[发明专利]一种程序化噪声对抗样本攻击的防御方法

说明书

本发明涉及人工智能安全技术领域，具体涉及一种程序化噪声对抗样本攻击的防御方法，包括使用训练数据集对神经网络模型进行训练，得到预训练模型；使用程序性噪声对抗样本对训练数据集进行扰动，得到扰动数据集；使用扰动数据集对得到预训练模型进行训练，得到对抗样本微调模型；在对抗样本微调模型中添加程序性造成扰动，得到噪声扰动模型，利用集成学习算法模型将噪声扰动模型与原始对抗模型结合，得到防御方法，解决了现有的对抗训练方法无法对程序性噪声对抗样本进行防御的问题。

技术领域

本发明涉及人工智能安全技术领域，尤其涉及一种程序化噪声对抗样本攻击的防御方法。

背景技术

对抗样本攻击是一种利用特定算法对神经网络输入图片进行微小扰动从而使神经网络输出产生较大改变的攻击模式。

现有的针对于对抗样本攻击的对抗训练方法将对抗样本标记为正确的标签后对网络进行重新训练，以达到防御效果。

程序性噪声对抗样本作为一种新型的对抗样本攻击方法，能够使上述现有的防御方法均失效，降低了输入图片的安全性。

发明内容

本发明的目的在于提供一种程序化噪声对抗样本攻击的防御方法，旨在解决现有的对抗训练方法无法对程序性噪声对抗样本进行防御的问题。

为实现上述目的，本发明提供了一种程序化噪声对抗样本攻击的防御方法，包括以下步骤：

S1使用训练数据集对神经网络模型进行训练，得到预训练模型；

S2使用程序性噪声对抗样本对所述训练数据集进行扰动，得到扰动数据集；

S3使用所述扰动数据集对得到预训练模型进行训练，得到对抗样本微调模型；

S4在所述对抗样本微调模型中添加程序性造成扰动，得到噪声扰动模型；

S5利用集成学习算法模型将所述噪声扰动模型与原始对抗模型结合，得到防御方法。

其中，所述使用训练数据集对神经网络模型进行训练，得到预训练模型的具体方式为：

S11对神经网络模型进行初始化，得到初始化模型；

S12通过学习率为0.001的优化器使用训练数据集对所述初始化模型进行训练，得到预训练模型。

其中，所述使用程序性噪声对抗样本对所述训练数据集进行扰动，得到扰动数据集的具体方式为：

S21设定程序性噪声函数；

S22在所述程序性噪声函数中搜索噪声参数，得到对抗样本；

S23使用所述对抗样本对所述训练数据集的任意样本进行扰动；

S24循环步骤S21至S23，直至所述训练数据集的所有样本均被扰动，得到扰动数据集。

其中，所述使用所述扰动数据集对得到预训练模型进行训练，得到对抗样本微调模型的具体方式为：

通过学习率为0.0001的优化器使用所述扰动数据集对所述优化模型进行训练，得到对抗样本微调模型。

其中，所述利用集成学习算法模型将所述噪声扰动模型与原始对抗模型结合，得到防御方法的具体方式为：

S51对原始神经网络模型进行训练，得到原始对抗模型；

S52基于所述原始对抗模型构建集成学习算法模型；

S53对所述集成学习算法模型进行训练，得到集成优化模型；

S54使用所述集成优化模型将噪声扰动模型与所述原始对抗模型结合，得到防御方法。