CN111600835A - 一种基于fgsm对抗攻击算法的检测与防御方法 - Google Patents

Abstract

本发明提供了一种基于FGSM对抗攻击算法的检测与防御方法，包括确定被攻击的原始图像样本；将原始图像样本输入网络模型，利用FGSM算法生成对抗图像样本；将原始图像样本输入到目标网络模型，训练目标识别网络；将原始图像样本和对抗图像样本输入检测模型利用DCT算法和SVM算法训练模型并进行检测；对于要进行测试的图像样本进行测试，并输出识别结果。利用FGSM算法生成对抗图像样本，调用训练预输入层的方式对测试样本进行检测，利用目标网络模型进行识别，提升针对引入扰动的了防御能力。

Description

一种基于FGSM对抗攻击算法的检测与防御方法

技术领域

本发明属于计算机领域，特别涉及一种基于FGSM对抗攻击算法的检测与防御方法。

背景技术

机器视觉领域的技术的飞速发展，越来越多的应用也落地。机器视觉的最终目的是制造机器眼睛，像人眼一样来识别这个世界的事物。而其中最核心的就是深度神经网络系统。机器视觉是深度学习发展最为迅速的方向之一。

但随着机器学习计算机视觉的发展，机器学习算法的安全性也得到了广泛的关注。在图像识别中，可以通过在原始图像中添加一些精心制作的扰动使得人眼无法感知，但却可以欺骗神经网络使得其错误分类。对抗样本的特点是寻找尽量小的扰动，而且这些扰动对于观察者来说是不可察觉的。对抗样本的这些特性，给卷积神经网络的使用带来巨大的安全隐患。目前，对抗样本攻击多用于图像识别、图像分类、视频检测等领域。对抗样本的存在，给这些应用带来了巨大的安全挑战。比如，在自动驾驶中，自动驾驶汽车的视觉系统就是利用深度神经网络来识别行人、车辆和道路标志的。如果自动驾驶系统被对抗样本所攻击，在输入中添加精心制作的对抗样本干扰将会使得神经网络驾驶系统识别错误。若左转牌被攻击导致被识别成右转指示牌，或者停止指示牌被攻击导致识别成继续行驶，将会导致巨大的生命财产安全。

发明内容

为了解决现有技术中存在的缺点和不足，本发明提供了用于提高防御性的一种基于FGSM对抗攻击算法的检测与防御方法。

为了达到上述技术目的，本发明提供了一种基于FGSM对抗攻击算法的检测与防御方法，包括：

步骤一：确定被攻击的原始图像样本；

步骤二：将原始图像样本输入网络模型，利用FGSM算法生成对抗图像样本；

步骤三：将原始图像样本输入到目标网络模型，训练目标识别网络；

步骤四：将原始图像样本和对抗图像样本输入检测模型利用DCT算法和 SVM算法训练模型并进行检测；

步骤五：对于要进行测试的图像样本进行测试，并输出识别结果。

可选的，所述步骤二包括：

收集开源的图像识别算法，在本地训练该开源识别算法的图像识别系统；

收集训练集；

确定神经网络的构造；

确定网络的损失函数；

利用FGSM算法调节图像的扰动；

利用梯度下降法训练神经网络；

分类错误且损失函数达到一定的阈值L_max，当loss≥L_max停止训练得到对应模型的参数；

利用模型生成对抗样本图像。

可选的，所述利用FGSM算法调节图像的扰动，具体包括如下步骤：

定义原始图像X、扰动η、产生扰动样本X’＝X+η；

FGSM算法生成扰动η＝εsign(▽xJ(θ,x,y))；

其中，模型参数：θ，模型输入即图像:x，结果标签:y，损失函数:J(θ,x,y)，符号函数:sign(),sign(▽xJ(θ,x,y))是描述了x点处loss函数的梯度方向，ε为在该方向上的偏移量级；

最终目的生成扰动样本使得loss函数值变大。

可选的，所述步骤三，包括：

收集开源的图像识别算法，在本地训练该开源识别算法的图像识别系统；

收集训练集；

确定神经网络模型；

确定网络的损失函数；

利用梯度下降法训练神经网络；

利用迁移学习fine-tune的方法，训练识别网络；

使得该模型对验证集的准确率达到一定的阈值M或模型迭代到一定的轮数 N，停止训练模型，保存模型的参数。

可选的，所述步骤四，包括：

构造输入层干扰修正网络；

将原始图像样本I_c和I_ρ对抗样本图像输入到预输入层干扰修正网络对应得到

将经过修正的图像与对应的输入图像作差如形式

作差的结果进行DCT变换即

确定SVM二分类器的损失函数最后将结果

到SVM二分类函数进行训练，训练过程中冻结目标网络模型的参数，只训练干扰修正模型的参数；最后得到检测对抗样本和测试样本的模型。

可选的，还包括构建检测网络的步骤，所述构建检测网络的步骤，包括：

将五个ResNet-block通过神经网络构建干扰修正网络；

利用二维DCT算法对特征进行变换，具体DCT变换的算法如下：

将进行DCT变换结果输入到SVM二分类器，SVM二分类器进行非线性优化，SVM分类器的损失函数如下：

其中，L(·)表示损失函数，l_i表示原始图像样本在目标网络中的预测值，

表示干扰图像在SVM分类网络中的预测值，θ_p表示PRN网络的参数值，b_p表示PRN网络的参数值。

可选的，还包括：

根据检测模型对所要测试的图像样本I_ρ/c进行如公式四所示的检测，

D_ρ/c＝B(I_ρ/c-R(I_ρ/c))公式四；

如果检测出该测试样本I_ρ/c是对抗样本，则将该测试样本的修正后的图像样本R(I_ρ/c)输入到目标网络模型；如果检测该测试样本I_ρ/c不是样本，则该测试样本I_ρ/c输入到目标网络模型。

本发明提供的技术方案带来的有益效果是：

利用FGSM算法生成对抗图像样本，调用训练预输入层的方式对测试样本进行检测，利用目标网络模型进行识别。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提出的一种基于FGSM对抗攻击算法的检测与防御方法的流程示意图；

图2是本申请实施例提出的一种基于FGSM对抗攻击算法的检测与防御方法的总体框架图；

图3是本申请实施例提出的FGSM生成的对抗图像样本的流程图。

具体实施方式

为使本发明的结构和优点更加清楚，下面将结合附图对本发明的结构作进一步地描述。

实施例一

本发明提供了一种基于FGSM对抗攻击算法的检测与防御方法，如图1所示，包括：

步骤一：确定被攻击的原始图像样本；

步骤二：将原始图像样本输入网络模型，利用FGSM算法生成对抗图像样本；

步骤三：将原始图像样本输入到目标网络模型，训练目标识别网络；

步骤四：将原始图像样本和对抗图像样本输入检测模型利用DCT算法和 SVM算法训练模型并进行检测；

步骤五：对于要进行测试的图像样本进行测试，并输出识别结果。

为了使本发明的目的更加清楚明了，以下结合附图对本发明进行进一步详细说明。

如图2所示，本发明提供了一种基于FGSM对抗攻击算法的检测与防御方法，整个方法包括四个主要部分：生成对抗图像样本模块、对抗图像样本的检测模块、目标网络的训练模块以及对测试图像样本的识别模块

以下针对本发明的模块和实现策略进行阐述。

生成对抗图像样本模块如图3所示，具体包括以下步骤：

(1)收集开源的图像识别算法：本发明中，用于图像检测、分类的机器学习算法，通常基于卷积神经网络CNN，包括 RCNN,AlexNet,VGGNet,ResNet,GoogLeNet等多种结构；

(2)收集训练集：本发明中，训练集包括ImageNet,Cifar-10，MNIST等通用训练集，用于对抗式生成网络进行训练，准确、清晰的训练集图像能使训练的神经网络更具有普适性和对抗性；

(3)确定神经网络的构造：本发明中构造若干种适用于不同的开源图像识别算法的神经网络，任一神经网络包括若干层神经网络和/或若干卷积层，任一卷积层包括1种或多种卷积核尺寸；

(4)确定网络的损失函数：损失函数包括对抗性图片与原图之间的差值函数及对抗性图片的分类结果与原图分类结果之间的差值函数；

(5)利用FGSM算法调节图像的扰动具体步骤为：

1)原始图像X，扰动η，产生扰动样本X’＝X+η；

2)FGSM算法生成扰动η＝εsign(▽xJ(θ,x,y))(其中，模型参数：θ，模型输入即图像:x，结果标签:y，损失函数:J(θ,x,y)，符号函数:sign(), sign(▽xJ(θ,x,y))是描述了x点处loss函数的梯度方向，ε为在该方向上的偏移量级)；

3)最终目的生成扰动样本使得loss函数值变大。

(6)利用梯度下降法训练神经网络；

(7)分类错误且损失函数达到一定的阈值L_max，当loss≥L_max时停止训练得到对应模型的参数。

(8)利用模型生成对抗样本图像。

对抗图像样本的检测模块如图2大虚线框中所示，具体包括以下步骤:

(1)将五个ResNet-block通过神经网络构建PRN(干扰修正网络)

(2)利用二维DCT算法对特征进行变换，具体DCT变换的算法如下：

(3)将进行DCT变换结果输入到SVM二分类器，SVM二分类器进行非线性优化，SVM分类器的损失函数如下：

其中，L(·)：损失函数，l_i：原始图像样本在目标网络中的预测值，

干扰图像在SVM分类网络中的预测值，θ_p：PRN网络的参数值，b_p：PRN网络的参数值。

目标网络的训练模块，具体包括以下步骤：

(1)收集开源的图像识别算法：本发明中，用于图像检测、分类的机器学习算法，通常基于卷积神经网络CNN，包括 RCNN,AlexNet,VGGNet,ResNet,GoogLeNet等多种结构；

(2)收集训练集：本发明中，训练集包括ImagenNet,Cifar-10，MNIST等通用训练集，用于对抗式生成网络进行训练，准确、清晰的训练集图像能使训练的神经网络更具有普适性和对抗性；

(3)确定神经网络模型：本发明中构造若干种适用于不同的开源图像识别算法的神经网络，任一神经网络包括若干层神经网络和/或若干卷积层，任一卷积层包括1种或多种卷积核尺寸；

(4)确定网络的损失函数：损失函数包括对抗性图片与原图之间的差值函数及对抗性图片的分类结果与原图分类结果之间的差值函数；

(5)利用梯度下降法训练神经网络；

(6)利用迁移学习fine-tune的方法，训练识别网络；

(7)使得该模型对验证集的准确率达到一定的阈值M或模型迭代到一定的轮数N，停止训练模型，保存模型的参数。

目标网络的测试模块，具体包括以下步骤：

(1)检测模型对所要测试的图像样本I_ρ/c进行检测，检测公式即 D_ρ/c＝B(I_ρ/c-R(I_ρ/c))；

(2)如果检测出该测试样本I_ρ/c是对抗样本，则将该测试样本的修正后的图像样本R(I_ρ/c)输入到目标网络模型；如果检测该测试样本I_ρ/c不是样本，则该测试样本I_ρ/c输入到目标网络模型。

上述实施例中的各个序号仅仅为了描述，不代表各部件的组装或使用过程中的先后顺序。

以上所述仅为本发明的实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于FGSM对抗攻击算法的检测与防御方法，其特征在于，该方法包括：

步骤一：确定被攻击的原始图像样本；

步骤二：将原始图像样本输入网络模型，利用FGSM算法生成对抗图像样本；

步骤三：将原始图像样本输入到目标网络模型，训练目标识别网络；

步骤四：将原始图像样本和对抗图像样本输入检测模型利用DCT算法和SVM算法训练模型并进行检测；

步骤五：对于要进行测试的图像样本进行测试，并输出识别结果。

2.如权利要求1所述的一种基于FGSM对抗攻击算法的检测与防御方法，其特征在于，所述步骤二包括：

收集开源的图像识别算法，在本地训练该开源识别算法的图像识别系统；

收集训练集；

确定神经网络的构造；

确定网络的损失函数；

利用FGSM算法调节图像的扰动；

利用梯度下降法训练神经网络；

分类错误且损失函数达到一定的阈值L_max，当loss≥L_max停止训练得到对应模型的参数；

利用模型生成对抗样本图像。

3.如权利要求2所述的一种基于FGSM对抗攻击算法的检测与防御方法，其特征在于，所述利用FGSM算法调节图像的扰动，具体包括如下步骤：

定义原始图像X、扰动η、产生扰动样本X’＝X+η；

FGSM算法生成扰动

其中，模型参数：θ，模型输入即图像:x，结果标签:y，损失函数:J(θ,x,y)，符号函数:sign(),

是描述了x点处loss函数的梯度方向，ε为在该方向上的偏移量级；

最终目的生成扰动样本使得loss函数值变大。

4.如权利要求1所述的一种基于FGSM对抗攻击算法的检测与防御方法，其特征在于，所述步骤三，包括：

收集开源的图像识别算法，在本地训练该开源识别算法的图像识别系统；

收集训练集；

确定神经网络模型；

确定网络的损失函数；

利用梯度下降法训练神经网络；

利用迁移学习fine-tune的方法，训练识别网络；

使得该模型对验证集的准确率达到一定的阈值M或模型迭代到一定的轮数N，停止训练模型，保存模型的参数。

5.如权利要求1所述的一种基于FGSM对抗攻击算法的检测与防御方法，其特征在于，所述步骤四，包括：

构造输入层干扰修正网络；

将原始图像样本I_c和I_ρ对抗样本图像输入到预输入层干扰修正网络对应得到

将经过修正的图像与对应的输入图像作差如形式

作差的结果进行DCT变换即

确定SVM二分类器的损失函数最后将结果

到SVM二分类函数进行训练，训练过程中冻结目标网络模型的参数，只训练干扰修正模型的参数；最后得到检测对抗样本和测试样本的模型。

6.如权利要求5所述的一种基于FGSM对抗攻击算法的检测与防御方法3构建检测网络，还包括构建检测网络的步骤，其特征在于，所述构建检测网络的步骤，包括：

将五个ResNet-block通过神经网络构建干扰修正网络；

利用二维DCT算法对特征进行变换，具体DCT变换的算法如下：

将进行DCT变换结果输入到SVM二分类器，SVM二分类器进行非线性优化，SVM分类器的损失函数如下：

其中，L(·)表示损失函数，l_i表示原始图像样本在目标网络中的预测值，

表示干扰图像在SVM分类网络中的预测值，θ_p表示PRN网络的参数值，b_p表示PRN网络的参数值。

7.如权利要求1至6任一项所述的一种基于FGSM对抗攻击算法的检测与防御方法，其特征在于，还包括：

根据检测模型对所要测试的图像样本I_ρ/c进行如公式四所示的检测，

D_ρ/c＝B(I_ρ/c-R(I_ρ/c))公式四；

如果检测出该测试样本I_ρ/c是对抗样本，则将该测试样本的修正后的图像样本R(I_ρ/c)输入到目标网络模型；如果检测该测试样本I_ρ/c不是样本，则该测试样本I_ρ/c输入到目标网络模型。

Images