CN111598210B

CN111598210B - 面向基于人工免疫算法对抗攻击的对抗防御方法

Info

Publication number: CN111598210B
Application number: CN202010361159.1A
Authority: CN
Inventors: 陈晋音; 上官文昌; 沈诗婧
Original assignee: Zhejiang University of Technology ZJUT
Current assignee: Zhejiang University of Technology ZJUT
Priority date: 2020-04-30
Filing date: 2020-04-30
Publication date: 2023-06-02
Anticipated expiration: 2040-04-30
Also published as: CN111598210A

Abstract

本发明公开了一种面向基于人工免疫算法对抗攻击的对抗防御方法，包括以下步骤：(1)获取原始图片样本集；以原始图片样本为基础，基于人工免疫算法生成对抗样本；将原始图片样本与对抗样本合并，分为训练集和测试集；(2)利用训练集和测试集对图片分类器进行训练，获得图片识别模型；(3)利用图片识别模型对待识别图片进行识别，实现图片识别的对抗防御。本发明可以解决在面对基于人工免疫算法对抗攻击时，现有技术的防御效果较差、分类器识别准确率较低的技术问题。

Description

面向基于人工免疫算法对抗攻击的对抗防御方法

技术领域

本发明涉及对抗防御领域，尤其涉及一种面向基于人工免疫算法对抗攻击的对抗防御方法。

背景技术

最近几年，深度神经网络在很多机器学习领域获得了巨大的突破，例如：图像分类、目标识别、目标检测、语音识别、语言翻译、语音合成等领域。然而，尽管深度神经网络在这些领域获得了极大的成功，但是，最近也有大量的研究证明，即便是性能最优秀的深度神经网络，它依然能被对抗样本攻破。这一发现对一些关键的安全应用程序构成了严重威胁，例如自动汽车、生物识别和监控系统。可以简单地试想，在一个自动汽车系统中，本来应该被识别为红灯停的图片因为受到了对抗样本的攻击，被识别成了绿灯通行，那会造成多么巨大的危害。这一现象也引起了深度学习领域学者们的广泛关注。

对抗样本是由对抗攻击生成，通过精心设计人的肉眼看不到的噪声扰动，再添加到干净的样本上，可以达到欺骗深度神经网络的效果，即极大地改变深度网络的输出，并且具有很高的置信度。目前，已经有很多关于对抗攻击的著作和文献。总的来说，对抗攻击可以大致分为两类：黑盒攻击和白盒攻击。分类的依据则是基于暴露给攻击者的目标模型的相关信息。例如，在白盒攻击中，攻击者可以得到完整的深度神经网络信息，这其中主要包含神经网络的架构和内部参数。与之相反，不能直接获取神经网络的相关信息，只能通过传递给神经网络的输入和与之对应的输出的相关信息来作为攻击的途径，就是黑盒攻击。在大部分应用领域，例如图像分类、目标检测等，因为白盒攻击可以获得更丰富的信息资料，所以一般情况下，白盒攻击对比黑盒攻击经常会获得更高的攻击成功率。

目前，针对已有文献中提出的各种对抗攻击，经过大量研究和尝试，有很多的防御方法被提出，用来设计在面对对抗样本时更鲁棒的深度神经网络模型。现有的对抗防御方法主要可以分为两类。第一种是监督策略：这些策略旨在通过将被噪声破坏的输入作为训练样本或将应用不同攻击产生的对抗样本注入到深度神经网络的训练阶段中来提高模型的泛化程度。这类方法的特点是非常适合于特定的扰动模式，并且只能部分地规避由其他攻击场景(例如，具有不同的扰动分布)生成的对抗样本。第二类对抗防御方法是无监督策略：这些策略的目的是通过在损失函数中加入平滑惩罚作为正则化项来平滑决策边界，或者通过去除不必要的变量来压缩神经网络模型。这些工作是基于一个隐含的假设发展起来的，即对抗性样本的存在是由在高维度的空间中的决策边界的分段线性行为决定的，这里的决策边界主要通过梯度下降法得到。因此，如果在输入空间中处考虑稍高的扰动去跨过平滑的决策边界，那么对抗样本的有效性就会受到影响。

然而，在上述提到的方法中，在面对基于人工免疫算法的对抗攻击时，防御的效果普遍较差，分类器的识别准确率较低。

发明内容

本发明提供了一种面向基于人工免疫算法对抗攻击的对抗防御方法，以解决在面对基于人工免疫算法对抗攻击时，现有技术的防御效果较差、分类器识别准确率较低的技术问题。

本发明的具体技术方案如下：

一种面向基于人工免疫算法对抗攻击的对抗防御方法，包括以下步骤：

(1)获取原始图片样本集；以原始图片样本为基础，基于人工免疫算法生成对抗样本；将原始图片样本与对抗样本合并，分为训练集和测试集；

(2)利用训练集和测试集对图片分类器进行训练，获得图片识别模型；

(3)利用图片识别模型对待识别图片进行识别，实现图片识别的对抗防御。

所述的原始图片样本集为cifar10数据集，包括60000张图片样本。

以原始图片样本为基础，基于人工免疫算法生成对抗样本，包括以下步骤：

(i)在每个原始图片样本上随机添加扰动块，构成N个不同的扰动样本，建立初始种群n₀；N为25～50；

以如下公式在原始图片样本上添加扰动块：

式中，x表示原始图片样本横坐标，y表示原始图片样本纵坐标；当m_xy等于0时，表明原始图片样本在该位置处不添加扰动，当m_xy等于1时，表明样本在该位置处添加扰动；rand()表示在区间[0，1]上服从均匀分布的随机数。

(ii)依据适应度函数计算每个扰动样本的适应度值；依据适应度值成比例地生成扰动样本的克隆体，再对每个克隆体进行变异操作，生成子样本群n₁；

所述的适应度函数为：

F＝f(x′)_y+||x′-x||₀ (4)

式中，x′为扰动样本；x为x′对应的原始图片样本；y为x的目标标签；f(x′)_y表示图片分类器将扰动样本x′识别成目标标签y的置信度；||x′-x||₀表示x′与x差的0范式，即为增加的扰动个数。

对每个克隆体进行变异操作如下式所示；

x′＝x+λ·N(0，1)·e^f* (5)

式中，x′为扰动样本；x为x′对应的原始图片样本；f*是x的适应度经0～1标准化后的值，即f*∈[0，1]；N(0，1)表示标准正太随机分布数，其中均值μ等于0，标准方差σ等于1；λ是比例常数，用于控制指数函数的衰减程度。优选的，λ取值为0.1。

(iii)将子样本群n₁与初始种群n₀合并形成新样本群n₀₁，根据样本的适应度对新样本群n₀₁中的样本进行帕累托排序，选取N个较优样本形成样本记忆集M；

根据样本的适应度对新样本群n₀₁中的样本进行帕累托排序包括：对新样本群n₀₁进行非支配排序，对所有样本进行分层；计算每层中样本的拥挤度，对同层中的样本进行排序；选择N个较优样本形成样本记忆集M。

对新样本群n₀₁进行非支配排序包括：

a)计算每个样本的被支配度N_p和支配度S_p；

支配度N_p表示个体p被种群中多少其他样本支配，支配度S_p表示样本p支配种群中样本的总数量。

b)设置i＝0，i表示层级；

c)挑出新样本群n₀₁中支配度N_p为i的个体，构成非支配样本群F_i；

d)遍历F_i中的每一个个体，在该过程中，遍历每个个体的S_p中的个体；当遍历到S_p中的某个体时，将该个体的N_p减1；F_i遍历完成后，将N_p为0的个体归入非支配样本群F_i+1；

e)i＝i+1；

f)重复步骤d)～e)，直到所有个体完成分级。

样本的拥挤度计算公式如下：

I_i＝(f_1，i+1-f_1，i-1)/(f_1max-f_1min)+(f_2，i+1-f_2，i-1)/(f_2max-f_2min) (8)

其中，I_i表示第i个样本的拥挤度；f_1，i+1表示第i+1个样本的第一个目标函数值；f_1max表示该层所有个体中，第一个目标函数能取到的最大值；f_2，i+1表示第i+1个样本的第二个目标函数值；f_2max表示该层所有个体中，第二个目标函数能取到的最大值；f_1，i-1表示第i-1个样本的第一个目标函数值；f_1min表示该层所有个体中，第一个目标函数的最小值；f_2，i-1表示第i-1个样本的第二个目标函数值；f_2min表示该层所有个体中，第二个目标函数的最小值；第一目标函数为F₁＝minf(x′)_y；第二目标函数为F₂＝||x′-x||₀。

(iv)针对样本记忆集M，计算两样本之间的相似度，若相似度小于网络抑制阈值ζ，则删除两个样本中的一个；

两样本之间的相似度用两者之间的欧氏距离表示。两样本相距越近，表明它们越相似。

(v)根据步骤(i)的方法随机生成扰动样本并引入到样本记忆集M中，引入的扰动样本数目与步骤(iv)中删除的样本数目相同；

(vi)重复步骤(ii)～(v)，直至迭代次数达到预设值，获得对抗样本集。

优选的，步骤(vi)中，迭代次数的预设值为50。

所述的图片分类器包括依次连接的两层卷积层和两层全连接层；第一层卷积层包含32个卷积核，卷积核大小为5*5，步长为2，激活函数采用relu函数；第二层卷积层包含64个卷积核，卷积核大小为5*5，步长为2，激活函数采用relu函数；第一层全连接层包含1024个神经元，激活函数采用relu函数；第二层全连接层包含10个神经元，激活函数采用softmax函数。

对所述的图片分类器进行训练时，采用的损失函数为

式中，i表示第i个样本，y为样本的标签，

表示样本被识别正确的概率。

对所述的图片分类器进行训练时，学习率设置为0.001；优化算法采用Adadelta方法；迭代次数设置为20。

与现有技术相比，本发明的有益效果为：

本发明采用人工免疫算法进行多目标优化，人工免疫算法本身具有较强的多样性，调整性，算法中的克隆和变异操作也都有助于局部优化，这使得生成的对抗样本具有较强的攻击性能。本发明使用该对抗样本进行对抗训练，使得到的模型面对对抗攻击具有较强的防御效果。

附图说明

图1为本发明的面向基于人工免疫算法的对抗攻击进行对抗防御的方法流程示意图；

图2为实施例中基于人工免疫算法生成扰动的对抗攻击流程示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细描述，需要指出的是，以下所述实施例旨在便于对本发明的理解，而对其不起任何限定作用。

如图1和图2所示，本实施例提供了一种面向基于人工免疫算法的对抗攻击进行对抗防御的方法，包括以下步骤：

1)建立数据集，数据集由两部分组成：训练集和测试集，具体过程如下：

1.1)选取cifar10数据集作为正常样本数据集，其共有两个部分，训练集和测试集，其中训练集包含50000张图片，测试集包含10000张图片。

1.2)初始化种群。在正常的图像样本上随机添加扰动块，构成N(N＝25～50)个不同的对抗样本，建立初始种群n₀，种群大小为N，种群中每个个体都是一个对抗样本。每个正常样本都生成N个对抗样本。具体添加扰动公式为：

式中，x表示样本图片横坐标，y表示样本图片纵坐标，当m_xy等于0时，表明样本在该位置处不添加扰动，反之，当m_xy等于1时，表明样本在该位置处添加扰动。rand()表示在区间[0，1]上服从均匀分布的随机数。

1.3)计算适应度函数。为成功实现基于人工免疫算法的对抗攻击，本发明考虑关于对抗攻击的两个主要因素：实现攻击和扰动大小。实现攻击是指对抗样本成功欺骗分类器。扰动大小是指在一张干净的样本中添加的扰动个数，即扰动的总数。实现对抗攻击的表达式如公式(2)所示，该式为目标函数F₁。扰动大小的表达式如公式(3)所示，该式作为目标函数F₂。以上述两个主要因素作为多目标优化的目标函数。

minf(x′)_y (2)

式中，x′表示对抗样本，y表示对抗样本未加扰动之前干净样本对应的目标标签。f表示分类器，f(x′)_y则表示分类器将对抗样本x′识别成目标y的置信度，通过最小化分类器将对抗样本识别为标签y的置信度，即可达到攻击的目的。

s＝||x′-x||₀ (3)

式中，x表示干净的样本图片。x′表示对抗样本图片。s表示对抗样本与干净样本差的0范式，即为增加的扰动个数。

以F₁和F₂两个主要因素作为参考，设计适应度函数，适应度函数具体形式如公式(4)：

F＝f(x′)_y+||x′-x||₀ (4)

本发明中提出的适应度函数综合考虑了成功攻击和扰动的数目两个因素，以此来产生对抗样本。

1.4)克隆、变异样本

从步骤1.3)中根据适应度函数，计算得到适应度值。依据适应度值越小的样本生成的克隆体越多的规则，成比例地生成样本相应的克隆体，若总克隆体数目为N，(某个体适应度为a_m，其他个体适应度值为

则该个体的克隆体个数为/>

)，然后每个克隆体进行变异操作，得到子样本群n₁，并保留原父样本n₀。原父样本n₀即为初始种群n₀。

样本的变异操作具体如式(5)所示：

x′＝x+λ·N(0，1)·e^f* (5)

式中，x表示干净的样本图片；x′表示为变异后的样本；f*是样本x的适应度经0～1标准化后的值，即f*∈[0，1]；N(0，1)表示标准正太随机分布数，其中均值μ等于0，标准方差σ等于1；λ是比例常数(取值为0.1)，用于控制指数函数的衰减程度。从公式中可明显看出，抗体适应度越小，其变异程序越小，这样可以有利于保持局部优化解的稳定。

已知变异后抗体x″，通过公式(6)求解出样本添加扰动的概率p(x′)。

根据抗体添加扰动的概率，由式(7)判断在样本(x，y)处是否添加扰动。

1.5)生成样本记忆集

克隆与变异后的子样本群n₁与原父样本n₀组合形成新的样本群n₀₁，根据适应度进行帕累托排序，在新群体中选取N个较优样本形成样本记忆集M。个体优劣排序根据帕累托最优原则排序，其主要分为两个部分。第一部分是非支配排序：首先判断两个解的支配关系，对样本x₁计算所有的目标函数，若其值都小于或等于样本x₂相应的值时，则称样本x₁支配了样本x₂，否则x₁和x₂就是一个非支配的关系。通过非支配排序，可以对种群中的所有样本进行等级划分，同一等级的解在相同的层，等级越高的解在越靠前的层。具体步骤如下：

a)计算每个样本的被支配度N_p和支配度S_p，N_p表示个体p被种群中多少其他样本支配，S_p表示样本p支配种群中样本的总数量。

b)设置i＝0，i表示层级；

c)挑出N_p为0的个体，构成最优非支配曲面F₀。

d)遍历F_i中的每一个个体，在该过程中，遍历每个个体的S_p中的个体，当遍历到S_p中的个体时，将该个体的N_p减1。对于此时N_p为0的个体，我们将其归入非支配曲面F_i+1。

e)i＝i+1，开始进行下一等级的划分；

f)重复步骤d)和e)，直到分级完所有个体。

第二部分是拥挤度排序，这一步的目的主要是为了判定同一个层中样本的优劣程度。这里定义，若样本的拥挤度越大，则该样本越优。样本的拥挤度计算方式如下：

其中，I_i表示第i个样本的拥挤度；f_1，i+1表示第i+1个样本的第一个目标函数值；f_1max表示该层所有个体中，第一个目标函数能取到的最大值；f_2，i+1表示第i+1个样本的第二个目标函数值；f_2max表示该层所有个体中，第二个目标函数能取到的最大值；f_1，i-1表示第i-1个样本的第一个目标函数值；f_1min表示该层所有个体中，第一个目标函数的最小值；f_2，i-1表示第i-1个样本的第二个目标函数值；f_2min表示该层所有个体中，第二个目标函数的最小值。

1.6)自我识别并消灭样本

根据网络抑制阈值ζ(取值为0.01)，对记忆集M中的样本进行自我识别，精简样本群。两个样本之间的相似度用两者之间的欧氏距离表示。两样本相距越近，表明它们越相似，当两者之间的距离小于网络抑制阈值ζ时，删除其中一个样本，以精简样本群，防止某类相似样本的过度聚集，影响群体的多样性。

1.7)加入随机产生的新样本

引入随机生成的样本，生成样本方法如式(1)，引入数目等于步骤1.6)中删除的样本数目，和记忆集M形成新一代样本群C。

1.8)判断迭代次数是否达到50，没达到则回到步骤1.3)开始循环，达到则结束循环。

1.9)建立数据集，将产生的对抗样本与原cifar10数据集共同组成新的数据集。分为训练集和测试集两部分。

完整的基于人工免疫算法生成对抗样本的过程可参考图2。

2)设计损失函数

式中，i表示第i个样本，.y为样本的标签，

表示样本被识别正确的概率。

3)训练分类器

分类器共四层，前两层为卷积层，后两层为全连接层。第一层卷积层共有32个卷积核，卷积核大小为5*5，步长为2，激活函数采用relu函数。第二层卷积层包含64个卷积核，卷积核大小为5*5，步长为2，激活函数采用relu函数。第一层全连接层共有1024个神经元，激活函数采用relu函数。第二层全连接层仅10个神经元，激活函数采用softmax函数。

3.1)配置环境

本发明中，训练的全过程在一块GPU(TITAN Xp)上进行，操作系统采用Ubuntu16.04.5。深度模型框架选用tensorflow1.4.0。

3.2)设置参数

训练阶段，学习率设置为0.001，一次训练使用32张样本。迭代次数设置为20。优化算法采用Adadelta方法，损失函数使用步骤2)中提出的交叉熵损失函数。

3.3)训练模型

输入步骤1.9)中所建立数据集的训练集训练分类器。

以上所述的实施例对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的具体实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims

1.一种面向基于人工免疫算法对抗攻击的对抗防御方法，其特征在于，包括以下步骤：

(ⅰ)在每个原始图片样本上随机添加扰动块，构成N个不同的扰动样本，建立初始种群n₀；

(ⅱ)依据适应度函数计算每个扰动样本的适应度值；依据适应度值成比例地生成扰动样本的克隆体，再对每个克隆体进行变异操作，生成子样本群n₁；所述的适应度函数为：

F＝f(x′)_y+||x′-x||₀ (4)

式中，x′为扰动样本；x为x′对应的原始图片样本；y为x的目标标签；f(x′)_y表示图片分类器将扰动样本x′识别成目标标签y的置信度；||x′-x||₀表示x′与x差的0范式，即为增加的扰动个数；

(ⅲ)将子样本群n₁与初始种群n₀合并形成新样本群n₀₁，根据样本的适应度对新样本群n₀₁中的样本进行帕累托排序，选取N个较优样本形成样本记忆集M；

(ⅳ)针对样本记忆集M，计算两样本之间的相似度，若相似度小于网络抑制阈值ζ，则删除两个样本中的一个；

(ⅴ)根据步骤(ⅰ)的方法随机生成扰动样本并引入到样本记忆集M中，引入的扰动样本数目与步骤(ⅳ)中删除的样本数目相同；

(ⅵ)重复步骤(ⅱ)～(ⅴ)，直至迭代次数达到预设值，获得对抗样本集；

2.根据权利要求1所述的面向基于人工免疫算法对抗攻击的对抗防御方法，其特征在于，以如下公式在原始图片样本上添加扰动块：

式中，x表示原始图片样本横坐标，y表示原始图片样本纵坐标；当m_xy等于0时，表明原始图片样本在(x,y)位置处不添加扰动，当m_xy等于1时，表明样本在(x,y)位置处添加扰动；rand()表示在区间[0,1]上服从均匀分布的随机数。

3.根据权利要求1所述的面向基于人工免疫算法对抗攻击的对抗防御方法，其特征在于，对每个克隆体进行变异操作如下式所示；

x′＝x+λ·N(0,1)·e^f* (5)

式中，x′为扰动样本；x为x′对应的原始图片样本；f*是x的适应度经0～1标准化后的值，即f*∈[0,1]；N(0,1)表示标准正太随机分布数，其中均值μ等于0，标准方差σ等于1；λ是比例常数，用于控制指数函数的衰减程度。

4.根据权利要求1所述的面向基于人工免疫算法对抗攻击的对抗防御方法，其特征在于，根据样本的适应度对新样本群n₀₁中的样本进行帕累托排序包括：对新样本群n₀₁进行非支配排序和计算拥挤度，选择N个较优样本形成样本记忆集M。

5.根据权利要求4所述的面向基于人工免疫算法对抗攻击的对抗防御方法，其特征在于，对新样本群n₀₁进行非支配排序包括：

a)计算每个样本的被支配度N_p和支配度S_p；

b)设置i＝0，i表示层级；

d)遍历F_i中的每一个个体，在遍历F_i中的每一个个体的过程中，遍历每个个体的S_p中的个体；当遍历到S_p中的某个体N_p时，将个体N_p减1；F_i遍历完成后，将N_p为0的个体归入非支配样本群F_i+1；

e)i＝i+1；

f)重复步骤d)～e)，直到所有个体完成分级。

6.根据权利要求4所述的面向基于人工免疫算法对抗攻击的对抗防御方法，其特征在于，样本的拥挤度计算公式如下：

其中，I_i表示第i个样本的拥挤度；f_1,i+1表示第i+1个样本的第一个目标函数值；f_1max表示第i个样本所在层的所有个体中，第一个目标函数能取到的最大值；f_2,i+1表示第i+1个样本的第二个目标函数值；f_2max表示第i个样本所在层所有个体中，第二个目标函数能取到的最大值；f_1，i-1表示第i-1个样本的第一个目标函数值；f_1min表示第i个样本所在层所有个体中，第一个目标函数的最小值；f_2,i-1表示第i-1个样本的第二个目标函数值；f_2min表示第i个样本所在层所有个体中，第二个目标函数的最小值；第一目标函数为F₁＝minf(x′)_y；第二目标函数为F₂＝||x′-x||₀。

7.根据权利要求1所述的面向基于人工免疫算法对抗攻击的对抗防御方法，其特征在于，步骤(ⅳ)中，两样本之间的相似度用两者之间的欧氏距离表示。

8.根据权利要求1所述的面向基于人工免疫算法对抗攻击的对抗防御方法，其特征在于，步骤(ⅵ)中，迭代次数的预设值为50。