CN113507466A - 基于注意力机制，知识蒸馏防御后门攻击的方法及系统 - Google Patents

Abstract

本发明公开了基于注意力机制，知识蒸馏防御后门攻击的方法及系统，应用于互联网安全技术领域，包括：神经网络微调步骤：将目标神经网络进行微调，得到一个微调后的深度神经网络；注意力图生成步骤：将深度神经网络每一个激活层的输出通过注意力映射算子，映射到注意力图上；模型自蒸馏步骤：利用注意力图逐层进行深度神经网络的知识自蒸馏处理，得到得到各层之间的蒸馏损失；防御模块生成步骤：通过模型交叉损失函数，训练得到防御模型。本发明可以有效防御后门攻击，并且防御效果远远超过了传统方法；在消除网络对触发模式的注意力方面也更有效。

Description

基于注意力机制，知识蒸馏防御后门攻击的方法及系统

技术领域

本发明涉及互联网安全技术领域，尤其涉及基于注意力机制，知识蒸馏防御后门攻击的方法及系统。

背景技术

随着人工智能的发展，机器学习模型已广泛应用到各行各业，在各个场景发挥着非常重要的作用。后门攻击是一种新兴的针对机器学习模型的攻击方式，攻击者会在模型中埋藏后门，使得被感染的模型在一般情况下表现正常。但当后门被激活时，模型的输出将变为攻击者预先设置的恶意目标。具体为：攻击者通过带有后门触发器(BackdoorTrigger)的恶意数据训练模型后，获得一个带有后门的恶意模型。这类恶意模型在输入良性数据时可以将其正确分类，但当输入恶意数据时，其后门触发器会激活恶意神经元，从而导致错误分类(并且往往是某一特定类别)。

现有技术中，没有有效的防御后门攻击的方法，这类攻击具有极强的隐蔽性，给攻击检测带来了巨大挑战，也给一些资源受限型用户将深度神经网络的训练过程外包给拥有丰富存储和计算资源的第三方带来了不小的风险。

因此，提出一种新的防御后门攻击的方法，克服现有技术中后门攻击防御困难，是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了基于注意力机制，知识蒸馏防御后门攻击的方法及系统，充分考虑了攻击者的各种攻击手段，可以进行全面防御。

为了实现上述目的，本发明采用如下技术方案：

基于注意力机制，知识蒸馏防御后门攻击的方法，包括以下步骤：

神经网络微调步骤：将目标神经网络进行微调，得到一个微调后的深度神经网络；

注意力图生成步骤：将深度神经网络每一个激活层的输出通过注意力映射算子，映射到注意力图上；

模型自蒸馏步骤：利用注意力图逐层进行深度神经网络的知识自蒸馏处理，得到得到各层之间的蒸馏损失；

防御模块生成步骤：模型自蒸馏后的模型通过模型交叉损失函数，训练得到防御模型。

优选的，神经网络微调步骤的具体内容包括：

选择一个训练好的深度神经网络；

将该深度神经网络的前n层复制到目标神经网络中；

将剩余层进行随机初始化，利用干净的数据集进行训练，得到训练误差；

将训练误差反向传播到目标神经网络复制的前n层中，得到微调后的深度神经网络。

优选的，注意力图生成步骤的具体内容包括：

获得深度神经网络各激活层输出，通过注意力映射算子，将每一个输出映射到注意力图上，得到各区块的注意力图。

优选的，模型自蒸馏步骤的具体内容包括：

分别对任一区块注意力图和目标区块注意力图采用双线性插值，进行维度调整；

分别对维度调整后的注意力图进行空间softmax操作，得到各层之间的蒸馏损失。

基于注意力机制，知识蒸馏防御后门攻击的系统，包括：

神经网络微调模块、注意力图生成模块、模型自蒸馏模块和防御模型生成模块；

神经网络微调模块，与注意力图生成模块的输入端连接，用于将目标神经网络进行微调，得到一个微调后的深度神经网络，并发送至注意力图生成模块；

注意力图生成模块，与模型自蒸馏模块的输入端连接，用于将深度神经网络每一个激活层的输出通过注意力映射算子，映射到注意力图上，并将注意力图发送至模型自蒸馏模块；

模型自蒸馏模块，与防御模型生成模块的输入端连接，用于利用注意力图逐层进行深度神经网络的知识自蒸馏处理，得到得到各层之间的蒸馏损失；

防御模型生成模块，用于将模型自蒸馏后的模型通过模型交叉损失函数，训练得到防御模型。

一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该程序，以实现基于注意力机制，知识蒸馏防御后门攻击的方法。

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行，以用于实现基于注意力机制，知识蒸馏防御后门攻击的方法。

经由上述的技术方案可知，与现有技术相比，本发明提供了一种基于注意力机制，知识蒸馏防御后门攻击的方法及系统：通过注意力机制和知识自蒸馏提炼过程将神经网络进行逐层的特征与注意力学习，训练出一个消除后门的神经网络，可以有效防御后门攻击，并且防御效果远远超过了传统方法；在消除网络对触发模式的注意力方面也更有效。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明基于注意力机制，知识蒸馏防御后门攻击的方法流程图；

图2为本发明神经网络微调步骤流程图；

图3为本发明注意力图生成步骤流程图；

图4为本发明模型自蒸馏步骤流程图；

图5为本发明基于注意力机制，知识蒸馏防御后门攻击的系统的方框示意图；

图6为本发明提供的电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参照图1所示，本实发明公开了基于注意力机制，知识蒸馏防御后门攻击的方法，包括以下步骤：

神经网络微调步骤：将目标神经网络进行微调，得到一个微调后的深度神经网络；

注意力图生成步骤：将深度神经网络每一个激活层的输出通过注意力映射算子，映射到注意力图上；

模型自蒸馏步骤：利用注意力图逐层进行深度神经网络的知识自蒸馏处理，得到得到各层之间的蒸馏损失；

防御模块生成步骤：模型自蒸馏后的模型通过模型交叉损失函数，训练得到防御模型。

在一个具体实施例中，通过模型微调技术在一个没有被后门攻击的子集上训练深度神经网络，用这个神经网络进行接下来的知识自蒸馏。

模型微调是一种最初在迁移学习背景下提出的策略，使用者希望调整一个已经为别的任务训练好的DNN，来执行此任务。模型微调使用预训练的深度神经网络的权重来初始化训练(而不是随机初始化)，而且由于最终的权重和预训练模型的权重比较接近，故学习率较小。因此，使用干净的输入进行微调会导致参与后门行为的神经元的权重得到更新。

在一个具体实施例中，结合图2所示，神经网络微调步骤的具体内容包括：

选择一个训练好的深度神经网络；

将该深度神经网络的前n层复制到目标神经网络中；

将剩余层进行随机初始化，利用干净的数据集进行训练，得到训练误差；

将训练误差反向传播到目标神经网络复制的前n层中，得到微调后的深度神经网络。

在一个具体实施例中，定义卷积神经网络每个残差块的空间注意力图，再由此绘制热力图，从而确定注意力信息迁移的方向。

为了注入后门，攻击者通常使用带有后门触发器(包括随机型和模型依赖型)的恶意数据去训练深度神经网络，导致部分神经元被后门触发器污染。这些恶意神经元会在后门触发器出现时被强烈激活，表现为激活值较高或者权重较高，而在输入良性数据时权值和激活值较低。基于以上分析，当我们向深度神经网络输入大量带有后门触发器的样本和输入大量良性数据的样本时，后门模型中被污染的神经元在输入正常样本情况下与输入带有后门触发器的样本情况下的权重差值或激活值差值将会明显大于其他正常的神经元。因此我们可以通过注意力图突出显示网络拓扑结构中的被后门攻击后的区域，并且可以作为一种直观的方式来评估后门防御机制的性能。注意力映射有多种侧重点不同的方法，

如：A_sum反映所有激活区域，包括良性神经元和后门神经元。

是A_sum的一个推广版本。p值越大，神经元激活率最高的部位所占的权重就越大。A_mean通过取所有激活区域的平均值，将后门神经元的激活中心与良性神经元的激活中心对齐。

在一个具体实施例中，结合图3所示，注意力图生成步骤的具体内容包括：

获得深度神经网络各激活层输出，通过注意力映射算子，将每一个输出映射到注意力图上，得到各区块的注意力图。

在残差神经网络中，对每一个残差块进行注意力映射，特别考虑残差神经网络是因为在图像处理问题中这种网络的效果尤其的好。

具体实现细节为：首先考虑卷积神经网络CNN各层相应的激活张量A∈R^C×H×W，其中C是特征平面，H×W代表空间维度，基于激活的映射函数F把一个三维张量作为输入，输出一个二位的张量。我们这一步中所做的隐含假设是，一个隐藏的神经元激活的绝对值可以作为该神经元相对于特定输入的重要性的指示。因此，通过考虑张量A的元素的绝对值，我们可以通过计算跨通道维度的这些值来构建空间注意图。具体地说，有以下三种可能的方式构建注意力图：

注意力映射算子可以采用任意一种，但是这三种方式在性质上有细微的差异，可以根据具体问题的实际需要来调整，比如：

相较于(1)和(2)把更多的权重放在激活程度高的神经元对应的空间位置上，p越大，这种聚焦就表现的越明显；(3)在相同空间位置对应的所有神经元中，只考虑其中之一来为该空间位置分配权重，然而(2)更倾向于有多个高激活程度神经元的空间位置。

在一个具体实施例中，通过神经网络不同输出之间的注意力图进行逐层的知识自蒸馏。

知识自蒸馏使得模型可以从自身学习并获得实质性的改进，而无需任何额外的监督或标签。在注意力图生成步骤中已经从一个模型中了蕴含更多信息的特征，这些特征反过来更好的训练了深层的神经网络。值得注意的是，我们的重提取到一个合理水平的注意力图，其中编码了丰富的上下文信息。这些有价值的内容信息可以作为一种“自由”监督的形式，通过在网络本身中进行自上而下和分层的注意力提炼，进一步进行表征学习。较浅层神经网络通过由深层神经网络注意力提取出来的信息被调整了，从而学习到点是研究提取各层的注意力用于探索自我学习的可能性。这不同于现有的研究中利用视觉注意力加权特征的研究。

在一个具体实施例中，模型自蒸馏步骤的具体内容包括：

分别对任一区块注意力图和目标区块注意力图采用双线性插值，进行维度调整；

分别对维度调整后的注意力图进行空间softmax操作，得到各层之间的蒸馏损失。

具体实现细节为：首先，例如采用(2)式计算注意力图，对于原先注意力图和目标注意力图大小不同的情况，采用双线性插值(bilinear unsampling)B(·)调整维度，然后使用空间softmax操作Φ(·)。

各层之间的蒸馏损失可表示如下：

式中，L_d表示二范数损失，Ψ(A_m+1)是蒸馏损失最小化的目标，其中，

在一个具体实施例中，注意力图之间的自蒸馏通道采用密集连接的方式而不是简单的逐层蒸馏，这样密集连接的方式可以优化注意力蒸馏的效果和效率，找到一条最佳通道，更好的利用深度神经网络学习出特征。最终通过权重调整自蒸馏过程和模型交叉熵损失对最终模型的影响，从而训练出最终的可以防御后门攻击的神经网络

在一个具体实施例中，模型交叉损失函数为：

其中，L_seg(·)为交叉熵损失函数，L_IoU(·)为检测评价损失函数，IoU为检测评价函数，用于检测真实和预测之间的相关度，从而检测性能；segmentation lossses为分割损失，是传统意义上交叉熵损失函数L_seg(·)和检测评价函数IoU损失的组合；

L_exist(·)为二项交叉熵损失函数；

L_distill(·)为整流损失函数；

s代表真实分类情况，

为代表神经网络模型预测得出的分类情况，b代表类别的存在情况，

为代表神经网络预测得出的类别的存在情况，A_m和A_m+1反映激活区域，α、β、γ是为了在最终任务中调整和均衡三项损失。

在上述损失函数的参数所要解决的问题为调整和均衡三项损失。

一种基于注意力机制，知识蒸馏防御后门攻击的系统，神经网络微调模块、注意力图生成模块、模型自蒸馏模块和防御模型生成模块；

神经网络微调模块，与注意力图生成模块的输入端连接，用于将目标神经网络进行微调，得到一个微调后的深度神经网络，并发送至注意力图生成模块；

注意力图生成模块，与模型自蒸馏模块的输入端连接，用于将深度神经网络每一个激活层的输出通过注意力映射算子，映射到注意力图上，并将注意力图发送至模型自蒸馏模块；

模型自蒸馏模块，与防御模型生成模块的输入端连接，用于利用注意力图逐层进行深度神经网络的知识自蒸馏处理，得到得到各层之间的蒸馏损失；

防御模型生成模块，用于将模型自蒸馏后的模型通过模型交叉损失函数，训练得到防御模型。

需要说明的是，前述对基于注意力机制，知识蒸馏防御后门攻击的方法实施例的解释说明也适用于该实施例的基于注意力机制，知识蒸馏防御后门攻击的系统，此处不再赘述。

参照图6所示，一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该程序，以实现基于注意力机制，知识蒸馏防御后门攻击的方法。

在一个具体实施例中，电子设备还包括：通信接口，用于存储器和处理器之间的通信。存储器，用于存放可在处理器上运行的计算机程序。

在一个具体实施例中，存储器可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

如果存储器、处理器和通信接口独立实现，则通信接口、存储器和处理器可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(Industry StandardArchitecture，简称为ISA)总线、外部设备互连(Peripheral Component，简称为PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在具体实现上，如果存储器、处理器及通信接口，集成在一块芯片上实现，则存储器、处理器及通信接口可以通过内部接口完成相互间的通信。

处理器可能是一个中央处理器(Central Processing Unit，简称为CPU)，或者是特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路。

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行，以用于实现基于注意力机制，知识蒸馏防御后门攻击的方法。

对所公开的实施例的上述说明，按照递进的方式进行，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (7)

1.基于注意力机制，知识蒸馏防御后门攻击的方法，其特征在于，包括以下步骤：

神经网络微调步骤：将目标神经网络进行微调，得到一个微调后的深度神经网络；

注意力图生成步骤：将深度神经网络每一个激活层的输出通过注意力映射算子，映射到注意力图上；

模型自蒸馏步骤：利用注意力图逐层进行深度神经网络的知识自蒸馏处理，得到得到各层之间的蒸馏损失；

防御模块生成步骤：模型自蒸馏后的模型通过模型交叉损失函数，训练得到防御模型。

2.根据权利要求1所述的基于注意力机制，知识蒸馏防御后门攻击的方法，其特征在于，

神经网络微调步骤的具体内容包括：

选择一个训练好的深度神经网络；

将该深度神经网络的前n层复制到目标神经网络中；

将剩余层进行随机初始化，利用干净的数据集进行训练，得到训练误差；

将训练误差反向传播到目标神经网络复制的前n层中，得到微调后的深度神经网络。

3.根据权利要求1所述的基于注意力机制，知识蒸馏防御后门攻击的方法，其特征在于，

注意力图生成步骤的具体内容包括：

获得深度神经网络各激活层输出，通过注意力映射算子，将每一个输出映射到注意力图上，得到各区块的注意力图。

4.根据权利要求1所述的基于注意力机制，知识蒸馏防御后门攻击的方法，其特征在于，

模型自蒸馏步骤的具体内容包括：

分别对任一区块注意力图和目标区块注意力图采用双线性插值，进行维度调整；

分别对维度调整后的注意力图进行空间softmax操作，得到各层之间的蒸馏损失。

5.基于注意力机制，知识蒸馏防御后门攻击的系统，其特征在于，包括：

神经网络微调模块、注意力图生成模块、模型自蒸馏模块和防御模型生成模块；

神经网络微调模块，与注意力图生成模块的输入端连接，用于将目标神经网络进行微调，得到一个微调后的深度神经网络，并发送至注意力图生成模块；

注意力图生成模块，与模型自蒸馏模块的输入端连接，用于将深度神经网络每一个激活层的输出通过注意力映射算子，映射到注意力图上，并将注意力图发送至模型自蒸馏模块；

模型自蒸馏模块，与防御模型生成模块的输入端连接，用于利用注意力图逐层进行深度神经网络的知识自蒸馏处理，得到得到各层之间的蒸馏损失；

防御模型生成模块，用于将模型自蒸馏后的模型通过模型交叉损失函数，训练得到防御模型。

6.一种电子设备，其特征在于，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该程序，以实现如权利要求1-4任一项所述的基于注意力机制，知识蒸馏防御后门攻击的方法。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行，以用于实现如权利要求1-4任一项所述的基于注意力机制，知识蒸馏防御后门攻击的方法。

Images