CN111753881A - 一种基于概念敏感性量化识别对抗攻击的防御方法 - Google Patents

Abstract

本发明公开了一种基于概念敏感性量化识别对抗攻击的防御方法，包括以下步骤：(1)生成图片样本集；(2)构建概念生成器，按类将图片样本集中的图片样本输入，获得每类图片样本所对应的最大决策影响概念；(3)将所有最大决策影响概念和噪声输入图像深度学习模型的特征提取网络，再采用二分类器进行分类，对特征提取网络进行训练；(4)将所有最大决策影响概念输入训练完成的特征提取网络，再采用图像深度学习模型的分类器进行分类，对分类器进行训练；(5)训练完成后，获得训练好的图像深度学习模型；采用训练好的图像深度学习模型对待识别图像进行识别。该方法可提高图像深度学习模型的可解释性以及识别和防御能力。

Description

一种基于概念敏感性量化识别对抗攻击的防御方法

技术领域

本发明涉及安全防御领域，尤其涉及一种基于概念敏感性量化识别对抗攻击的防御方法。

背景技术

近年来，深度学习技术凭借其强大的特征学习能力，成为目前机器学习的热点研究内容之一。随着人工智能和深度学习的发展，深度学习的相关技术在计算机视觉、自然语言处理、语音识别等多个领域取得了巨大的成功，深度学习模型也被广泛地应用到一些重要的现实任务中，如人脸识别、自动驾驶、恶意软件检测和智慧医疗分析等等。在某些场景中，深度学习模型的表现甚至超过了人类。

深度学习的核心是利用参数庞大的神经网络进行特征提取，典型的深度神经网络有卷积神经网络(CNN)、循环神经网络(RNN)和生成式对抗网络(GAN)等，卷积神经网络适用于处理图像数据，循环神经网络适用于处理时序数据。长短期记忆神经网络(LSTM)是一种时间递归神经网络，被广泛地应用于时间序列的处理。

尽管深度学习模型在许多任务中胜过人类，但是由于缺乏可解释性，其表现和应用也饱受质疑。对于普通用户而言，深度(DNN)模型如同黑盒一般，我们给它一个输入，其反馈一个决策结果，但是无法确切地知道它背后的决策依据以及它做出的决策是否可靠。而缺乏可解释性将有可能给实际任务中尤其是安全敏感任务中的许多基于DNN的现实应用带来严重的威胁。

此外，最近的研究表明，DNN本身也面临着多种安全威胁-恶意构造的对抗性样本可以轻易让DNN模型分类出错，大量的实验表明，现代的深度模型网络是非常容易受到对抗样本的攻击的。

对于图片而言，这样的扰动通常是极其微小的，从而不能被人类感知，但是这样的攻击会导致神经网络完全改变它对图片的分类结果，此外，同样的扰动可以欺骗大量不同的网络分类器，而他们针对对抗样本的脆弱性同样也缺乏可解释性。

发明内容

为了提高用于图像识别的图像深度学习模型的可解释性以及识别和防御能力，本发明提供了一种基于概念敏感性量化识别对抗攻击的防御方法。

本发明的具体技术方案如下：

一种基于概念敏感性量化识别对抗攻击的防御方法，包括以下步骤：

(1)使用生成式对抗网络生成图片样本集；所述图片样本集中包含若干类别的图片样本；

(2)构建概念生成器，按类将图片样本集中的图片样本作为概念生成器的输入，获得每类图片样本所对应的最大决策影响概念；

(3)将所有类图片样本所对应的最大决策影响概念和噪声作为特征提取网络的输入，提取的特征采用二分类器进行分类，对特征提取网络进行训练；

所述的特征提取网络为图像深度学习模型的特征提取部分；

(4)将所有类图片样本所对应的最大决策影响概念作为训练完成的特征提取网络的输入，提取的特征采用图像深度学习模型的分类器进行分类，对图像深度学习模型的分类器进行训练；

(5)对所述的特征提取网络和分类器训练完成后，获得训练好的图像深度学习模型；采用训练好的图像深度学习模型对待识别图像进行识别。

图像深度学习模型一般包括输入层、特征提取网络、分类层，其中特征提取网络和分类层是影响图像深度学习模型的鲁棒性以及对对抗样本的防御性的重要部分。

本发明通过生成式对抗网络生成大量包含同一类概念(相当于图像的某一特征)的图片样本，概念生成器能够针对不同的类别找到对该类具有最大决策影响的概念。同一类的样本对于同一概念会展现出近似的敏感性，而对抗样本则会展现出完全不同的敏感性，通过这样的方式能够区分良性样本和对抗样本，进而调整深度学习模型的特征提取网络，从而提高深度学习模型的鲁棒性以及深度模型对于对抗样本的防御性。

所述概念生成器的适应度函数为：

式中，k是一个给定的有监督学习任务的类标签，N_K表示带有该标签的所有输入；

其中h_l，k表示第k类在图像深度学习模型的第l层的表征，

是进行分类时的超平面法向量，f(x)表示分类器。

最大化所述的适应度函数，获得每类图片样本所对应的最大决策影响概念。

适应度函数用来计算定义的概念对于图像深度学习模型分类结果的重要程度，即量化概念敏感性，通过最大化适应度函数产生一个概念生成器。量化概念敏感性增加了图像深度学习模型的可解释性。

所述的噪声为高斯白噪声；高斯白噪声的功率谱密度函数为：

其中，

表示双边功率谱密度；

高斯白噪声的自相关函数为：

步骤(3)中，采用BP算法对特征提取网络进行训练，优化损失函数为交叉熵损失函数，使用adam优化器进行优化，损失函数收敛后结束训练；

所述的交叉熵损失函数为：

其中，Loss_v(x)为交叉熵损失函数，N为输入的样本数量，y为真实标签，y’为二分类器的预测标签。

图像深度学习模型的分类器包括三层全连接层，经过softmax函数输出；所述的Softmax函数为：

其中，x_i为输入，ω是图像深度学习模型的参数，p为分配给正确类标的归一化概率，f_i，f_j分别表示神经元节点i，j的输出值。

本发明所述的基于概念敏感性量化识别对抗攻击的防御方法还包括：

(6)验证防御效果，包括：

生成对抗样本；将对抗样本输入到概念生成器中获得对抗样本的最大决策影响概念，经训练好的特征提取网络提取特征后，再由训练好的分类器进行分类；根据分类结果计算对抗样本的检测率DA，检测率DA的计算公式为：

DA＝num_attack/num_all

其中，num_attack为检测出的对抗样本的数量，num_all为输入的对抗样本的总数量。

与现有技术相比，本发明的有益效果为：

本发明通过生成式对抗网络生成大量包含同一类概念的样本，然后设计一个适应度函数来计算定义的概念对于深度模型分类结果的重要程度，即量化概念敏感性，通过最大化适应度函数产生一个概念生成器，概念生成器能够针对不同的类别找到对某一类具有最大影响的概念。同一类的样本对于同一概念会展现出近似的敏感性，而生成的对抗样本则会展现出完全不同的敏感性，通过这样的方式能够区分良性样本和对抗样本，进而调整深度学习模型的特征提取网络，从而提高深度学习模型的鲁棒性以及深度模型对于对抗样本的防御性，同时还提高了深度学习模型的可解释性。

附图说明

图1为基于概念敏感性量化识别对抗攻击的防御方法的示意图；

图2为使用GAN扩充数据集的示意图；

图3为使用BP算法进行特征提取的示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细描述，需要指出的是，以下所述实施例旨在便于对本发明的理解，而对其不起任何限定作用。

参照图1～图3，本发明的基于概念敏感性量化识别对抗攻击的防御方法，步骤如下：

1)使用生成式对抗网络生成(GAN)生成样本

1.1)数据集预处理：

本发明中，从ImageNet数据集中挑选十类作为基础数据集，每类图片挑选100张，将每类图片的标签进行onehot编码，打上标签后将数据集保存为npy格式。

1.2)使用生成式对抗网络扩充样本集

搭建一个简单的深度卷积网络，将步骤1.1)中数据集输入所述深度卷积网络，对网络进行训练，然后确定生成器、判别器的深度卷积网络的结构。为了学习在真实数据集X上的生成分布Pg，生成模型G构建一个从先验分布P_Z(z)到数据空间的映射函数G(z；θ_g)。判别模型D的输入是真实图像或者生成图像，D(x；θ_d)输出一个标量，表示输入样本来自训练样本(而非生成样本)的概率。在本发明中，生成器G和判别器D同时训练：固定判别模型D，调整G的参数使得log(1-D(G(z))的期望最小化；固定生成模型G，调整D的参数使得log D(x)+log(1-D(G(z)))的期望最大化。这个优化过程可以归结为一个“二元极小极大博弈(minimax two-player game)”问题：

1.3)保存扩充后的数据

将生成器生成的图像按照类别打上类标后保存，与基础数据集一样保存为npy格式。

2)训练一个用来区分生成的概念(C)与非概念

的二分类器

2.1)生成的概念与非概念：

生成的概念即使用概念生成器(CG)生成的概念，其具体的含义是指某种人类可理解的事物，例如斑马的条纹对于识别识别斑马这种动物的重要性，在本发明中，我们使用大量同一类的样本作为概念生成器的输入，经过概念生成器后生成概念。非概念在理想状态下是指覆盖除了特定概念以外的所有分布，在本发明中我们采使用高斯白噪声作为非概念集合。它的概率分布是正态函数，一阶矩为常数，并且二阶矩不相关。高斯白噪声的功率谱密度函数如下：

其中

是表示双边功率谱密度，高斯白噪声的自相关函数如下：

2.2)训练二分类器V_C(x)：

V_C(x)是一个二分类器，由四层卷积层和两层全连接层组成，最后的全连接层输出数为2，训练一个这样的二分类器。它的输入是生成的概念与非概念，经过特征提取网络后，将提取到的特征输入到V_C(x)中，输入的总样本数为x_train-num，迭代次数为iter_num，训练的epoch数为epoch_num，使用交叉熵(categorical_crossentropy)损失函数作为模型训练优化的损失函数，使用adam优化器进行优化，交叉熵损失函数的计算公式如下：

其中Loss_v(x)为二分类器V_C(x)的损失函数，N为输入的样本数量，y为真实标签，y’为模型预标签。

当二分类器的损失函数收敛后结束训练。

3)概念生成器(GC)

3.1)类别对于概念的敏感性：

在本发明中，定义一个Fitness函数作为类别对于某一概念的敏感性量化函数：

其中设k是一个给定的有监督学习任务的类标号，N_K表示带有该标签的所有输入。S_c，l，k可以定量地测量模型预测对任何深度学习模型层的概念的灵敏度。它不是每一个特征的度量(例如，不像每像素的显着性映射)，而是在一个或多个输入集上计算的每个概念的标量。具体而言可以使用方向导数来计算k类对于某一概念c的敏感性大小：

其中h_l，k表示第k类在图像深度学习模型的第l层的表征，

是进行分类时的超平面法向量，f(x)表示分类器。

3.2)训练概念生成器：

将步骤1)中生成的扩充样本作为概念生成器的输入，优化目标函数Fitness，通过迭代训练，最大化Fitness函数。Fitness函数值越大，说明此时对应的概念c对于此时的类别k的决策影响越大。训练结束结束后，能够得到一个概念生成器(GC)，输入某一类样本后，就能得到关于这个样本的最大决策影响概念。

4)特征提取网络

4.1)特征提取网络的结构

特征提取网络是一个包含多个卷积层和池化层的深度神经网络，它的输入包括概念生成器生成的概念集和噪声，在本发明中，将高斯白噪声作为覆盖除了确定概念c以外的全部分布的集合。

4.2)特征提取网络训练

采取BP算法进行特征提取网络的训练，BP算法由信号的正向传播和误差的反向传播两个过程组成。正向传播时，概念生成器生成的概念c和高斯白噪声作为输入样本从输入层进入特征提取网络，如果输出层的实际输出与期望输出不同，则转至误差反向传播；如果输出层的实际输出与期望输出相同，结束学习算法。反向传播时，将输出误差(期望输出与实际输出之差)按原通路反传计算，通过隐层反向，直至输入层，在反传过程中将误差分摊给各层的各个单元，获得各层各单元的误差信号，并将其作为修正各单元权值的根据。这一计算过程使用梯度下降法完成，在不停地调整各层神经元的权值和阈值后，使误差信号减小到最低限度。

以一个一般的图像深度模型为例，说明特征提取网络的作用，用单张的图片为例，输入模型的图像结构为[1，3，224，224]，图片大小为224×224，有R、G、B3个通道。经过第一个7×7的卷积层，步长为2，它的输出是：(1，64，112，112)，经过第一层卷积后共生成64张图片，由于步长是2，大小变为112×112。经过第一层卷积层后，再经过归一化，激活函数后输入池化层，得到输出大小为[1，64，56，56]，然后再依次传入卷积层2、卷积层3、卷积层4。经过层层提取，得到图像的多维度特征。

5)分类器训练

经过特征提取网络后，将提取的特征输入到分类器h(x)，分类器的输出层由三层全连接层组成，最后一层的全连接层输出数为k，经过softmax函数输出，Softmax函数为：

其中，x_i为输入，ω是图像深度学习模型的参数，p为分配给正确类标的归一化概率，f_i，f_j分别表示神经元节点i，j的输出值

6)生成对抗样本并验证本发明的防御效果：

6.1)生成对抗样本：

使用foolbox工具包生成大量的对抗样本，选取FGSM(Fast Gradient SignMethod)、PGD(Projected Gradient Descent)和DeepFool作为验证本发明防御效果的攻击方式。生成的大量对抗样本分别保存为npy格式。

6.2)验证集防御效果：

将对抗样本输入到概念生成器中，经过特征提取网络，输入到分类器h(x)中。检验防御效果的参数是对于对抗样本的检测率DA，计算公式如下：

DA＝num_attack/num_all

其中num_attack是检测出的对抗样本的数量，num_all是输入总样本的数量。

本发明的主要内容包括通过生成式对抗网络(GAN)，生成大量包含同一类概念的样本，然后设计一个适应度函数(Fitness)来计算定义的概念对于深度模型分类结果的重要程度，即量化概念敏感性。通过最大化适应度函数产生一个概念生成器(CG)，概念生成器能够针对不同的类别找到对某一类具有最大影响的概念。同一类的样本对于同一概念会展现出近似的敏感性，而生成的对抗样本则会展现出完全不同的敏感性，通过这样的方式能够区分良性样本和对抗样本，进而调整深度学习模型的特征提取网络，从而提高深度学习模型的鲁棒性以及深度模型对于对抗样本的防御性。

以上所述的实施例对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的具体实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于概念敏感性量化识别对抗攻击的防御方法，其特征在于，包括以下步骤：

(1)使用生成式对抗网络生成图片样本集；所述图片样本集中包含若干类别的图片样本；

(2)构建概念生成器，按类将图片样本集中的图片样本作为概念生成器的输入，获得每类图片样本所对应的最大决策影响概念；

(3)将所有类图片样本所对应的最大决策影响概念和噪声作为特征提取网络的输入，提取的特征采用二分类器进行分类，对特征提取网络进行训练；

所述的特征提取网络为图像深度学习模型的特征提取部分；

(4)将所有类图片样本所对应的最大决策影响概念作为训练完成的特征提取网络的输入，提取的特征采用图像深度学习模型的分类器进行分类，对图像深度学习模型的分类器进行训练；

(5)对所述的特征提取网络和分类器训练完成后，获得训练好的图像深度学习模型；采用训练好的图像深度学习模型对待识别图像进行识别。

2.根据权利要求1所述的基于概念敏感性量化识别对抗攻击的防御方法，其特征在于，所述概念生成器的适应度函数为：

式中，k是一个给定的有监督学习任务的类标签，N_K表示带有该标签的所有输入；

其中h_l，k表示第k类在图像深度学习模型的第l层的表征，

是进行分类时的超平面法向量，f(x)表示分类器。

最大化所述的适应度函数，获得每类图片样本所对应的最大决策影响概念。

3.根据权利要求1所述的基于概念敏感性量化识别对抗攻击的防御方法，其特征在于，所述的噪声为高斯白噪声；高斯白噪声的功率谱密度函数为：

其中，

表示双边功率谱密度；

高斯白噪声的自相关函数为：

4.根据权利要求1所述的基于概念敏感性量化识别对抗攻击的防御方法，其特征在于，步骤(3)中，采用BP算法对特征提取网络进行训练，优化损失函数为交叉熵损失函数，使用adam优化器进行优化，损失函数收敛后结束训练；

所述的交叉熵损失函数为：

其中，Loss_v(x)为交叉熵损失函数，N为输入的样本数量，y为真实标签，y’为二分类器的预测标签。

5.根据权利要求1所述的基于概念敏感性量化识别对抗攻击的防御方法，其特征在于，图像深度学习模型的分类器包括三层全连接层，经过softmax函数输出；所述的Softmax函数为：

其中，x_i为输入，ω是图像深度学习模型的参数，p为分配给正确类标的归一化概率，f_i，f_j分别表示神经元节点i，j的输出值。

6.根据权利要求1所述的基于概念敏感性量化识别对抗攻击的防御方法，其特征在于，还包括：

(6)验证防御效果，包括：

生成对抗样本；将对抗样本输入到概念生成器中获得对抗样本的最大决策影响概念，经训练好的特征提取网络提取特征后，再由训练好的分类器进行分类；根据分类结果计算对抗样本的检测率DA，检测率DA的计算公式为：

DA＝num_attack/num_all

其中，num_attack为检测出的对抗样本的数量，num_all为输入的对抗样本的总数量。

Images