一種基于時序深度學習網(wǎng)絡的對抗樣本檢測方法

本發(fā)明涉及人工智能安全(ai?security)、機器學習(machine?learning)、對抗樣本(adversarial?example)，尤其涉及一種基于時序深度學習網(wǎng)絡的對抗樣本檢測方法。

背景技術：

1、近年來，人工智能，尤其是深度學習在圖像分類、圖像分割、語音識別、自然語言處理等各個領域取得了顯著的進步。作為人工智能的重要領域，大模型的發(fā)展、應用與安全將成為我國把握歷史主動、占據(jù)戰(zhàn)略高地的關鍵。

2、在意識到人工智能對傳統(tǒng)領域、新興領域帶來的強大作用的同時，還必須意識到網(wǎng)絡模型面對對抗樣本攻擊時的非魯棒性，即對圖像、文本等模型輸入添加經(jīng)過精心設計的、同時對人類而言又難以察覺的微小擾動后，網(wǎng)絡模型輸出會產(chǎn)生偏差，可能導致嚴重的安全漏洞和數(shù)據(jù)失真。在重要安全領域，如自動駕駛系統(tǒng)，對抗樣本嚴重阻礙了人工智能在自動駕駛領域的應用與發(fā)展；如人臉識別系統(tǒng)，攻擊者可以通過構造對抗人臉信息偽造自己面部身份從而通過人臉識別系統(tǒng)檢測。

3、由此可見，對抗樣本的檢測、防御技術對于保證人工智能在各領域的應用與發(fā)展發(fā)揮著至關重要的作用。目前已經(jīng)有許多針對對抗樣本的防御方法被提出，包括對抗訓練、預處理防御、面向模型的防御等。對抗訓練通過在模型訓練過程中加入正確分類的“對抗樣本”，從而可以擴大模型的決策邊界，使得模型對對抗樣本有一定的抵御能力；預處理方法通常采用對模型輸入進行模糊、扭曲還原等操作，使得原始加入的擾動被破壞失效；面向模型的防御諸如模型蒸餾，降低模型對于輸入的敏感度，提高對抗樣本生成難度。

4、然而現(xiàn)有的對抗樣本防御方法，存在一些設計上的缺陷：

5、防御者會面臨計算復雜度高，重新訓練整個任務成本大、周期長等情況，會導致被防御模型效果變差等諸多問題。

6、首先現(xiàn)有的防御方法計算復雜度高，部分方法涉及到提取輸入的高維表征之后進行重建還原，會導致大量的計算開銷，在現(xiàn)實生產(chǎn)環(huán)境中是不大具有部署價值的；其次是重新訓練整個任務的成本大，部分方法要求對于受保護模型進行重新訓練或者微調，但是這類方法的成本直接與受保護模型以及受保護任務的復雜度相關，一旦復雜程度高，此類方法的訓練成本就會極大；最后，現(xiàn)有的防御方法一旦涉及到對于受保護模型的重新訓練，就有極大可能犧牲受保護模型的表現(xiàn)來提高魯棒性。

技術實現(xiàn)思路

1、本發(fā)明的目的在于針對現(xiàn)有對抗樣本檢測算法的不足，提供一種基于時序深度學習網(wǎng)絡對抗樣本檢測方法。本發(fā)明是通過以下技術方案來實現(xiàn)的：

2、本發(fā)明公開了一種基于時序深度學習網(wǎng)絡的對抗樣本檢測方法，包括以下步驟：

3、s1獲取對抗數(shù)據(jù)集：使用對抗樣本攻擊算法攻擊不同的原始數(shù)據(jù)集生成對抗樣本數(shù)據(jù)集，原始數(shù)據(jù)集為非對抗樣本數(shù)據(jù)集；

4、s2構建時序深度學習網(wǎng)絡訓練、測試數(shù)據(jù)集：通過對s1中生成的對抗樣本數(shù)據(jù)集以及非對抗樣本數(shù)據(jù)集進行特征壓縮處理，再通過維度轉換，將其構建成適合時序深度學習網(wǎng)絡的輸入格式，再將對抗樣本數(shù)據(jù)集、非對抗數(shù)據(jù)集標簽分別設置為1、0，將兩者同時劃分為時序深度學習網(wǎng)絡的訓練數(shù)據(jù)集與測試數(shù)據(jù)集兩部分；

5、s3訓練、測試用于對抗樣本檢測的時序深度學習網(wǎng)絡：使用訓練數(shù)據(jù)集及特定的損失函數(shù)訓練時序深度學習網(wǎng)絡，使用測試數(shù)據(jù)集測試時序深度學習網(wǎng)絡檢測對抗樣本的能力，得到對對抗樣本、非對抗樣本有良好檢測能力的時序深度學習網(wǎng)絡；

6、s4特征壓縮及檢測：在將新的輸入樣本經(jīng)過特征壓縮并將其轉換為適合時序網(wǎng)絡的輸入格式之后，輸入到檢測對抗樣本的時序深度學習網(wǎng)絡中，得到網(wǎng)絡對此樣本的判別結果，采用評價指標--檢測準確率來判斷檢測網(wǎng)絡的檢測效果。

7、作為進一步地改進，本發(fā)明所述的步驟s1中，對抗樣本攻擊算法采用fgsm、bim、deepfool、jsma、pgd、c&w中的任意一種。

8、作為進一步地改進，本發(fā)明所述的步驟s2中，特征壓縮處理算法采用比特深度壓縮算法：將整個圖像的原始像素值依次去掉第0到7位，構成8張圖像，進行維度擴張并拼接，從而轉換為適合時序深度學習網(wǎng)絡的輸入格式。

9、作為進一步地改進，本發(fā)明所述的步驟s3中，時序深度學習網(wǎng)絡訓練的損失函數(shù)如下：l(fθ(gsqueeze(x))，y)；

10、其中，x是輸入樣本，y是輸入樣本x的標簽，fθ是模型權重為θ時序深度學習網(wǎng)絡，l是交叉熵函數(shù)。

11、作為進一步地改進，本發(fā)明所述的評價指標--檢測準確率，是用來衡量時序深度學習網(wǎng)絡對于對抗樣本的檢測的特性：

12、

13、其中argmax函數(shù)用來選擇檢測模型輸出概率最大的類，來進行檢測輸入樣本是否是對抗樣本。

14、作為進一步地改進，本發(fā)明若生成對抗樣本采用pgd對抗攻擊算法，則設定總的干擾強度為α,迭代的總的輪數(shù)為n(則每一個步長的時候更新的擾動并對擾動的大小進行限制，裁剪到[0，1]之間，

15、

16、本發(fā)明的有益效果如下：

17、本發(fā)明的方法通過對輸入樣本進行特征壓縮并利用時序模型進行檢測來滿足檢測對抗樣本的需求，降低遭受對抗攻擊的風險，從而評估模型的魯棒性。

18、由于本發(fā)明對圖像進行不同程度的特征壓縮并拼接，訓練數(shù)據(jù)集不僅包含非對抗樣本、對抗樣本，還包含非對抗樣本與對抗樣本在不同壓縮級別后的數(shù)據(jù)，即訓練數(shù)據(jù)集包含更加豐富的數(shù)據(jù)，訓練所得的時序深度學習網(wǎng)絡能夠學習到更加豐富的知識，因此訓練所得時序深度學習網(wǎng)絡能夠更加地檢測對抗樣本與非對抗樣本；

19、由于本發(fā)明檢測對抗樣本的網(wǎng)絡采用的是時序深度學習網(wǎng)絡，而非傳統(tǒng)的非時序深度學習網(wǎng)絡，網(wǎng)絡在學習到數(shù)據(jù)集本身信息的同時，還能學習到不同壓縮級別數(shù)據(jù)之間的時序關系，訓練所得的時序深度學習網(wǎng)絡能夠學習到更加豐富的知識，因此訓練所得時序深度學習網(wǎng)絡能夠更加地檢測對抗樣本與非對抗樣本；

20、由于本發(fā)明沒有對原有網(wǎng)絡進行重訓練，而是單獨訓練一個可以即插即用的對抗樣本檢測網(wǎng)絡，因此不會出現(xiàn)原始網(wǎng)絡為了提升對抗樣本魯棒性而經(jīng)過重訓練后發(fā)送的性能改變的現(xiàn)象。

技術特征：

1.一種基于時序深度學習網(wǎng)絡的對抗樣本檢測方法，其特征在于，包括以下步驟：

2.根據(jù)權利要求1所述的基于時序深度學習網(wǎng)絡的對抗樣本檢測方法，其特征在于，所述的步驟s1中，所述的對抗樣本攻擊算法采用fgsm、bim、deepfool、jsma、pgd、c&w中的任意一種。

3.根據(jù)權利要求2所述的基于時序深度學習網(wǎng)絡的對抗樣本檢測方法，其特征在于，所述的步驟s2中，特征壓縮處理算法采用比特深度壓縮算法：將整個圖像的原始像素值依次去掉第0到7位，構成8張圖像，進行維度擴張并拼接，從而轉換為適合時序深度學習網(wǎng)絡的輸入格式。

4.根據(jù)權利要求3所述的基于時序深度學習網(wǎng)絡的對抗樣本檢測方法，其特征在于，所述的步驟s3中，時序深度學習網(wǎng)絡訓練的損失函數(shù)如下：

5.根據(jù)權利要求1或2或3或4所述的基于時序深度學習網(wǎng)絡的對抗樣本檢測方法，其特征在于，所述的評價指標--檢測準確率，是用來衡量時序深度學習網(wǎng)絡對于對抗樣本的檢測的特性：

6.根據(jù)權利要求5所述的基于時序深度學習網(wǎng)絡的對抗樣本檢測方法，其特征在于，若生成對抗樣本采用pgd對抗攻擊算法，則設定總的干擾強度為α,迭代的總的輪數(shù)為n(則每一個步長的時候更新的擾動)，并對擾動的大小進行限制，裁剪到[0,1]之間，

技術總結
本發(fā)明公開了一種基于時序深度學習網(wǎng)絡的對抗樣本檢測方法，通過對輸入樣本進行特征壓縮并利用時序模型進行檢測來滿足檢測對抗樣本的需求，降低遭受對抗攻擊的風險，從而評估模型的魯棒性。本發(fā)明對圖像進行不同程度的特征壓縮并拼接，訓練數(shù)據(jù)集不僅包含非對抗樣本、對抗樣本，還包含非對抗樣本與對抗樣本在不同壓縮級別后的數(shù)據(jù)，即訓練數(shù)據(jù)集包含更加豐富的數(shù)據(jù)，訓練所得的時序深度學習網(wǎng)絡能夠學習到更加豐富的知識，因此訓練所得時序深度學習網(wǎng)絡能夠更加地檢測對抗樣本與非對抗樣本；本發(fā)明單獨訓練一個可以即插即用的對抗樣本檢測網(wǎng)絡，因此不會出現(xiàn)原始網(wǎng)絡為了提升對抗樣本魯棒性而經(jīng)過重訓練后發(fā)送的性能改變的現(xiàn)象。

技術研發(fā)人員：楊子祺,向楚梟
受保護的技術使用者：浙江大學
技術研發(fā)日：
技術公布日：2024/10/31