻击防御系统及方法，不仅能正确识别未添加扰动的原始样本和添加扰动的对抗样本，还能保证低功耗和低时延，更符合实际应用场景需求。

本发明公开一种基于FPGA的对抗攻击防御系统，包括图像采集模块、图像数据存储模块以及FPGA防御模块；

所述图像采集模块用于获取图像数据，并将图像数据转化为适合大小的输入特征图以供FPGA分辨；

所述图像数据存储模块用于存储输入数据以及FPGA防御模块输出的图像处理结果；

所述FPGA防御模块是基于FPGA设计高效的异构流架构，包括第一滑动窗口单元、矩阵向量相乘单元、批归一化和激活合并单元、第二滑动窗口单元和特征参数比较单元，用于加速具有防御功能的CNN模型推断的过程，正确识别未添加扰动的原始样本和添加扰动的对抗样本。

进一步地，所述第一滑动窗口单元用于将图像采集模块处理得到的输入特征图生成相应的输入特征矩阵；所述输入特征矩阵在矩阵向量相乘单元中完成输入特征矩阵与FPGA中存储的权重矩阵相乘，得到完整的输出特征矩阵；所述批归一化和激活合并单元用于将矩阵向量相乘单元处理后的输出特征矩阵进行归一化和激活处理得到输出特征参数，同时起到减少计算量以及片上缓存空间使用量的作用；批归一化和激活合并单元处理后得到的输出特征参数进入第二滑动窗口单元并按照预设的池化窗口以及步长依次输出输入特征图的每个像素数据；第二滑动窗口单元输出的像素数据在特征参数比较单元按照像素数据所在通道进行比较后，输出第二滑动窗口内的最大像素数据；特征参数比较单元依次输出最大像素数据进入矩阵向量相乘单元中，矩阵向量相乘单元最后输出图像类别。

进一步地，所述第一滑动窗口单元以像素为单位接收输入特征图参数，然后按照输入特征矩阵的顺序依次输出特征图参数。