CN109101999B - 基于支持向量机的协神经网络可信决策方法 - Google Patents
基于支持向量机的协神经网络可信决策方法 Download PDFInfo
- Publication number
- CN109101999B CN109101999B CN201810775014.9A CN201810775014A CN109101999B CN 109101999 B CN109101999 B CN 109101999B CN 201810775014 A CN201810775014 A CN 201810775014A CN 109101999 B CN109101999 B CN 109101999B
- Authority
- CN
- China
- Prior art keywords
- neural network
- model
- training
- decision
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Abstract
本发明公开了一种基于支持向量机(SVM)的协神经网络可信决策方法,该方法分为以下步骤:首先,以尽可能高的分类准确率为准则设计并训练主神经网络(M‑NN)模型;其次,对M‑NN进行裁剪、压缩或剪枝,以较小的模型体积为准则设计和训练协神经网络(Co‑NN)模型;然后,对训练集展开像素攻击,此时,M‑NN和Co‑NN会做出与原先不同的分类结果;最后,结合训练集自身正确的标签,对M‑NN和Co‑NN的分类结果进行监督学习、训练并最终生成决策SVM模型。实验结果表明,本发明可以有效地抵抗图像识别领域的某些像素攻击,显著提高神经网络的鲁棒性。
Description
技术领域
本发明属于人工智能和计算机视觉领域,涉及一种多神经网络下的决策方法,尤其涉及一种基于支持向量机(SVM)的协神经网络可信决策方法。
背景技术
神经网络(NeuralNetwork)是人工智能领域一种常见的回归和分类模型。由于其较好的预测结果,现已被广泛应用于计算机视觉、自然语言处理和深度学习等各类场景中。
一般来说,结构越复杂的神经网络虽然分类准确度更高,但占用体积也更大,训练和预测所花费的时间也越多。但是,在CIFAR-10数据集上的实验表明:复杂结构的神经网络并不意味着比精简结构的神经网络对某些神经网络攻击具有更强的抵抗性。恰恰相反,结构精简的模型在某些情况下可能会表现出更好的鲁棒性。
神经网络攻击(Attacks to Neural Network)是最近几年新兴的研究热点,指的是通过一系列的攻击算法对原始图片进行干扰,尝试“欺骗”神经网络,令其做出错误的判断,从而达到攻击的目的。常见的攻击算法有“像素攻击”(Pixel Attacks)和“对抗样本生成攻击”(Adversarial Examples Attacks)等。
与神经网络攻击相对应的是神经网络防御(Defense to Neural Network),指的是通过一系列的防御算法,使得神经网络可以抵御一定程度上的恶意攻击。目前,学术界主流的防御算法大多是针对“对抗样本生成攻击”等一些基于梯度的攻击手段,如最近的“混淆梯度”算法。相比之下,针对基于“像素攻击”的防御算法还比较少。
发明内容
本发明的目的是针对如何抵御基于像素的攻击而提供的一种基于SVM的协神经网络可信决策方法,该方法首先对原始神经网络M-NN进行精简,得到协神经网络Co-NN;然后,借助上述Co-NN的特性,分别使用两个神经网络对相同的测试用例进行预测,获得各自的模型输出结果;最后利用深度学习训练的SVM模型进行决策,结合M-NN的高识别率、Co-NN的小体积和高鲁棒性,充分发挥二者各自的优势,给出最终的识别结果,从而提高神经网络的可信度,构成可以防御一定程度攻击的可信神经网络架构。
本发明的目的是这样实现的:
一种基于支持向量机(SVM)的协神经网络(Co-NN)可信决策方法,该方法包括以下步骤:
a)Master-Neural Network(M-NN)主神经网络的训练
使用ResNet为主网络模型,以BatchNormal层+ReLU层+COV层+BatchNormal层+ReLU层+COV层为残差块(Residual Block)的主结构;输出通道(Output Channel)采用“16-32-64”三级升维方式。数据集选用CIFAR-10,其中,50000张图片作为训练数据集,10000张图片作为验证集;
b)Co-Neural Network(Co-NN)协神经网络的训练
将M-NN中的残差块主结构精简为BatchNormal层+ReLU层+COV层(在深度精简(Deeply Reduced)模式中,原M-NN中的三级(“16-32-64”)输出通道升维方式被降为二级(“8-64”)输出通道升维方式),并使用同样的数据集进行训练;
c)决策SVM模型的生成
当原始的训练集图像受到某些像素攻击时,使用M-NN和Co-NN分别对受攻击图像进行再次分类预测,无论分类结果是否变化(即是否攻击成功),将二者的输出结果作为决策SVM模型训练集的输入;再根据图像自带的正确标签,选择实际分类正确的那个神经网络模型作为决策SVM模型训练集的输出(0代表M-NN,1代表Co-NN),并据此进行监督学习,最终生成决策SVM模型;
d) 可信决策神经网络架构的验证
将已构建好的可信决策神经网络架构在测试集上进行验证:针对新的图片实施相似的图像攻击,分别用M-NN和Co-NN对被攻击的图像进行分类,当分类结果出现不一致时,结合决策SVM模型给出最后的判定。
步骤c)所述二者的输出结果指的是一个四元组【A,B,C,D】;若M-NN的分类结果是P,Co-NN的分类结果是Q,那么,A和B分别代表M-NN模型对P和Q类别预测的置信度;同理,C和D分别代表Co-NN模型对P和Q类别预测的置信度。
步骤c)所述选择实际分类正确的那个神经网络模型若为Co-NN,则将输出定为1;若为M-NN,则将输出定为0。
本发明的特点在于,通过精简M-NN残差块主结构以及减少模型的输出通道升维次数(由3降为2)获得一个抗干扰能力更强的神经网络模型Co-NN。两个神经网络协同合作,既可以保留了M-NN对原始图像的高识别率,也能以较少的空间和时间为代价,换取Co-NN对图像干扰的鲁棒性。充分结合了两个网络模型各自的特性,取长补短,优势互补。
本发明的特点在于,将两个神经网络的不同输出结果巧妙地组合在一起作为训练决策SVM模型时的特征输入,将实际分类正确的那个神经网络(如M-NN分类正确,则将输出定为0,如Co-NN分类正确,则将输出定为1)作为训练决策SVM模型时的输出。
本发明的有益效果是,通过少量的时间和空间为代价,构建一种协神经网络可信决策架构,当某些神经网络攻击发生时,此架构相较于单一的神经网络具有更强的鲁棒性和防御性,进而提高神经网络整体的可靠性以及可信度。
附图说明
图1 为本发明的流程图;
图 2-4为本发明中Co-NN生成的流程图;
图5-6为本发明中决策SVM生成的流程图。
具体实施方式
下面结合附图及具体实施例,对本发明作进一步的详细说明。实施本发明的过程、条件、试验方法等,除以下专门提及的内容之外,均为本领域的普遍知识和公知常识,本发明没有特别限制内容。
参阅图1,本发明包括:Master-Neural Network 主神经网络的训练、Co-NeuralNetwork 协神经网络的训练、决策SVM模型的生成及可信决策神经网络架构的验证步骤。下面详述各个步骤。
如图2-4所示,以残差神经网络(ResidualNeuralNetwork)为例,本发明对M-NN实施精炼、裁剪和压缩等操作,最终生成所述的Co-NN。一方面,对残差块(ResidualBlocks)进行精炼(如图2):从原先的两组——BN(Batch Normalization Layer,批规范化层)+ReLU(RecitedLinearUnit,非线性修正单元)+CONV(Convolution Layer,卷积层)缩减为一组。另一方面,本发明对神经网络的整体结构按轻度精简和深度精简两个不同粒度进行压缩。对于轻度精简(如图3),由原先的每经6个残差块后对卷积层的输出通道进行一次升维,精简为每经4个残差块后对卷积层的输出通道进行一次升维;而对于深度精简(如图4),由原先的每经6个残差块后对卷积层的输出通道进行一次升维,精简为每经3个残差块后对卷积层的输出通道进行一次升维;此外,轻度精简的升维过程总共经历了“16—32—64”三个阶段,而深度精简只有“8—64”两个阶段。实验结果表明:轻度精简后的模型体积和参数均下降了大约75%,分类准确率仅损失了3%左右;深度精简后的模型体积和参数只有原来的1/10,分类精确度也只减少了14%。
如图5-6所示,本发明提供了一种基于SVM的决策模型。所述模型包括训练和预测两个阶段。图5为SVM决策模型的训练阶段,当M-NN和Co-NN对相同的输入(同一张受干扰的图片)得出不同的输出(例如:M-NN和Co-NN两个神经网络的输出结果分别是【A0,A1,A2,A3,A4,A5,A6,A7,A8,A9】和【B0,B1,B2,B3,B4,B5,B6,B7,B8,B9】,其中A0表示M-NN认同输入图片是标签类别0的置信度)时,假设,M-NN得出的是正确的分类标签5,Co-NN得出的是错误的分类标签8,那么训练SVM模型的输入即是四元组【A5,A8,B5,B8】,输出则是0(0代表M-NN是正确的分类模型,1代表Co-NN是正确的分类模型)。本发明选取高斯核函数(RBF)作为SVM的核函数,惩罚因子C=0.8,训练样本为Cifar-10数据集中随机抽取的1000张图片。图6为SVM决策模型的预测阶段,当测试集图片遭受攻击,两个神经网络给出不同结果时,将相同格式的四元组[Ai,Aj,Bi,Bj]作为输入送入训练好的SVM模型,将SVM模型的输出(0或者1)作为最终决策结果——0代表信任M-NN,1代表信任Co-NN。
实验结果表明,本方法可以有效的抵抗某些神经网络攻击,可以降低70%的像素攻击。
Claims (2)
1.一种基于支持向量机的协神经网络可信决策方法,其特征在于,该方法包括以下步骤:
a)M-NN主神经网络的训练
使用ResNet为主网络模型,以BatchNormal层+ReLU层+COV层+BatchNormal层+ReLU层+COV层为残差块的主结构;输出通道采用三级通道升维方式;数据集选用CIFAR-10;其中,50000张图片作为训练数据集,10000张图片作为验证集;
b)Co-NN协神经网络的训练
在深度精简模式中,将M-NN中的残差块主结构精简为BatchNormal层+ReLU层+COV层;原M-NN中的三级输出通道升维方式被降为二级输出通道升维方式,并使用同样的数据集进行训练;
c)决策SVM模型的生成
当原始的训练集图像受到某些像素攻击时,使用M-NN和Co-NN分别对受攻击图像进行再次分类预测,无论分类结果是否变化即是否攻击成功,将二者的输出结果作为决策SVM模型训练集的输入;再根据图像自带的正确标签,选择实际分类正确的那个神经网络模型作为决策SVM模型训练集的输出,并据此进行监督学习,最终生成决策SVM模型;
d)可信决策神经网络架构的验证
将已构建好的可信决策神经网络架构在验证集上进行验证:针对新的图片实施相似的图像攻击,分别用M-NN和Co-NN对被攻击的图像进行分类,当分类结果出现不一致时,结合决策SVM模型给出最后的判定;其中:
步骤c)所述选择实际分类正确的那个神经网络模型若为Co-NN,则将输出定为1;若为M-NN,则将输出定为0。
2.根据权利要求1所述的方法,其特征在于,步骤c)所述二者的输出结果指的是一个四元组[A,B,C,D];若M-NN的分类结果是P,Co-NN的分类结果是Q,那么,A和B分别代表M-NN模型对P和Q类别预测的置信度;同理,C和D分别代表Co-NN模型对P和Q类别预测的置信度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810775014.9A CN109101999B (zh) | 2018-07-16 | 2018-07-16 | 基于支持向量机的协神经网络可信决策方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810775014.9A CN109101999B (zh) | 2018-07-16 | 2018-07-16 | 基于支持向量机的协神经网络可信决策方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109101999A CN109101999A (zh) | 2018-12-28 |
| CN109101999B true CN109101999B (zh) | 2021-06-25 |
Family
ID=64846597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810775014.9A Active CN109101999B (zh) | 2018-07-16 | 2018-07-16 | 基于支持向量机的协神经网络可信决策方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109101999B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110070115B (zh) * | 2019-04-04 | 2021-09-03 | 广州大学 | 一种单像素攻击样本生成方法、装置、设备及存储介质 |
| US11037025B2 (en) * | 2019-05-30 | 2021-06-15 | Baidu Usa Llc | Systems and methods for adversarially robust object detection |
| US11568282B2 (en) | 2019-09-24 | 2023-01-31 | International Business Machines Corporation | Mitigating adversarial effects in machine learning systems |
| CN111222629B (zh) * | 2019-12-31 | 2023-05-05 | 暗物智能科技(广州)有限公司 | 一种基于自适应批规范化的神经网络模型剪枝方法及系统 |
| CN111092912B (zh) * | 2019-12-31 | 2022-12-23 | 中国银行股份有限公司 | 安全防御方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105320965A (zh) * | 2015-10-23 | 2016-02-10 | 西北工业大学 | 基于深度卷积神经网络的空谱联合的高光谱图像分类方法 |
| CN105404899A (zh) * | 2015-12-02 | 2016-03-16 | 华东师范大学 | 基于多方向上下文信息和稀疏编码模型的图像分类方法 |
| CN105590297A (zh) * | 2015-12-10 | 2016-05-18 | 陕西师范大学 | 基于gf(27)有限域和双重认证的有意义(k,n)图像分存重构方法 |
| CN105956572A (zh) * | 2016-05-15 | 2016-09-21 | 北京工业大学 | 一种基于卷积神经网络的活体人脸检测方法 |
| CN107004157A (zh) * | 2015-01-22 | 2017-08-01 | 高通股份有限公司 | 模型压缩和微调 |
| CN107341506A (zh) * | 2017-06-12 | 2017-11-10 | 华南理工大学 | 一种基于多方面深度学习表达的图像情感分类方法 |
| CN107808146A (zh) * | 2017-11-17 | 2018-03-16 | 北京师范大学 | 一种多模态情感识别分类方法 |
| CN108257095A (zh) * | 2016-12-07 | 2018-07-06 | 法国艾德米亚身份与安全公司 | 用于处理图像的系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9916538B2 (en) * | 2012-09-15 | 2018-03-13 | Z Advanced Computing, Inc. | Method and system for feature detection |
-
2018
- 2018-07-16 CN CN201810775014.9A patent/CN109101999B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107004157A (zh) * | 2015-01-22 | 2017-08-01 | 高通股份有限公司 | 模型压缩和微调 |
| CN105320965A (zh) * | 2015-10-23 | 2016-02-10 | 西北工业大学 | 基于深度卷积神经网络的空谱联合的高光谱图像分类方法 |
| CN105404899A (zh) * | 2015-12-02 | 2016-03-16 | 华东师范大学 | 基于多方向上下文信息和稀疏编码模型的图像分类方法 |
| CN105590297A (zh) * | 2015-12-10 | 2016-05-18 | 陕西师范大学 | 基于gf(27)有限域和双重认证的有意义(k,n)图像分存重构方法 |
| CN105956572A (zh) * | 2016-05-15 | 2016-09-21 | 北京工业大学 | 一种基于卷积神经网络的活体人脸检测方法 |
| CN108257095A (zh) * | 2016-12-07 | 2018-07-06 | 法国艾德米亚身份与安全公司 | 用于处理图像的系统 |
| CN107341506A (zh) * | 2017-06-12 | 2017-11-10 | 华南理工大学 | 一种基于多方面深度学习表达的图像情感分类方法 |
| CN107808146A (zh) * | 2017-11-17 | 2018-03-16 | 北京师范大学 | 一种多模态情感识别分类方法 |
Non-Patent Citations (2)
| Title |
|---|
| 《A gradient-based pixel-domain attack against SVM detection of global image manipulations》;Z Chen等;《2017 IEEE Workshop on Information Forensics and Security (WIFS)》;20180125;第1-6页 * |
| 《基于神经网络和HVS的空域数字水印算法》;吴禄慎 等;《光学技术》;20160515;第42卷(第03期);第203-207页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109101999A (zh) | 2018-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109101999B (zh) | 基于支持向量机的协神经网络可信决策方法 | |
| CN111598805A (zh) | 一种基于vae-gan的对抗样本防御方法及系统 | |
| CN111462183A (zh) | 一种基于注意力机制双流网络的行为识别方法及系统 | |
| CN111126488A (zh) | 一种基于双重注意力的图像识别方法 | |
| CN112115490B (zh) | 一种基于gan的载体图像合成隐写方法 | |
| CN111476771B (zh) | 一种基于距离对抗生成网络的领域自适应方法及系统 | |
| CN111816169A (zh) | 中英语种混杂语音识别模型训练方法和装置 | |
| CN111967592A (zh) | 基于分离正负扰动生成对抗图像机器识别的方法 | |
| CN111047054A (zh) | 一种基于两阶段对抗知识迁移的对抗样例防御方法 | |
| CN112784790A (zh) | 一种基于元学习的泛化性伪造脸检测方法 | |
| CN113808165A (zh) | 面向三维目标跟踪模型的点扰动对抗攻击方法 | |
| CN112487933B (zh) | 一种基于自动化深度学习的雷达波形识别方法及系统 | |
| Guo et al. | Exposing deepfake face forgeries with guided residuals | |
| CN113450297A (zh) | 红外图像和可见光图像的融合模型构建方法及系统 | |
| Park et al. | Pseudo label rectification via co-teaching and decoupling for multisource domain adaptation in semantic segmentation | |
| Ukita et al. | Adversarial attacks and defenses using feature-space stochasticity | |
| CN116935054A (zh) | 一种基于混合-解耦训练的半监督医学图像分割方法 | |
| CN116758379A (zh) | 一种图像处理方法、装置、设备及存储介质 | |
| Zaffar et al. | Embedding space augmentation for weakly supervised learning in whole-slide images | |
| Li et al. | Defending deepfakes by saliency-aware attack | |
| CN116188439A (zh) | 一种基于身份识别概率分布的伪造换脸图像检测方法和装置 | |
| CN115952493A (zh) | 一种黑盒模型的逆向攻击方法、攻击装置以及存储介质 | |
| Bansal et al. | MetaBalance: high-performance neural networks for class-imbalanced data | |
| CN115936961A (zh) | 基于少样本对比学习网络的隐写分析方法、设备及介质 | |
| CN115495578A (zh) | 基于最大熵损失的文本预训练模型后门消除方法、系统及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |