CN110768971A

CN110768971A - 适用于人工智能系统的对抗样本快速预警方法及系统

Info

Publication number: CN110768971A
Application number: CN201910983260.8A
Authority: CN
Inventors: 伍军; 李高磊; 徐传华; 张威
Original assignee: Zhejiang Haining Yiquan'an Network Technology Co Ltd
Current assignee: Zhejiang Haining Yiquan'an Network Technology Co Ltd
Priority date: 2019-10-16
Filing date: 2019-10-16
Publication date: 2020-02-07
Anticipated expiration: 2039-10-16
Also published as: CN110768971B

Abstract

本发明提供了一种适用于人工智能系统的对抗样本快速预警方法及系统，包括：深度学习模型构造步骤：在边缘服务器中构造深度学习模型；输出标签获取步骤：获取深度学习模型输出标签信息；新样本获取步骤：采用CGAN重构与深度学习模型输出标签对应的新样本；阈值比较判定步骤：判定新样本和原始输入之间的差别是否大于给定阈值，获取新样本判定结果信息；检测结果获取步骤：将深度学习模型的数据处理与对抗样本攻击的防御控制策略解耦为数据层和控制层两个部分，获取对抗样本攻击检测结果信息；预警信息获取步骤：根据对抗样本攻击检测结果信息，获取对抗样本快速预警信息。

Description

适用于人工智能系统的对抗样本快速预警方法及系统

技术领域

本发明涉及人工智能系统预警领域，具体地，涉及一种适用于人工智能系统的对抗样本快速预警方法及系统，尤其涉及一种工业人工智能系统中分布式的对抗样本快速预警方法。

背景技术

人工智能系统在工业领域中的许多场景下都具有极高的应用价值，其通过对收集到的数据进行分析，可以独立完成诸如表面缺陷检测，产品自动分拣甚至是流水线状态监控与调度等复杂的工业任务，进而降低大量的人力劳动成本提高生产效率。此外，对于某些不适合人工作业的危险环境，人工智能系统的应用可以减少安全事故的发生，保障工人的人身安全。近年来，深度学习的发展使得人工智能系统的可靠性在许多方面有了大幅度提升，如更精确的视觉检测技术和故障预测能力，进而使其具有了更高的应用价值，受到了工业界的广泛关注。考虑到许多工业应用场景对低时延以及保密性的需求，深度学习模型往往需要部署在本地进行数据处理。然而，在通常情况下，本地并不具备运行深度学习模型所需的计算资源，这使得工业人工智能系统的实际性能受到了限制。为解决这一问题，工业界与学术界提出了边缘计算的概念，其通过整合网络边缘的计算资源，如：路由器，基站，网关，移动设备和边缘服务器等，在数据源所在位置提供复杂的计算服务。相较于传统的云计算，在边缘计算中，数据可以在本地进行处理，因此避免了远程网络传输所带来的延时开销，缩短了服务的响应时间。此外，边缘计算使得敏感数据不必上传到云服务器，在本地环境下，用户的隐私可以被更好地保障。因此，将边缘计算应用于工业人工智能系统是现今主流的研究方向。在另一方面，工业人工智能系统的安全性也是决定其是否被采用的关键因素之一。如前文所述，深度学习的发展使得智能系统的准确性得到了大幅度的提升，其性能已基本能够满足现今工业场景的需求。但是，人工智能的安全性却仍是一个尚未解决的难题，严重阻碍了工业系统的智能化。对抗样本攻击是目前为止最具威胁性的一种针对深度学习模型的攻击方法，其在2015年由Ian Goodfellow提出，其攻击方式为对原始的样本添加特定的扰动，使得深度学习模型对原始样本做出错误的预测。常见的攻击方式包括：快速梯度攻击，雅克比映射攻击，深度欺骗攻击以及边界攻击。工业人工智能的发展将深度学习模型引入了工业界的同时也增加了由于对抗样本攻击而产生的安全隐患。如，在半导体产业中，供应商可以通过深度学习模型来识别电路板上的电子元件的类型。通过对抗样本攻击，攻击者可以干扰模型的预测结果，使模型将某一类电子元件错误识别，进而导致整个电路板的烧毁，造成严重的财产损失。因此，一个有效的针对对抗样本攻击的防御方法对于工业人工智能而言是不可或缺的。然而，工业场景复杂多变的特性为对抗样本攻击检测带来的新的挑战，其主要体现在以下三个方面：(1)工业环境的噪声会对原始样本造成干扰，进而在一定概率下会生成与对抗样本等效的输入；(2)攻击者可以以一种离散的和分布式的攻击技巧对原始样本进行干扰，使得其攻击信号很难被检测出来；(3)很多工业场景对时延非常敏感，如基于Tactile Internet的工业制造。因此，复杂的防御策略是无法被采用的。

专利文献CN109242294A公开了一种改进模糊神经网络的电力通信性能预警方法及装置，该方法包括获取步骤、模糊步骤、初始步骤、启动步骤、重复步骤、代入步骤、更新步骤、循环步骤、训练步骤、预警步骤，通过对通信网络的状态信息模糊化，构建基于模糊神经网络的故障预警自学习模型，在处理非线性、模糊性等问题上具有很大的优越性，并借用蚁群算法在解空间上全局搜索能力强、收敛速度快的优点，从而快速找到最优解，有效提高检索效率，提高设备故障预警准确率，快速高效地实现通信网络的事前预警。该专利并不能很好的适用于人工智能系统的预警中。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种适用于人工智能系统的对抗样本快速预警方法及系统。

根据本发明提供的一种适用于人工智能系统的对抗样本快速预警方法，包括：深度学习模型构造步骤：在边缘服务器中构造深度学习模型，获取深度学习模型信息；输出标签获取步骤：根据深度学习模型信息，获取深度学习模型输出标签信息；新样本获取步骤：根据深度学习模型输出标签信息，采用CGAN重构与深度学习模型输出标签对应的新样本，获取新样本信息；阈值比较判定步骤：根据新样本信息、原始输入参数，判定新样本和原始输入之间的差别是否大于给定阈值，获取新样本判定结果信息；检测结果获取步骤：将深度学习模型的数据处理与对抗样本攻击的防御控制策略解耦为数据层和控制层两个部分，获取对抗样本攻击检测结果信息；预警信息获取步骤：根据对抗样本攻击检测结果信息，获取对抗样本快速预警信息；所述数据层由所有边缘用户的深度学习模型组成；所述控制层包括：多个控制器；所述控制器同时负责多个数据层深度学习模型的对抗样本攻击检测和预警。

优选地，还包括：数据交互步骤：使用OpenExample协议管理边缘用户的深度学习模型与对抗样本检测控制器之间的数据交互。

优选地，所述检测结果获取步骤包括：深度学习模型添加步骤：在数据层由用户选定待监测的深度学习模型，然后将选定的深度学习模型添加到控制器的监测对象列表中，将深度学习模型的输入以及输出作为控制器的输入；数据层处理步骤：在进行对抗样本攻击检测时，为了满足工业场景下数据隐私保护的需求，数据层为深度学习模型的输入加入噪声并对深度学习模型的输出进行标签映射处理，使其可以在不泄露边缘用户隐私的前提下将模型的输入输出发送到位于第三方平台的控制器上，并进行对抗样本攻击检测；数据层维护步骤：为了缓解控制层的过载问题，数据层对RT表与FT表进行维护；所述FT表记录历史请求中的标签以及初始样本；所述RT表记录历史请求中的标签与生成样本来过滤冗余数据。

优选地，所述检测结果获取步骤包括：CGAN网络引入步骤：在控制层引入了CGAN网络用于根据边缘深度模型输出的标签L生成重构样本H(X)；所述CGAN网络包括：生成模型、判别模型；所述生成模型、判别模型为两个相互对抗的模型。

优选地，还包括：相似度比较步骤：使用感知哈希算法计算比较添加噪声后的工业深度学习模型的真实输入样本与CGAN网络的生成样本的相似度；移动边缘计算代理引入步骤：在控制层引入移动边缘计算代理增加系统吞吐量，使得一个控制器具有设定的计算资源来同时为一个或者多个边缘深度学习模型提供服务。

根据本发明提供地一种适用于人工智能系统的对抗样本快速预警系统，包括：深度学习模型构造模块：在边缘服务器中构造深度学习模型，获取深度学习模型信息；输出标签获取模块：根据深度学习模型信息，获取深度学习模型输出标签信息；新样本获取模块：根据深度学习模型输出标签信息，采用CGAN重构与深度学习模型输出标签对应的新样本，获取新样本信息；阈值比较判定模块：根据新样本信息、原始输入参数，判定新样本和原始输入之间的差别是否大于给定阈值，获取新样本判定结果信息；检测结果获取模块：将深度学习模型的数据处理与对抗样本攻击的防御控制策略解耦为数据层和控制层两个部分，获取对抗样本攻击检测结果信息；预警信息获取模块：根据对抗样本攻击检测结果信息，获取对抗样本快速预警信息；所述数据层由所有边缘用户的深度学习模型组成；所述控制层包括：多个控制器；所述控制器同时负责多个数据层深度学习模型的对抗样本攻击检测和预警。

优选地，还包括：数据交互模块：使用OpenExample协议管理边缘用户的深度学习模型与对抗样本检测控制器之间的数据交互。

优选地，所述检测结果获取模块包括：深度学习模型添加模块：在数据层由用户选定待监测的深度学习模型，然后将选定的深度学习模型添加到控制器的监测对象列表中，将深度学习模型的输入以及输出作为控制器的输入；数据层处理模块：在进行对抗样本攻击检测时，为了满足工业场景下数据隐私保护的需求，数据层为深度学习模型的输入加入噪声并对深度学习模型的输出进行标签映射处理，使其可以在不泄露边缘用户隐私的前提下将模型的输入输出发送到位于第三方平台的控制器上，并进行对抗样本攻击检测；数据层维护模块：为了缓解控制层的过载问题，数据层对RT表与FT表进行维护；所述FT表记录历史请求中的标签以及初始样本；所述RT表记录历史请求中的标签与生成样本来过滤冗余数据。

优选地，所述检测结果获取模块包括：CGAN网络引入模块：在控制层引入了CGAN网络用于根据边缘深度模型输出的标签L生成重构样本H(X)；所述CGAN网络包括：生成模型、判别模型；所述生成模型、判别模型为两个相互对抗的模型。

优选地，还包括：相似度比较模块：使用感知哈希算法计算比较添加噪声后的工业深度学习模型的真实输入样本与CGAN网络的生成样本的相似度；移动边缘计算代理引入模块：在控制层引入移动边缘计算代理增加系统吞吐量，使得一个控制器具有设定的计算资源来同时为一个或者多个边缘深度学习模型提供服务。

与现有技术相比，本发明具有如下的有益效果：

1、本发明首次融合条件生成对抗网络、移动边缘计算代理与感知哈希算法来解决工业场景中的对抗样本攻击的分布式检测问题，其首先利用生成对抗网络强大的学习能力获取边缘深度学习模型的输入特征分布进而生成重构样本，在此基础上本方法以感知哈希算法为鉴别器对对抗样本进行识别，在多种已知的攻击手段下均取得了更高的检测精度；

2、本发明提出OpenExample协议将防御策略解耦为数据层和控制层，在不增加边缘深度学习模型复杂度的前提下实现了输入数据中潜藏的对抗样本的识别；满足了工业中对超低延时的需求；

3、本发明关注了工业场景中用户的数据隐私与对抗样本攻击检测中存在的信息冗余问题，在设计中提出了隐私感知的分布式条件生成算法，提升了系统的实用性。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明的方法流程示意图。

图2为本发明的系统流程示意图。

图3为本发明实施例中提出的工业人工智能系统中分布式的对抗样本快速预警方法的主要架构示意图。

图4为本发明实施例中多种攻击手段下对抗样本的检测精度比较示意图。

图5为本发明实施例中仿真所使用的工业场景中真实的电子元件图像数据集示意图。

图6为本发明实施例中计算方法与多种现有方法的计算成本比示意图。

图7为本发明实施例中所涉及方法的响应时延与多种现有方法的响应时延比较示意图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

如图1-7所示，根据本发明提供的一种适用于人工智能系统的对抗样本快速预警方法，包括：深度学习模型构造步骤：在边缘服务器中构造深度学习模型，获取深度学习模型信息；输出标签获取步骤：根据深度学习模型信息，获取深度学习模型输出标签信息；新样本获取步骤：根据深度学习模型输出标签信息，采用CGAN重构与深度学习模型输出标签对应的新样本，获取新样本信息；阈值比较判定步骤：根据新样本信息、原始输入参数，判定新样本和原始输入之间的差别是否大于给定阈值，获取新样本判定结果信息；检测结果获取步骤：将深度学习模型的数据处理与对抗样本攻击的防御控制策略解耦为数据层和控制层两个部分，获取对抗样本攻击检测结果信息；预警信息获取步骤：根据对抗样本攻击检测结果信息，获取对抗样本快速预警信息；所述数据层由所有边缘用户的深度学习模型组成；所述控制层包括：多个控制器；所述控制器同时负责多个数据层深度学习模型的对抗样本攻击检测和预警。

具体地，在一个实施例中，一种工业人工智能系统中分布式的对抗样本快速预警方法，其分为控制层和数据层两个部分，主要组成包括：(1)来自多个工业节点的私有深度学习模型，(2)移动边缘计算代理，(3)条件生成对抗网络以及(4)基于感知哈希算法的决策器。

工业节点的深度学习模型位于整个系统的数据层，在工业场景下，这些模型是脆弱的且容易受到攻击的不可信模型。在对抗样本检测中，深度学习模型负责为控制层提供输入特征以判别当前时刻是否存在攻击风险。以分类任务的深度学习模型为例，对于一批工业输入样本：

x＝(x₁,x₂,...,x_k)

深度学习模型以最小化交叉熵损失函数：

其中，y_i为表示样本x_i是否为攻击样本的真实标签，如：0表示不是攻击样本，1表示是攻击样本，s_i表示模型对样本是否为正常样本的预测概率，取值[0,1]。

为目标完成模型的训练并得到样本的分类结果：

y＝(y₁,y₂,...,y_k)

为检测输入中是否存在潜藏的对抗样本，深度学习模型将脱敏后原始输入x与预测结果y发送到控制层。在实际场景中，数据层中包含深度学习模型的工业节点数目庞大，因此，多个深度学习模型会共享一个控制层检测节点的预警服务，其分组划分标准由物理位置决定。

本方法引入条件生成对抗网络来对潜藏的对抗样本攻击进行检测，该网络包含一个生成模型G，一个判别模型D以及一个输入条件p。在系统构建阶段，条件生成对抗网络中的生成模型会针对真实的工业样本学习其特征分布规律，并依据该规律输出重构样本x′，判别模型则同时以真实的工业样本与生成模型输出的重构工业样本为输出，其输出为一个概率值，训练目标为使这一概率值能够正确地指出一个样本是真实的还是重构的。条件生成对抗网络的优化是一个博弈问题，其最终目标为使得生成模型输出的重构工业样本无法被判别模型准确识别：

其中，P_d(x)表示训练样本分布，在本文中指正常的工业样本的特征分布，x为工业样本输入，y为条件输入，这里表示工业样本的种类(如：电子元件图像样本，金属表面图像样本等)，P_d(z)表示噪声分布，z为输入噪声，G为条件对抗网络的生成器，D为条件对抗网络的判别器。

在对抗样本检测阶段，条件生成对抗网络以数据层深度学习模型的输出结果为输入条件p并生成对应的重构样本，重构样本x′将会和深度学习模型的原始样本x，一起发送到决策器做最终判别。

本方法使用感知哈希算法作为系统的决策器，感知哈希算法通常被用于比较图片的相似性，考虑到其能够在保证速度前提下提供较高的精确度的特性，系统创新性地将感知哈希算法应用于对抗样本的判别中。首先，决策器分别计算输入的原始样本x与重构样本x′的特征指纹，然后通过比较两个样本指纹是否一致来判断当前深度学习模型的原始输入是否为对抗样本，具体方法为：

步骤0：尺寸归一化，即将输入的样本转化为相同的大小特征矩阵，去除由于样本尺寸不同带来的差异干扰。在本方法中，所有的样本的特征维度被调整为8*8，共计64个特征点。

步骤1：计算特征均值，即求出64个特征点的均值。

步骤2：二值化处理，遍历每个特征点分别与计算出的特征均值进行比较，依据比较结果将大于均值的特征点设置为1，小于均值的特征点设置为0。

步骤3：生成样本指纹，即将二值化处理后的原始样本的特征矩阵与重构样本的特征矩阵按相同的索引顺序进行扁平化处理转换为一维的01序列。

步骤4：对抗样本判别，当原始样本的特征指纹与重构样本的特征指纹一致的时候认为当前输入正常，否则认为存在对抗样本。

为满足工业场景下的用户数据隐私的需求并降低对抗样本检测任务的冗余，本方法进一步提出了一种隐私感知的分布式条件生成算法，算法首先通过添加噪声与标签映射的方式将用户私有的深度学习模型的输入输出做脱敏处理，之后算法构建了RT表与FT表用于在数据层缓存以往的对控制层的请求结果，避免重复请求带来的额外开销，具体的流程如下：

步骤0：算法首先根据当前的输入构造初始的对抗样本攻击检测请求并为每个边缘用户定义身份ID。

步骤1:边缘深度模型继续完成输入样本X的分析任务得到相应的分析结果F(X)

步骤2：算法将分析结果做标签映射，即将F(X)映射为标签L。

步骤3：在RT表检测当前标签对应的重构样本是否已在以往请求中生成，如生成则直接在RT表中取出，跳转步骤4，否则跳转步骤5。

步骤4：在FT表中查询由当前输入的(L,X)生成的检测请求是否在以往的检测过程中发送，如发送则合并请求等待检测结果返回，否则，进行输入样本的特征脱敏：

X_r＝X+R_Noise

之后发送请求，更新FT表。

其中X为原始输入样本，R_Noise为添加的噪声，X_r为添加噪声后的脱敏样本。

步骤5：向CGAN网络发送映射标签L获取重构样本，更新RT表。

为满足工业场景下对时延敏感的需求，本方法在引入边缘计算代理以提升系统吞吐量的基础上，进一步提出了负载均衡机制，其具体方法为：为整个系统设置一个负载阈值W₀，当收到新的对抗样本攻击检测请求时，控制器对其自身的负载进行评估，如负载当前超过阈值W₀，则将检测请求转发到邻近的控制器，如当前负载在阈值之下，则由其自身进行处理。

具体地，在另一个实施例中，假设对抗样本的攻击目标为工业场景中用户私有的边缘深度学习模型，我们认为攻击者已经拥有了对工业场景中的输入样本进行干扰的能力，其攻击条件包含白盒攻击与黑盒攻击。此外，假设本实例中的工业环境是建立的5G通信下的，其数据的时延通常小于5ms，因此对对抗攻击检测的实时性有较高要求。

在实际场景中，一个智能工厂通常由多个工作车间组成，其每个车间都具有独立的深度学习模型。在同一时刻，每个深度学习模型会接受大量的输入样本，而攻击者会将其生成的对抗样本混杂在其中。假设某时刻存在M个输入样本X，以二进制矩阵和输入矩阵的乘积形式表示为：

其中，x_i表示第i个输入样本，β矩阵为一个二进制矩阵，其中的每个元素只能取值0或1，

表示攻击者在第t_j时刻对样本x_i的攻击意图，1表示攻击,0表示不攻击。X为被攻击者攻击后的输入样本。

通过对输入的样本矩阵添加特定的扰动δ，可以获取对抗样本A：

其中，δ_i为对样本x_i添加的扰动因子，用于获取对抗样本。

由对抗样本的特性可知，α_i与x_i的欧几里得距离是极小的，但其深度学习模型的分类结果却具有极大差异，进而导致严重的工业安全问题。

为了能够在大规模的正常输入中准确识别出上述对抗样本，本方法引入OpenFlow的思想将防御策略解耦为数据层和控制层，如图3所示。其中数据层由各个工作车间的深度学习模型组成，这些模型自身不存在任何防御措施，具有潜在的安全隐患；本方法的控制层则由多个控制器组成负责对深度学习模型的输入X进行检测以确定其中是否存在对抗样本，其中每个控制器均具有各自的条件生成对抗网络，移动边缘计算代理以及感知哈希决策器。由于在工业场景中，边缘深度学习模型的数目远多于控制器，因此，一个控制器会与多个边缘深度学习模型相连负责其对抗样本攻击预警。

以半导体行业中的元器件识别任务为例，对某一时刻传感器采集到的图像输入样本X，深度学习模型负责检测出其所属的类别以进行组装。通常，一个芯片上会存在多种元器件，因此这是一个多分类问题。此时，攻击者的攻击方式为对传感器采集到的原始图像样本X添加扰动生成对抗样本A，之后将A输入深度学习模型从而使得元器件被误分类。本发明以一种分布式方式对此类对抗样本攻击进行了检测，其分为数据层和控制层两个阶段。

数据层负责收集每个输入的原始图像样本X以及其对应的识别标签F(x)并传入到控制层以进行对抗样本检测。考虑到工业场景下的数据隐私问题与对抗样本检测中存在的冗余请求，数据集层中引入了隐私感知的分布式条件生成算法，其具体流程为：

步骤0：生成元器件图像对抗识别请求并为每个边缘深度学习模型定义身份ID；

步骤1：使用边缘深度学习模型对输入的元器件图像做分类预测，得到真实预测标签F(x)；

步骤2：为保证数据隐私，对预测得到的真实标签做映射处理，得到脱敏标签L；

步骤3：使用标签L在RT表中查询是否已经缓存该标签的重构图像样本X′，如存在则直接取出跳转步骤4否则跳转步骤5；

步骤4：在FT表中查询当前元器件图像样本X以及标签L的对抗样本检测请求是否存在，如存在则合并请求，如不存在则对元器件输入图像添加噪声进行脱敏处理：

X_r＝X+R_Noise；

步骤5：将脱敏标签L发送到条件控制器使用条件生成对抗网络获取重构样本；

控制层负责使用数据层发送的脱敏样本X与标签L进行对抗样本检测。如图3所示，控制层中包含了条件生成对抗网络、移动边缘计算代理以及感知哈希算法。在本实例中，条件生成对抗网络会使用其生成模型学习元器件图像的原始分布特征，使用其判别模型判断一个输入图像是由传感器采集的真实图像还是由生成模型重构的，以此博弈问题为优化目标，一个充分训练的条件生成对抗网络在检测元件器图像的对抗样本时可以依据边缘深度学习模型输入的标签L生成对应的符合正常图像特征分布的重构样本，该样本会作为后续攻击检测的评判参照。控制层的移动边缘计算代理负责为控制器提供低延时的本地计算平台，使得对抗样本检测的延时控制在0.35ms以内，以避免在元器件图像的深度学习识别结果在攻击检测完成之前被发送，满足了工业领域中超低延时的需求。与此同时，移动边缘计算代理也提供了充足的计算资源，保证了控制器的吞吐量，使得一个控制器可以同时为多个边缘深度学习模型提供服务。在通信方面，移动边缘计算代理负责为元器件对抗样本攻击检测请求维护一个优先队列以及最终的检测结果的分发。此外，考虑一个大型的半导体工厂中会存在大量的边缘深度学习模型以及多个控制器，此时移动边缘计算代理除了与数据层的交互外还会负责与多个控制器之间建立通信，当某个控制器发生过载时，移动边缘计算代理会执行任务卸载将元器件图像的对抗样本检测请求发送到空闲的控制器以达到负载均衡。控制器的决策部分是由感知哈希算法实现的，其首先将原始输入的元器件图像与重构图像映射到一个向量空间中，之后通过计算其汉明距离判别当前的输入样本是否是对抗样本，其具体流程为：

步骤0：输入的原始元器件图像以及其重构样本均为一个二维信号，算法首先将图像进行缩小为8*8的矩阵以摒弃其中的高频信息，仅保留其中的轮廓特征

步骤1：计算缩小后特征矩阵的像素均值

步骤2：将缩小后的特征矩阵的每一个像素点与像素均值进行比较，大于像素均值的位置设置为0，小于的位置设置为1

步骤3：以固定的顺序将二值化的图像特征矩阵转化为一维向量得到原始样本与重构样本的特征指纹

步骤4：比较元器件原始图像与重构图像的特征指纹，如果二者一致则认为当前传感器采集到的图像样本没有受到对抗样本干扰，否则，则发出攻击预警。

本发明所提出的工业人工智能系统中分布式的对抗样本快速预警方法在多种已知的对抗样本攻击手段下均表现出了极佳的识别精度。图4为使用IBM的鲁棒性对抗工具箱完成的对抗样本检测的仿真结果，在仿真中，模拟攻击者使用了FGSM、rand FGSM以及DeepFool三种对抗样本攻击方法对预警系统进行测试。考虑到检测的准确率与哈希算法汉明距离的阈值密切相关，仿真比较了系统在使用不同阈值时检测出对抗样本进而对边缘深度学习模型提升的识别准确率。结果表明，使用本发明方法所设计系统对上述对抗样本攻击均具有显著的预警效果。

此外，考虑到工业场景中可用的计算资源是有限的，对抗样本预警方法所带来的计算成本开销是衡量其实用性的关键性指标之一。相较于多种现存的对抗样本防御策略，本发明所提出的工业人工智能系统中分布式的对抗样本快速预警方法具有最低的计算成本开销，如图5所示。在仿真中，我们使用了工业场景中真实的电子元器件图像数据集，其中包含了1000张图片，共计8个类别，如图6所示。我们选取了四种现有的对抗样本防御策略与本发明中所提出的分布式的对抗样本快速预警方法进行对比。由于本方法创新性地将防御策略解耦为数据层和控制层，无需在边缘深度学习模型中引入复杂的鲁棒性增强设计，防御的成本开销被显著削减。

随着5G在工业中的普及，实际场景中从传感器获取原始样本，到边缘深度学习模型输出预测结果，再到最终执行器收到预测结果并开始执行对应操作这一系列流水线任务通常会在几毫秒内完成。因此，实际工业场景对对抗样本检测的时延有较高的要求。相较于现存的几种对抗样本检测方法，本发明所提出的工业人工智能系统中分布式的对抗样本快速预警方法能够以最低的时延成本完成攻击检测(其引入的延时约2ms左右，远低于其他方法的20ms～60ms)，仿真结果如图7所示。

综上所述，本发明所提出的工业人工智能系统中分布式的对抗样本快速预警方法能够在保证用户隐私的前提下，为边缘深度学习模型提供低计算成本，超低延时的对抗样本精确检测。

本领域技术人员可以将本发明提供的适用于人工智能系统的对抗样本快速预警方法，理解为本发明提供的适用于人工智能系统的对抗样本快速预警系统的一个实施例。即，所述适用于人工智能系统的对抗样本快速预警系统可以通过执行所述适用于人工智能系统的对抗样本快速预警方法的步骤流程实现。

本发明首次融合条件生成对抗网络、移动边缘计算代理与感知哈希算法来解决工业场景中的对抗样本攻击的分布式检测问题，其首先利用生成对抗网络强大的学习能力获取边缘深度学习模型的输入特征分布进而生成重构样本，在此基础上本方法以感知哈希算法为鉴别器对对抗样本进行识别，在多种已知的攻击手段下均取得了更高的检测精度；本发明提出OpenExample协议将防御策略解耦为数据层和控制层，在不增加边缘深度学习模型复杂度的前提下实现了输入数据中潜藏的对抗样本的识别；满足了工业中对超低延时的需求；本发明关注了工业场景中用户的数据隐私与对抗样本攻击检测中存在的信息冗余问题，在设计中提出了隐私感知的分布式条件生成算法，提升了系统的实用性。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置、单元、单元以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置、单元、单元以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以，本发明提供的系统及其各项装置、单元、单元可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置、单元、单元也可以视为硬件部件内的结构；也可以将用于实现各种功能的装置、单元、单元视为既可以是实现方法的软件单元又可以是硬件部件内的结构。

在本申请的描述中，需要理解的是，术语“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

Claims

1.一种适用于人工智能系统的对抗样本快速预警方法，其特征在于，包括：

深度学习模型构造步骤：在边缘服务器中构造深度学习模型，获取深度学习模型信息；

输出标签获取步骤：根据深度学习模型信息，获取深度学习模型输出标签信息；

新样本获取步骤：根据深度学习模型输出标签信息，采用CGAN重构与深度学习模型输出标签对应的新样本，获取新样本信息；

阈值比较判定步骤：根据新样本信息、原始输入参数，判定新样本和原始输入之间的差别是否大于给定阈值，获取新样本判定结果信息；

检测结果获取步骤：将深度学习模型的数据处理与对抗样本攻击的防御控制策略解耦为数据层和控制层两个部分，获取对抗样本攻击检测结果信息；

预警信息获取步骤：根据对抗样本攻击检测结果信息，获取对抗样本快速预警信息；

所述数据层由所有边缘用户的深度学习模型组成；

所述控制层包括：多个控制器；

所述控制器同时负责多个数据层深度学习模型的对抗样本攻击检测和预警。

2.根据权利要求1所述的适用于人工智能系统的对抗样本快速预警方法，其特征在于，还包括：

数据交互步骤：使用OpenExample协议管理边缘用户的深度学习模型与对抗样本检测控制器之间的数据交互。

3.根据权利要求1所述的适用于人工智能系统的对抗样本快速预警方法，其特征在于，所述检测结果获取步骤包括：

深度学习模型添加步骤：在数据层由用户选定待监测的深度学习模型，然后将选定的深度学习模型添加到控制器的监测对象列表中，将深度学习模型的输入以及输出作为控制器的输入；

数据层处理步骤：在进行对抗样本攻击检测时，数据层为深度学习模型的输入加入噪声并对深度学习模型的输出进行标签映射处理，将模型的输入输出发送到位于第三方平台的控制器上，并进行对抗样本攻击检测；

数据层维护步骤：数据层对RT表与FT表进行维护；

所述FT表记录历史请求中的标签以及初始样本；

所述RT表记录历史请求中的标签与生成样本来过滤冗余数据。

4.根据权利要求1所述的适用于人工智能系统的对抗样本快速预警方法，其特征在于，所述检测结果获取步骤包括：

CGAN网络引入步骤：在控制层引入了CGAN网络用于根据边缘深度模型输出的标签L生成重构样本；

所述CGAN网络包括：生成模型、判别模型；

所述生成模型、判别模型为两个相互对抗的模型。

5.根据权利要求1所述的适用于人工智能系统的对抗样本快速预警方法，其特征在于，还包括：

相似度比较步骤：使用感知哈希算法计算比较添加噪声后的工业深度学习模型的真实输入样本与CGAN网络的生成样本的相似度；

移动边缘计算代理引入步骤：在控制层引入移动边缘计算代理增加系统吞吐量，使得一个控制器具有设定的计算资源来同时为一个或者多个边缘深度学习模型提供服务。

6.一种适用于人工智能系统的对抗样本快速预警系统，其特征在于，包括：

深度学习模型构造模块：在边缘服务器中构造深度学习模型，获取深度学习模型信息；

输出标签获取模块：根据深度学习模型信息，获取深度学习模型输出标签信息；

新样本获取模块：根据深度学习模型输出标签信息，采用CGAN重构与深度学习模型输出标签对应的新样本，获取新样本信息；

阈值比较判定模块：根据新样本信息、原始输入参数，判定新样本和原始输入之间的差别是否大于给定阈值，获取新样本判定结果信息；

检测结果获取模块：将深度学习模型的数据处理与对抗样本攻击的防御控制策略解耦为数据层和控制层两个部分，获取对抗样本攻击检测结果信息；

预警信息获取模块：根据对抗样本攻击检测结果信息，获取对抗样本快速预警信息；

所述数据层由所有边缘用户的深度学习模型组成；

所述控制层包括：多个控制器；

7.根据权利要求6所述的适用于人工智能系统的对抗样本快速预警系统，其特征在于，还包括：

数据交互模块：使用OpenExample协议管理边缘用户的深度学习模型与对抗样本检测控制器之间的数据交互。

8.根据权利要求6所述的适用于人工智能系统的对抗样本快速预警系统，其特征在于，所述检测结果获取模块包括：

深度学习模型添加模块：在数据层由用户选定待监测的深度学习模型，然后将选定的深度学习模型添加到控制器的监测对象列表中，将深度学习模型的输入以及输出作为控制器的输入；

数据层处理模块：在进行对抗样本攻击检测时，数据层为深度学习模型的输入加入噪声并对深度学习模型的输出进行标签映射处理，将模型的输入输出发送到位于第三方平台的控制器上，并进行对抗样本攻击检测；

数据层维护模块：数据层对RT表与FT表进行维护；

所述FT表记录历史请求中的标签以及初始样本；

9.根据权利要求6所述的适用于人工智能系统的对抗样本快速预警系统，其特征在于，所述检测结果获取模块包括：

CGAN网络引入模块：在控制层引入了CGAN网络用于根据边缘深度模型输出的标签L生成重构样本；

所述CGAN网络包括：生成模型、判别模型；

所述生成模型、判别模型为两个相互对抗的模型。

10.根据权利要求6所述的适用于人工智能系统的对抗样本快速预警系统，其特征在于，还包括：

相似度比较模块：使用感知哈希算法计算比较添加噪声后的工业深度学习模型的真实输入样本与CGAN网络的生成样本的相似度；

移动边缘计算代理引入模块：在控制层引入移动边缘计算代理增加系统吞吐量，使得一个控制器具有设定的计算资源来同时为一个或者多个边缘深度学习模型提供服务。