CN112052933B - 基于粒子群优化的深度学习模型的安全性测试方法和修复方法 - Google Patents

Abstract

本发明公开了基于粒子群优化的深度学习模型的安全性测试方法和修复方法，包括：(1)获取良性图像组成样本集，利用良性图像对原始深度学习模型进行预训练；(2)根据覆盖率和输入图像在预训练的原始深度学习模型和其他深度学习模型中针对同一类标标签的类别预测值之间的差异构建目标函数；(3)从样本集中采集部分良性图像作为初始粒子，并初始化粒子的位置和速度，以目标函数最大为目标，采用粒子群优化算法对初始化粒子的位置和速度进行迭代更新，当算法结束时，若不能够获得表示恶性图像的最优粒子，则认为原始深度学习模型安全，若能获得表示恶性图像的最优粒子，则认为原始深度学习模型不安全。

Description

基于粒子群优化的深度学习模型的安全性测试方法和修复 方法

技术领域

本发明属于深度学习安全领域，具体涉及一种基于粒子群优化(PSO)的深度学习(DL)模型的安全性测试方法和修复方法。

背景技术

深度学习(DL)的快速发展，使得其在图像分类、语音识别和文本分类等任务上实现甚至超过人类水平的性能。这些进步使得DL在自动驾驶汽车、恶意软件检测和飞机防撞系统等安全系统中得到广泛的应用和部署。尽管DL系统功能性丰富，准确率很高，但是确很容易受到对抗样本以及其他一些边界案例的影响。因此，与传统软件一样，安全的DL系统必须针对不同的边界案例进行系统测试，以便检测和修复潜在的安全漏洞。

在图像识别领域中，如在人脸识别领域，由于人脸图像被攻击会导致基于图像识别网络的身份鉴定系统识别错误，从而使罪犯逃脱；在自动驾驶领域，由于图像识别网络会被攻击会干扰路牌标识的识别，从而发生车祸，这些图像被识别错误会严重造成安全隐患，因此深度学习模型的安全性测试显得十分重要。

深度学习模型的种类繁多，比较常见的卷积神经网络(CNN)和循环神经网络(RNN)都是典型范式，可以通过不同的组合建立一个深层次的模型，达到你所需求的功能。

粒子群优化算法受鸟类捕食行为的启发并对这种行为进行模仿，将优化问题的优化空间类比为鸟类的飞行空间，将每只鸟抽象为一个粒子，粒子无质量、无体积，用以表征问题的一个可行解，优化问题所要搜索到的最优解则等同于鸟类寻找的食物源。粒子群优化算法为每个粒子制定了与鸟类捕食相似地特性，从而可以求解复杂的优化问题。

在深度学习模型测试方面，标准的方法收集并手动标记尽可能多的真实世界数据集，然后使用该数据集来测试模型的准确率。一些DL系统，例如谷歌自动驾驶汽车，也使用模拟现实环境的方式来生成训练数据。但是，这种模拟是完全没有指导的，它并没有考虑目标DL系统的结构。对于DL模型输入空间较大的情况下，这些方法都不能很好的覆盖边界案例。除此之外，许多用于发现错误边界案例的深度学习攻击方法从本质上讲类似于使用低代码覆盖率的测试输入来发现传统软件中的bug，因此不太可能发现很多的边界案例。

发明内容

本发明的第一目的是提供一种基于粒子群优化的深度学习模型的安全性测试方法，通过粒子群优化寻优恶性图像，根据寻优结果以判断深度学习模型是否安全，实现对深度学习模型的安全性测试。

本发明的第二目的是提供一种基于粒子群优化的深度学习模型的修复方法，以提高深度学习模型的预测准确性。

为实现上述第一目的，本发明提供了一种基于粒子群优化的深度学习模型的安全性测试方法，包括以下步骤：

(1)获取良性图像组成样本集，利用良性图像对原始深度学习模型进行预训练；

(2)根据覆盖率和输入图像在预训练的原始深度学习模型和其他深度学习模型中针对同一类标标签的类别预测值之间的差异构建目标函数；

(3)从样本集中采集部分良性图像作为初始粒子，并初始化粒子的位置和速度，以目标函数最大为目标，采用粒子群优化算法对初始化粒子的位置和速度进行迭代更新，当算法结束时，若不能够获得表示恶性图像的最优粒子，则认为原始深度学习模型安全，若能获得表示恶性图像的最优粒子，则认为原始深度学习模型不安全。

为实现上述第一目的，本发明提供一种基于粒子群优化的深度学习模型的修复方法，包括以下步骤：

采用上述基于粒子群优化的深度学习模型的安全性测试方法获得表示恶性图像的最优粒子；

利用表示恶性图像的最优粒子对原始深度学习模型进行强化训练，以修复深度学习模型，提高深度学习模型的识别结果准确率。

与现有技术相比，本发明具有的有益效果为：

本发明提供的基于粒子群优化的深度学习模型的安全性测试方法，通过根据覆盖率和输入图像在预训练的原始深度学习模型和其他深度学习模型中针对同一类标标签的类别预测值之间的差异构建目标函数，利用该目标函数计算粒子的适应度值，能够利用粒子群优化算法搜索覆盖深度学习模型边界和识别差距大的恶性图像，当能够得到恶性图像说明原始深度学习模型不安全，反之则安全，以此来实现对深度学习模型的安全性测试，该安全测试方法简单且准确。利用获得的恶性图像对原始深度学习模型进行强化训练，以修复深度学习模型，来提高深度学习模型的识别结果准确率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1是实施例提供的基于粒子群优化的深度学习模型的安全性测试方法的流程图；

图2是实施例提供的基于粒子群优化的深度学习模型的修复方法的流程图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

在图像识别领域中，如在人脸识别领域，由于人脸图像被攻击会导致基于图像识别网络的身份鉴定系统识别错误，从而使罪犯逃脱；在自动驾驶领域，由于图像识别网络会被攻击会干扰路牌标识的识别，从而发生车祸，这些图像被识别错误会严重造成安全隐患，因此深度学习模型的安全性测试显得十分重要。为实现对用于图像识别的深度学习模型的安全测试，本实施例提供了基于粒子群优化的深度学习模型的安全性测试方法。

如图1所示，实施例提供的基于粒子群优化的深度学习模型的安全性测试方法包括以下步骤：

S101，获取良性图像组成样本集，利用良性图像对原始深度学习模型进行预训练。

该些良性图像是没有被攻击的正常图像，在人脸识别时，良性图像为人脸图像，在自动驾驶时，良性图像是为路牌图像。原始深度学习模型主要用于对输入图像进行分类识别，可以是VGG-16/19、ResNet等图像分类模型。预训练时，以输入图像的真值标签和模型输出的预测置信度之间的交叉熵作为损失函数来优化原始深度学习模型的网络参数。

S102，根据覆盖率和输入图像在预训练的原始深度学习模型和其他深度学习模型中针对同一类标标签的类别预测值之间的差异构建目标函数。

本发明中，利用粒子群优化算法生成的表示恶性图像的边界案例需要满足一个联合优化问题，即满足最大化覆盖率和对同一个输入图像在不同的模型中分类结果不同两个要求，因此，目标函数可分为两部分。

第一部分为覆盖率。对于一个神经元n，在其激活函数的值的范围内，high/n和low/n代表着边界值。其中high/n和low/n分别来自对训练集的分析，本发明称[low,high]为主要功能区。

边界区定义：

对于测试输入x∈T，φ(x,n)∈(-∞,low/n)∪(high/n,+∞)

即上边界：

下边界：

本实施中，覆盖率为神经元覆盖率、k多节神经元覆盖率、神经元边界覆盖率、强神经元覆盖率、Top-k神经元覆盖率、Top-k神经元模式中的至少一个。

其中，神经元覆盖率(NC)表示模型中激活的神经元数目与总神经元的比率：模型中激活的神经元数目表示为

模型神经元总数表示为|N|，则神经元覆盖率

k多节神经元覆盖率(KMNC)表示将主要功能区[low,high]分成k节，记

表示第i节的值的集合。对于神经元n来说，假设有一组输入T和一组神经元N，覆盖率定义为：被T覆盖的节数与总部分节数的比，则定义式为

即一个输出，如果在第i节的范围内，就称第i节被输入x覆盖。对于一个深度学习模型来说，k多节神经元覆盖率定义为

将每层神经元做全统计。

神经元边界覆盖(NBC)测量给定测试输入集T覆盖了多少个角落案例区域(上边界和下边界值)。它定义为覆盖角点案例数与角落案例总数之比(2×|N|)，定义式：

即覆盖的边界数除以总的边界数(每个神经元有两个边界)。

强神经元覆盖率(SNAC)测量给定测试输入T覆盖了多少个角落案例(相对于上边界值high)。它定义为覆盖的上角落案例数与角点案例总数的比例|N|，定义式：

即覆盖的上边界的边界数除以总共的边界数。

Top-k神经元覆盖率(TKNC)测量了每一层中曾经是最活跃的k神经元的数量(激活值最大)。定义为每层top-k神经元总数与DNN神经元总数之比：

Top-k神经元模式(TKNP)代表了每一层的顶端超活跃神经元的不同激活情景，定义式：TKNPat(T,k)＝|{top_k(x,1),top_k(x,2),...,top_k(x,l)|x∈T}|

第二部分为输入图像在预训练的原始深度学习模型和其他深度学习模型中针对同一类标标签的类别预测值之间的差异，表示为

obj₂＝∑_k≠jf_k(x)[c]-λ₁·f_j(x)[c]

其中，f_k(x)[c]表示输入图像x输入原始深度学习模型k中针对类别标签[c]的类标预测值，f_j(x)[c]表示输入图像x输入与原始深度学习模型k不同的其他深度学习模型j中针对类别标签[c]的类标预测值，λ₁表示超参数。

因此，目标函数obj₃为：

obj₃＝obj₁+λ₂obj₂

其中，obj₁为覆盖率，λ₂是为超参数，obj₂为同一输入图像在预训练的原始深度学习模型和其他深度学习模型中针对同一类标标签的类别预测值之间的差异。

S103，从样本集中采集部分良性图像作为初始粒子，并初始化粒子的位置和速度，以目标函数最大为目标，采用粒子群优化算法对初始化粒子的位置和速度进行迭代更新，当算法结束时，若不能够获得表示恶性图像的最优粒子，则认为原始深度学习模型安全，若能获得表示恶性图像的最优粒子，则认为原始深度学习模型不安全。

S103的具体过程为：

(3-1)从样本集中采集部分良性图像作为初始粒子，并初始化粒子的位置v_i和速度x_i，其中，位置v_i和速度x_i均为样本空间的维度，i为粒子的索引；

(3-2)将每个粒子作为输入图像，根据目标函数计算每个粒子的适应度值fit[i]；

(3-3)比较每个粒子的适应度值fit[i]和个体极值p_best，如果fit[i]＜p_best[i]，则fit[i]用替代p_best，以更新个体极值p_best；

(3-4)比较每个粒子的适应度值fit[i]和全局极值g_best，如果fit[i]＜g_best，则fit[i]用替代g_best，以更新全局极值g_best；

(3-5)迭代更新粒子的速度v_i和位置x_i，标准更新方式为：

v_i(t+1)＝v_i(t)+c₁r₁(t)[p_best(t)-x_i(t)]+c₂r₂(t)[g_best(t)-x_i(t)]

x_i(t+1)＝x_i(t)+v_i(t+1)

其中，其中t代表的是迭代的轮数，c₁和c₂为学习因子，r₁和r₂为0～1内的随机数，增加了粒子飞行的随机性；

(3-6)重复步骤(3-2)～(3-5)，当算法结束时，若不能够获得使目标函数值最大的最优粒子，则认为原始深度学习模型安全，若能够获得使目标函数值最大的最优粒子，则认为原始深度学习模型不安全。

在进行粒子群优化算法时，限定粒子的位置在可行搜索维度内，所述可行搜索维度为良性图像的维度。当一维或若干维的位置或速度超过设定值时，采用边界条件处理策略可将粒子的位置限制在可行搜索空间内，这样能避免种群的膨胀与发散，也能避免粒子大范围地盲目搜索，从而提高了搜索效率。

在进行粒子群优化算法时，限定表示图像的粒子的像素点在0～255范围内。由于初始粒子群为图像数据集，所有像素点都需要满足现实语义，即像素点在0～255范围内，进而这里通过对像素点值得控制，进行位置限制。

在本实施例中，判断算法结束条件是否满足终止条件t>t_h，其中t_h为超参数，用于控制迭代的最大次数，无输入默认为100代。若满足终止条件，则结束算法并输出优化结果。

上述基于粒子群优化的深度学习模型的安全性测试方法中，通过目标函数的设置生成高神经覆盖率的边界案例，也就是恶性图像，从而可以发现更多的深度学习模型漏洞，以实现对深度学习模型的安全测试。

实施例还提供了一种基于粒子群优化的深度学习模型的修复方法，如图2所示，包括以下步骤：

S201，采用上述基于粒子群优化的深度学习模型的安全性测试方法获得表示恶性图像的最优粒子；

S202，利用表示恶性图像的最优粒子对原始深度学习模型进行强化训练，以修复深度学习模型，提高深度学习模型的识别结果准确率。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于粒子群优化的深度学习模型的安全性测试方法，包括以下步骤：

(1)获取良性图像组成样本集，利用良性图像对原始深度学习模型进行预训练；

(2)根据覆盖率和输入图像在预训练的原始深度学习模型和其他深度学习模型中针对同一类标标签的类别预测值之间的差异构建目标函数；

(3)从样本集中采集部分良性图像作为初始粒子，并初始化粒子的位置和速度，以目标函数最大为目标，采用粒子群优化算法对初始化粒子的位置和速度进行迭代更新，当算法结束时，若不能够获得表示恶性图像的最优粒子，则认为原始深度学习模型安全，若能获得表示恶性图像的最优粒子，则认为原始深度学习模型不安全。

2.如权利要求1所述的基于粒子群优化的深度学习模型的安全性测试方法，其特征在于，所述覆盖率为神经元覆盖率、k多节神经元覆盖率、神经元边界覆盖率、强神经元覆盖率、Top-k神经元覆盖率、Top-k神经元模式中的至少一个。

3.如权利要求1或2所述的基于粒子群优化的深度学习模型的安全性测试方法，其特征在于，所述目标函数obj₃为：

obj₃＝obj₁+λ₂obj₂

其中，obj₁为覆盖率，λ₂是为超参数，obj₂为同一输入图像在预训练的原始深度学习模型和其他深度学习模型中针对同一类标标签的类别预测值之间的差异，表示为：

obj₂＝∑_k≠jf_k(x)[c]-λ₁·f_j(x)[c]

其中，f_k(x)[c]表示输入图像x输入原始深度学习模型k中针对类别标签[c]的类标预测值，f_j(x)[c]表示输入图像x输入与原始深度学习模型k不同的其他深度学习模型j中针对类别标签[c]的类标预测值，λ₁表示超参数。

4.如权利要求1所述的基于粒子群优化的深度学习模型的安全性测试方法，其特征在于，步骤(3)的具体过程为：

(3-1)从样本集中采集部分良性图像作为初始粒子，并初始化粒子的位置v_i和速度x_i；

(3-2)将每个粒子作为输入图像，根据目标函数计算每个粒子的适应度值fit[i]；

(3-3)比较每个粒子的适应度值fit[i]和个体极值p_best，如果fit[i]＜p_best[i]，则fit[i]用替代p_best，以更新个体极值p_best；

(3-4)比较每个粒子的适应度值fit[i]和全局极值g_best，如果fit[i]＜g_best，则fit[i]用替代g_best，以更新全局极值g_best；

(3-5)迭代更新粒子的速度v_i和位置x_i，标准更新方式为：

v_i(t+1)＝v_i(t)+c₁r₁(t)[p_best(t)-x_i(t)]+c₂r₂(t)[g_best(t)-x_i(t)]

x_i(t+1)＝x_i(t)+v_i(t+1)

其中，其中t代表的是迭代的轮数，c₁和c₂为学习因子，r₁和r₂为0～1内的随机数，增加了粒子飞行的随机性；

(3-6)重复步骤(3-2)～(3-5)，当算法结束时，若不能够获得使目标函数值最大的最优粒子，则认为原始深度学习模型安全，若能够获得使目标函数值最大的最优粒子，则认为原始深度学习模型不安全。

5.如权利要求1或4所述的基于粒子群优化的深度学习模型的安全性测试方法，其特征在于，在进行粒子群优化算法时，限定粒子的位置在可行搜索维度内，所述可行搜索维度为良性图像的维度。

6.如权利要求1或5所述的基于粒子群优化的深度学习模型的安全性测试方法，其特征在于，在进行粒子群优化算法时，限定表示图像的粒子的像素点在0～255范围内。

7.如权利要求1所述的基于粒子群优化的深度学习模型的安全性测试方法，其特征在于，在人脸识别时，良性图像为人脸图像，在自动驾驶时，良性图像是为路牌图像。

8.一种基于粒子群优化的深度学习模型的修复方法，其特征在于，包括以下步骤：

采用权利要求1～7任一项所述的基于粒子群优化的深度学习模型的安全性测试方法获得表示恶性图像的最优粒子；

利用表示恶性图像的最优粒子对原始深度学习模型进行强化训练，以修复深度学习模型，提高深度学习模型的识别结果准确率。

Images