CN110717525A - 一种通道自适应优化的对抗攻击防御方法和装置 - Google Patents

Abstract

本发明公开了一种通道自适应优化的对抗攻击防御方法和装置，包括：(1)挑选分类正确并攻击成功的对抗图像以及对抗图像对应的正常图像，作为样本图像；(2)对样本图像进行图像变换后得到变换图像，将变换图像输入至图像分类器中获得置信度矩阵；(3)将样本图像的通道数作为鸟巢的维度，利用二进制布谷鸟搜索算法优化通道数，以获得最优的通道个数及通道组合；(4)按照最优的通道组合对样本图像的置信度矩阵进行重组，利用重组的新置信度矩阵训练优化检测器，获得训练好的检测器；(5)将待检测图像进行图像变换后输入至分类器中，将获得的置信度矩阵输入至训练好的检测器中，经计算输出准确的检测结果，以实现对抗防御。

Description

一种通道自适应优化的对抗攻击防御方法和装置

技术领域

本发明属于人工智能领域中的深度学习算法在图像分类任务中的安全研究领域，具体涉及一种通道自适应优化的对抗攻击防御方法和装置。

背景技术

在过去十年中，深度学习飞速发展，在自然语言处理，计算机视觉，生物信息学等方面发挥了重要作用。然而，随着深度学习的广泛应用，其易受到对抗攻击的弱点不可忽视。具体表现在，可以正确分类的正常图片一旦添加小扰动生成对抗样本，将被深度学习模型错误分类。并且由于增加的干扰较小，人类肉眼无法找出其中的差别。一旦基于深度学习的系统受到威胁，人们的生命安全和财产安全可能会被危及。例如对抗样本愚弄人脸识别系统、自动驾驶车辆错误地识别路牌等，将会引起严重的安全问题。

为了更好地研究对抗攻击的原理以及对深度模型的影响，从而进一步防御对抗攻击，可以依据不同的分类原则对攻击方法进行分类。如可以依据对攻击者对模型的了解程度，将不同的攻击方式分为白盒攻击、黑盒攻击与灰盒攻击。白盒攻击中攻击者了解模型的全部属性，相反，黑盒攻击中攻击者并不了解模型的任何参数与结构；灰盒攻击则是了解模型的部分参数与结构。根据攻击的原理我们可以将攻击方法分为基于梯度的攻击方法，基于决策的攻击方法，基于分数的攻击方法以及一些其他原理的攻击方法。

对应的，对抗攻击的防御方法也在不断研究中。防御方法大致可以分为三类。1.通过修改输入数据从而破坏对抗扰动，如先对图像进行旋转等操作；2.修改模型网络结构，如防御蒸馏；3.增加外挂式对抗样本检测模型等方法，均对对抗攻击都起到了一定的防御作用。但是前两种方法容易降低原深度学习模型的分类准确率，后一种则由于目前大部分攻击方法生成的对抗样本迁移性较差，较难达到较好的检测结果。若要进一步降低攻击对深度模型的影响，规避对抗样本迁移性的弱点，则要进一步探讨。

因此，亟需一种对抗防御攻击方法实现对对抗样本的攻击防御。

发明内容

本发明的目的是提供一种通道自适应优化的对抗攻击防御方法和装置，能够依据布谷鸟二进制搜索，自动选择近似最优的通道个数和变形方式，根据选择的通道个数和变形方式重构训练样本，利用训练样本对检测器进行训练，以实现对以实现对对抗攻击的防御。

本发明的技术方案为：

一种通道自适应优化的对抗攻击防御方法，包括以下步骤：

(1)挑选分类正确并攻击成功的对抗图像以及对抗图像对应的正常图像，作为样本图像；

(2)对样本图像进行图像变换后得到变换图像，将变换图像输入至图像分类器中，输出1×n维置信度，将针对同一样本图像的m个变化图像的1×n置信度进行拼接，获得针对一个样本图像的m×n维的置信度矩阵，并标记对抗图像对应的置信度矩阵类标为0，正常图像对应的置信度矩阵类标为1；

(3)将样本图像的通道数作为鸟巢的维度，利用二进制布谷鸟搜索算法优化通道数，以获得最优的通道个数及通道组合；

(4)按照最优的通道组合对样本图像的置信度矩阵进行重组，形成新置信度矩阵，利用新置信度矩阵和对应的类标对检测器进行优化训练，训练结束后，获得能够对抗防御的检测器；

(5)应用时，将待检测图像进行图像变换后输入至分类器中，获得置信度矩阵，将获得的置信度矩阵输入至训练好的检测器中，经计算输出准确的检测结果，以实现对抗防御。

一种通道自适应优化的对抗攻击防御装置，包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序，

所述计算机存储器中存有利用上述的对抗攻击防御方法训练好的分类器和训练好的检测器，所述计算机处理器执行所述计算机程序时实现以下步骤：

将待检测图像进行图像变换，获得变换图像；

调用训练好的分类器对变换图像进行计算，输出置信度，组合成置信度矩阵；

调用练好的检测器对置信度矩阵进行计算，输出准确的检测结果，以实现对抗防御。

与现有技术相比，本发明具有的有益效果为：

本发明的对抗攻击防御方法和装置主要依据破坏攻击过程中对图像增加的扰动，降低攻击成功率。并基于二进制布谷鸟优化算法的通道优化方法，通过自动选择近似最优的通道个数和变形方式，然后根据通道组合重组置信度矩阵，利用新置信度矩阵训练对抗样本检测器，以此来提高对抗样本识别准确率同时降低检测复杂度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1是基于通道自适应优化的对抗攻击防御方法框图；

图2是二进制布谷鸟寻优算法流程图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

为了实现对对抗攻击的防御，本实施例提供了一种通道自适应优化的对抗攻击防御方法和装置，该对抗攻击防御方法和装置尤其对人脸图像能够实现效果较优秀的攻击防御。

参见图1和图2，本实施例提供的一种通道自适应优化的对抗攻击防御方法包括以下步骤：

S101，挑选分类正确并攻击成功的对抗图像以及对抗图像对应的正常图像，作为样本图像。

首先，搭建由卷积层、全连接层以及激活层组成的分类器，即CNN模型，将正常图像输入至分类器中，选择分类正确的正常图像构成数据集；

采用攻击方法对分类正确的正常图像进行攻击，并将攻击后图像输入至分类器中，分类结果为分类错误，则表示攻击成功，选择分类错误的攻击后图像作为对抗图像，将对抗图像以及对抗图像对应的正常图像作为样本图像。

本实施例中，构建的数据集记为U，大小为d×h×w×t，其中d为图像数量，h、w分别表示图像在垂直方向和水平方向的像素点个数，t为图像通道数，t一般为3，表示图像具有RGB三通道，选择任意一种攻击方法对分类正确的正常图像进行攻击，获得攻击后图像，举例可以直接在正常图像上添加扰动，获得攻击后图像，将攻击后图像输入至分类器中，分类结果为分类错误，则表示攻击成功，选择分类错误的攻击后图像作为对抗图像，将对抗图像以及对抗图像对应的正常图像作为样本图像。

S102，对样本图像进行图像变换后得到变换图像，将变换图像输入至图像分类器中，输出1×n维置信度，将针对同一样本图像的m个变化图像的1×n置信度进行拼接，获得针对一个样本图像的m×n维的置信度矩阵，并标记对抗图像对应的置信度矩阵类标为0，正常图像对应的置信度矩阵类标为1。

具体地，所述图像变换包括旋转、翻转、缩放、截切中的一种或任意几种的组合。其中，旋转不限定旋转角度，即可以对图像进行任意角度的旋转以获得变换图像。

将变换图像输入至分类器中，由于是n分类任务，所以输出维度为1×n的置信度，然后，将针对同一样本图像的m个变化图像的1×n置信度进行拼接，获得针对一个样本图像的m×n维的置信度矩阵。

S103，将样本图像的通道数作为鸟巢的维度，利用二进制布谷鸟搜索(简称BCS)算法优化通道数，以获得最优的通道个数及通道组合。

二进制布谷鸟搜索算法具有参数少、操作简单、收敛速度快等优点，能够帮助优化离散数据集，并且具有较强的全局优化能力。基于二进制布谷鸟搜索算法，可以自动选择通道及其个数，减少检测器通道优化过程的时间。

具体地，S103的具体过程包括：

S103-1，根据置信度矩阵，将每个通道按照置信度均值从高到低排序，将第i个样本图像的第j个通道数作为第i个鸟巢的第j个维度

进行初始化编码：

其中，m表示解的维度，即置信度通道数，int(·)表示取整函数，rand{0,1}表示随机取0或1，k₁表示编码的分界阈值，公式(1)表示置信度排名在前k₁％的通道编码为1，后k₁％的通道编码为0，剩余的则进行0或者1的随机编码；

具体地，编码的分界阈值k₁为15～25，本实施例中，编码的分界阈值k₁为20，即在编码时，置信度排名在前20％的通道编码为1，后20％的通道编码为0。

S103-2，为了保证新产生的解都是由优秀的个体组成，对解进行糟糕解替换，即基于概率p_a∈[0,1]淘汰不适应环境的糟糕解，并将糟糕解按照公式(2)进行替换：

其中，t表示优化次数索引，k₂表示替换编码的分界阈值，公式(2)表示置信度排名在前k₂％的通道编码为1，后k₂％的通道编码为0，剩余的保持上一次的编码值不变；

具体地，替换编码的分界阈值k₂为7～15，本实施例中，编码的分界阈值k₁为10，即在替换编码时，置信度排名在前10％的通道编码为1，后10％的通道编码为0。

S103-3，按照公式(3)进行鸟巢位置更新：

其中，Sig(·)表示sigmoid函数，Avg(·)表示所有通道的置信度矩阵CMD的平均值，

其中Levy(λ)～u＝s^-λ表示服从当前迭代次数s的随机分布，Levy(λ)指莱维随机路径，用于随机数的生成，表明鸟巢位置的移动与更新，λ∈(1,3]，α＞0表示步长尺度缩放因子；

S103-4，定义二进制布谷鸟搜索算法的适应度函数fitness(net_i)为：

fitness(net_i)＝F1(net_i)+ξ×ChannelNumber(net_i) (4)

其中，F1(net_i)表示第i个解net_i所选择的通道组合实现的F1测度值，F1的计算公式如下所示：F1＝2×(P×R)/(P+R)，其中R为召回率，P为精确率，ChannelNumber(net_i)表示第i个解net_i所选的通道个数，ξ是一个概率参数，它的大小一般取小数，如0.01、0.05等，具体取值根据ChannelNumber(net_i)的值确定；

S103-5，以适应度值小于预设的阈值或达到预设迭代次数为优化截止目标，按照S103-2和S103-3进行迭代优化，获得最优解，对最优解进行解码获得最优的通道个数以及通道组合。

具体地，先定义以下参数，鸟巢个数、维度，迭代次数，概率参数ξ，缩放因子α，全局适应度值globalfit，最小适应度minfit、索引minIndex。

迭代过程中，通过莱维飞行随机取一个鸟巢(即置信度矩阵)后，计算F1(net_i)，接着计算评估适应度函数fitness(net_i)，假如说新的值大于旧的值，即minfit＞globalfit则产生新的鸟巢，抛弃(上一个糟糕解)。迭代进行，排列找出当前最佳解

若达到糟糕迭代次数则输出最优通道组合；若未达到，则继续用莱维飞行随机取一鸟巢F1(net_i)，开始继续迭代。

S104，按照最优的通道组合对样本图像的置信度矩阵进行重组，形成新置信度矩阵，利用新置信度矩阵和对应的类标对检测器进行优化训练，训练结束后，获得能够对抗防御的检测器。

本实施例中，检测器的输入尺寸与置信度矩阵相同，由输入层、中间层以及输出层组成，中间层为全连接层，输出层是经过sigmoid激活的二分类结果，可检测出对抗图像。

在构建好检测器中，需要训练检测器，即按照最优的通道组合，将样本图像的置信度矩阵中的元素值进行重新排列，形成新置信度矩阵；

将新置信度矩阵组成数据集，并随机从数据集中选取70％作为训练集，30％作为测试集，利用训练集对检测器进行训练，利用测试集对检测器进行检测，获得训练好的检测器。

在对检测器进行训练时，以二分类结果的交叉熵作为损失函数Loss：

其中，N_sam表示训练样本数目，AED(·)表示检测器AED的输出置信度，

表示输入的置信度数据集。

S105，应用时，将待检测图像进行图像变换后输入至分类器中，获得置信度矩阵，将获得的置信度矩阵输入至训练好的检测器中，经计算输出准确的检测结果，以实现对抗防御。

本实施例还提供了一种通道自适应优化的对抗攻击防御装置，包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序，

计算机存储器中存有上述对抗攻击防御方法训练好的分类器和训练好的检测器，计算机处理器执行所述计算机程序时实现以下步骤：

将待检测图像进行图像变换，获得变换图像；

调用训练好的分类器对变换图像进行计算，输出置信度，组合成置信度矩阵；

调用练好的检测器对置信度矩阵进行计算，输出准确的检测结果，以实现对抗防御。

实际应用中，计算机存储器可以为易失性存储器，如RAM，还可以是失性存储器，如ROM，FLASH，软盘，机械硬盘等，还可以是存储云。计算机处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)，即可以通过这些处理器实现对待检测图像的攻击防御识别步骤。

上述对抗攻击防御方法和装置基于二进制布谷鸟优化算法的通道优化方法，通过自动选择近似最优的通道个数和变形方式，然后根据通道组合重组置信度矩阵，利用新置信度矩阵训练对抗样本检测器，以此来提高对抗样本识别准确率同时降低检测复杂度。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种通道自适应优化的对抗攻击防御方法，包括以下步骤：

(1)挑选分类正确并攻击成功的对抗图像以及对抗图像对应的正常图像，作为样本图像；

(2)对样本图像进行图像变换后得到变换图像，将变换图像输入至图像分类器中，输出1×n维置信度，将针对同一样本图像的m个变化图像的1×n置信度进行拼接，获得针对一个样本图像的m×n维的置信度矩阵，并标记对抗图像对应的置信度矩阵类标为0，正常图像对应的置信度矩阵类标为1；

(3)将样本图像的通道数作为鸟巢的维度，利用二进制布谷鸟搜索算法优化通道数，以获得最优的通道个数及通道组合；

(4)按照最优的通道组合对样本图像的置信度矩阵进行重组，形成新置信度矩阵，利用新置信度矩阵和对应的类标对检测器进行优化训练，训练结束后，获得能够对抗防御的检测器；

(5)应用时，将待检测图像进行图像变换后输入至分类器中，获得置信度矩阵，将获得的置信度矩阵输入至训练好的检测器中，经计算输出准确的检测结果，以实现对抗防御。

2.如权利要求1所述的通道自适应优化的对抗攻击防御方法，其特征在于，步骤(1)中，搭建由卷积层、全连接层以及激活层组成的分类器，将正常图像输入至分类器中，选择分类正确的正常图像构成数据集；

采用攻击方法对分类正确的正常图像进行攻击，并将攻击后图像输入至分类器中，分类结果为分类错误，则表示攻击成功，选择分类错误的攻击后图像作为对抗图像，将对抗图像以及对抗图像对应的正常图像作为样本图像。

3.如权利要求1所述的通道自适应优化的对抗攻击防御方法，其特征在于，步骤(2)中，所述图像变换包括旋转、翻转、缩放、截切中的一种或任意几种的组合。

4.如权利要求1所述的通道自适应优化的对抗攻击防御方法，其特征在于，步骤(3)的具体过程包括：

(3-1)根据置信度矩阵，将每个通道按照置信度均值从高到低排序，将第i个样本图像的第j个通道数作为第i个鸟巢的第j个维度

进行初始化编码：

其中，m表示解的维度，即置信度通道数，int(·)表示取整函数，rand{0,1}表示随机取0或1，k₁表示编码的分界阈值，公式(1)表示置信度排名在前k₁％的通道编码为1，后k₁％的通道编码为0，剩余的则进行0或者1的随机编码；

(3-2)对解进行糟糕解替换，即基于概率p_a∈[0,1]淘汰不适应环境的糟糕解，并将糟糕解按照公式(2)进行替换：

其中，t表示优化次数索引，k₂表示替换编码的分界阈值，公式(2)表示置信度排名在前k₂％的通道编码为1，后k₂％的通道编码为0，剩余的保持上一次的编码值不变；

(3-3)按照公式(3)进行鸟巢位置更新：

其中，Sig(·)表示sigmoid函数，Avg(·)表示所有通道的置信度矩阵CMD的平均值，

其中Levy(λ)～u＝s^-λ表示服从当前迭代次数s的随机分布，Levy(λ)指莱维随机路径，用于随机数的生成，表明鸟巢位置的移动与更新，λ∈(1,3]，α＞0表示步长尺度缩放因子；

(3-4)定义二进制布谷鸟搜索算法的适应度函数fitness(net_i)为：

fitness(net_i)＝F1(net_i)+ξ×ChannelNumber(net_i) (4)

其中，F1(net_i)表示第i个解net_i所选择的通道组合实现的F1测度值，F1的计算公式如下所示：F1＝2×(P×R)/(P+R)，其中R为召回率，P为精确率，ChannelNumber(net_i)表示第i个解net_i所选的通道个数，ξ的取值根据ChannelNumber(net_i)的值确定；

(3-5)以适应度值小于预设的阈值或达到预设迭代次数为优化截止目标，按照步骤(3-2)和(3-3)进行迭代优化，获得最优解，对最优解进行解码获得最优的通道个数以及通道组合。

5.如权利要求4所述的通道自适应优化的对抗攻击防御方法，其特征在于，编码的分界阈值k₁为15～25，替换编码的分界阈值k₂为7～15。

6.如权利要求4所述的通道自适应优化的对抗攻击防御方法，其特征在于，编码的分界阈值k₁为20，替换编码的分界阈值k₂为10。

7.如权利要求4所述的通道自适应优化的对抗攻击防御方法，其特征在于，所述检测器的输入尺寸与置信度矩阵相同，由输入层、中间层以及输出层组成，中间层为全连接层，输出层是经过sigmoid激活的二分类结果。

8.如权利要求4所述的通道自适应优化的对抗攻击防御方法，其特征在于，步骤(4)中，按照最优的通道组合，将样本图像的置信度矩阵中的元素值进行重新排列，形成新置信度矩阵；

在对检测器进行训练时，以二分类结果的交叉熵作为损失函数Loss：

其中，N_sam表示训练样本数目，AED(·)表示检测器AED的输出置信度，x_i ^AE-CMD表示输入的置信度数据集。

9.一种通道自适应优化的对抗攻击防御装置，包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序，其特征在于，

所述计算机存储器中存有利用权利要求1～8任一项所述的对抗攻击防御方法训练好的分类器和训练好的检测器，所述计算机处理器执行所述计算机程序时实现以下步骤：

将待检测图像进行图像变换，获得变换图像；

调用训练好的分类器对变换图像进行计算，输出置信度，组合成置信度矩阵；

调用练好的检测器对置信度矩阵进行计算，输出准确的检测结果，以实现对抗防御。

Images