CN114037072A - 一种神经网络优化的方法及设备 - Google Patents

一种神经网络优化的方法及设备 Download PDF

Info

Publication number
CN114037072A
CN114037072A CN202111180671.7A CN202111180671A CN114037072A CN 114037072 A CN114037072 A CN 114037072A CN 202111180671 A CN202111180671 A CN 202111180671A CN 114037072 A CN114037072 A CN 114037072A
Authority
CN
China
Prior art keywords
neural network
deep neural
image
data set
test data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111180671.7A
Other languages
English (en)
Inventor
张湾湾
敦婧瑜
薛佳乐
李轶锟
江歆霆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Dahua Technology Co Ltd
Original Assignee
Zhejiang Dahua Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Dahua Technology Co Ltd filed Critical Zhejiang Dahua Technology Co Ltd
Priority to CN202111180671.7A priority Critical patent/CN114037072A/zh
Publication of CN114037072A publication Critical patent/CN114037072A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Image Analysis (AREA)

Abstract

本申请提供一种神经网络优化的方法及设备;基于图像测试数据集,以及其对应的对抗图像测试数据集,确定至少一个数据对;针对任一个数据对,基于第一深度神经网络对数据对进行处理,获得数据对中的图像测试数据对应的第一输出结果,以及对抗图像测试数据对应的第二输出结果,在第一输出结果与第二输出结果之间的比对关系满足条件规则后,确定第一深度神经网络在数据对上的对抗鲁棒性指标的个体值;基于个体值,确定第一深度神经网络在图像测试数据集上的对抗鲁棒性指标的目标值;目标值低于阈值时,基于第一图像训练数据集及其对应的对抗图像训练数据集确定的第二图像训练数据集,对第一深度神经网络进行优化训练;提升深度神经网络的对抗鲁棒性。

Description

一种神经网络优化的方法及设备
技术领域
本发明涉及深度学习安全领域,尤其涉及一种神经网络优化的方法及设备。
背景技术
随着深度神经网络在各领域的广泛应用,深度神经网络易攻击性成为深度学习发展中重要的研究问题之一。
目前,可以有效攻击到深度神经网络的方法,即对抗攻击方法主要是对输入样本进行干扰处理,以添加细微干扰,使深度神经网络以高置信度给出一个错误的输出。这给深度神经网络在各领域中的使用带来了很大的安全隐患。因此,确定和提升深度神经网络的对抗鲁棒性是目前需要解决的问题。
发明内容
本申请提供一种神经网络优化的方法及设备,用以确定深度神经网络的对抗鲁棒性,并基于确定结果对深度神经网络进行优化训练,提升深度神经网络的对抗鲁棒性。
第一方面,本申请实施例提供一种神经网络优化的方法,该方法包括:
基于图像测试数据集,以及图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,其中,每一个数据对中包含有图像测试数据,以及对图像测试数据进行干扰处理获得的对抗图像测试数据;
针对各个数据对分别进行对抗鲁棒性评价操作,获得第一深度神经网络在各个数据对上各自对应的对抗鲁棒性指标的个体值,对抗鲁棒性评价操作包括:基于第一深度神经网络对各个数据对中一个数据对进行处理,得到一个数据对中包含的图像测试数据对应的第一输出结果,以及一个数据对中包含的对抗图像测试数据对应的第二输出结果;若确定第一输出结果与第二输出结果之间的比对关系满足条件规则,则基于对一个数据对中的图像测试数据进行的干扰处理,确定一个数据对对应的个体值;
基于各个数据对各自对应的个体值,确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值,其中对抗鲁棒性指标用于表征第一深度神经网络抵御攻击的能力;
若目标值低于对抗鲁棒性指标阈值,则基于第一图像训练数据集,以及第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于第二图像训练数据集对第一深度神经网络进行优化训练。
在本申请实施例中,在确定基于第一图像训练数据集训练获得的第一深度神经网络的对抗鲁棒性时,将基于图像测试数据集及其对应的对抗图像测试数据集确定的至少一个数据对,分别输入到已训练的第一深度神经网络中,并获得各个数据对中图像测试数据对应的第一输出结果,以及对抗图像测试数据对应的第二输出结果,将同一个数据对对应的第一输出结果和第二输出结果进行比较,确定满足条件规则后,确定第一深度神经网络在该个数据对上对应的对抗鲁棒性指标的个体值,然后基于各个体值,确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值,实现第一深度神经网络的对抗鲁棒性的确定;并在确定目标值低于对抗鲁棒性指标阈值后,基于第一图像训练数据集以及其对应的对抗图像训练数据集,确定第二图像训练数据集,并基于确定的第二图像训练数据集对第一深度神经网络进行优化训练,以提升第一深度神经网络的对抗鲁棒性。
在一种可能的实现方式中,第一深度神经网络是分类网络,第一输出结果和第二输出结果分别为分类网络输出的第一分类结果和第二分类结果;
条件规则包括:第一分类结果与第二分类结果同。
在一种可能的实现方式中,第一深度神经网络是检测识别网络,第一输出结果和第二输出结果分别为分类网络输出的第一识别结果和第二识别结果;
条件规则包括:第一识别结果与第二识别结果不同,且第一检测区域和第二检测区域之间的区域重合度小于区域重合度阈值;其中,第一检测区域是检测识别网络对图像测试数据进行处理时对应的检测区域,第二检测区域是检测识别网络对对抗图像数据进行处理时对应的检测区域。
在一种可能的实现方式中,第一深度神经网络是分割网络,第一输出结果和第二输出结果分别为分割网络输出的第一分割结果和第二分割结果;
条件规则包括:第一分割结果与第二分割结果之间的目标差异度大于差异度阈值。
本申请中,针对不同的第一深度神经网络及其对应的任务目标,设置不同的条件规则,进一步实现针对分类、检测识别、分割网络的对抗鲁棒性确定。
在一种可能的实现方式中,个体值为对满足条件规则的第一输出结果对应的图像测试数据进行干扰处理,以获取第二输出结果对应的对抗图像测试数据时,使用的扰动矩阵;
基于各个数据对各自对应的个体值,确定第一深度神经网络在图像测试数据对上对应的对抗鲁棒性指标的目标值,包括:
针对任一扰动矩阵,基于扰动矩阵中的各个元素值,确定一个中间值;
将基于各个中间值确定的期望值,作为第一深度神经网络在图像测试数据对上对应的对抗鲁棒性指标的目标值。
在一种可能的实现方式中,针对任一扰动矩阵,通过如下方式确定中间值:
对扰动矩阵中的元素值进行归一化处理,确定中间值。
本申请中,给出确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值的实现方式,对于分类网络、检测识别网络、分割网络均可使用该方式,使确定第一深度神经网络对应的对抗鲁棒性指标的目标值的实现方式具有通用性。
在一种可能的实现方式中,基于第二图像训练数据集对第一深度神经网络进行优化训练后,还包括:
若确定基于第二图像训练数据集训练获得的第一深度神经网络对应的目标值低于对抗鲁棒性指标阈值,则在第一深度神经网络中添加用于降低噪声的降噪模块,获得第二深度神经网络;
基于第三图像训练数据集,对第二深度神经网络进行优化训练。
本申请中,在确定进一步优化训练后获得第一深度神经网络对应的目标值仍低于对抗鲁棒性指标阈值时,为了提升对抗鲁棒性,将对第一深度神经网络的网络结构进行改进,在第一深度神经网络中添加用于降低噪声的降噪模块,获得第二深度神经网络,以在训练或使用过程中滤除数据中的噪声,提升对抗鲁棒性;并基于第三图像训练数据集,对第二深度神经网络进行优化训练。
第二方面,本申请实施例提供一种神经网络优化的设备,该设备包括:
至少一个存储器以及至少一个处理器,其中:
存储器,用于存储程序指令;
处理器,用于基于图像测试数据集,以及图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,其中,每一个数据对中包含有图像测试数据,以及对图像测试数据进行干扰处理获得的对抗图像测试数据;
针对各个数据对分别进行对抗鲁棒性评价操作,获得第一深度神经网络在各个数据对上各自对应的对抗鲁棒性指标的个体值,对抗鲁棒性评价操作包括:基于第一深度神经网络对各个数据对中一个数据对进行处理,得到一个数据对中包含的图像测试数据对应的第一输出结果,以及一个数据对中包含的对抗图像测试数据对应的第二输出结果;若确定第一输出结果与第二输出结果之间的比对关系满足条件规则,则基于对一个数据对中的图像测试数据进行的干扰处理,确定一个数据对对应的个体值;
基于各个数据对各自对应的个体值,确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值,其中对抗鲁棒性指标用于表征第一深度神经网络抵御攻击的能力;
若目标值低于对抗鲁棒性指标阈值,则基于第一图像训练数据集,以及第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于第二图像训练数据集对第一深度神经网络进行优化训练。
第三方面,本申请实施例提供一种神经网络优化的装置,该装置包括:
第一确定模块,用于基于图像测试数据集,以及图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,其中,每一个数据对中包含有图像测试数据,以及对图像测试数据进行干扰处理获得的对抗图像测试数据;
获得模块,用于针对各个数据对分别进行对抗鲁棒性评价操作,获得第一深度神经网络在各个数据对上各自对应的对抗鲁棒性指标的个体值,对抗鲁棒性评价操作包括:基于第一深度神经网络对各个数据对中一个数据对进行处理,得到一个数据对中包含的图像测试数据对应的第一输出结果,以及一个数据对中包含的对抗图像测试数据对应的第二输出结果;若确定第一输出结果与第二输出结果之间的比对关系满足条件规则,则基于对一个数据对中的图像测试数据进行干扰处理,确定一个数据对对应的个体值;
第二确定模块,用于基于各个数据对各自对应的个体值,确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值,其中对抗鲁棒性指标用于表征第一深度神经网络抵御攻击的能力;
优化训练模块,用于若目标值低于对抗鲁棒性指标阈值,则基于第一图像训练数据集,以及第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于第二图像训练数据集对第一深度神经网络进行优化训练。
第四方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令被处理器执行时实现本申请实施例提供的神经网络优化的方法步骤。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种神经网络优化的方法流程图;
图2为本申请实施例提供的一种确定第一检测区域与第二检测区域之间的重合区域的示意图;
图3为本申请实施例提供的一种确定包含有第一检测区域和第二检测区域的最小目标区域的示意图;
图4为本申请实施例提供的一种添加降噪模块的第二深度神经网络的示意图;
图5为本申请实施例提供的一种深度神经网络优化的整体方法流程图;
图6为本申请实施例提供的一种神经网络优化设备的结构图;
图7为本申请实施例提供的一种神经网络优化装置的结构图。
具体实施方式
为了使本申请的目的、技术方案及有益效果更加清楚明白,以下将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
下面对本申请实施例的设计构思进行简单介绍。
深度神经网络应用于各个领域,深度神经网络的易攻击性已成为深度学习发展中重要的研究问题之一。
目前,已提出了多种可以有效攻击到深度神经网络的方法,统称为对抗攻击方法。对抗攻击即对输入到深度神经网络的输入样本添加轻微干扰,使深度神经网络以高置信度给出一个错误的输出。这给深度神经网络在各个领域的使用部署带来了很大的安全隐患。因此,确定和提升深度神经网络的对抗鲁棒性是目前需要解决的问题。
相关技术中,被广泛研究的图像分类领域常用深度神经网络在图像测试数据集上的分类准确性来确定第一深度神经网络的对抗鲁棒性。但是这种方式受限于图像测试数据集的难易程度,无法公平地体现出深度神经网络本身的对抗鲁棒性,且该方式仅适用于图像分类,对于图像检测识别、图像分割等任务中应用的深度神经网络的对抗鲁棒性无法确定。
基于上述问题,本申请实施例中提供适用于各种类型的深度神经网络的对抗鲁棒性的确定方式,实现确定深度神经网络的对抗鲁棒性的通用性,同时给出基于确定深度神经网络的对抗鲁棒性确定深度神经网络是否需要进一步优化,并在确定深度神经网络需要进一步优化后,对深度神经网络进行优化训练,以提升深度神经网络的对抗鲁棒性,使该深度神经网络可以更好的防御攻击。
在一种可能的实现方式中,基于图像测试数据集,以及图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,每个数据对中包含有图像测试数据,以及对该图像测试数据进行干扰处理获得的对抗图像测试数据;并针对任一个测试数据,通过基于第一图像训练数据集进行训练后获得的第一深度神经网络,获取数据对中的图像测试数据对应的第一输出结果,以及对抗图像测试数据对应的第二输出结果,在确定第一输出结果与第二输出结果之间的比对关系满足条件规则后,确定第一深度神经网络对应在图像测试数据上对应的对应抗鲁棒性指标的个体值;然后,基于各个数据对确定的各个个体值,确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值;在确定目标值低于对抗鲁棒性指标阈值后,基于第一图像训练数据集及其对应的对抗图像训练数据集,确定第二图像训练数据集,并基于第二图像训练数据集对第一深度神经网络进行优化训练。故,本申请实施例实现确定第一深度神经网络的对抗鲁棒性,并基于确定结果对第一深度神经网络进行优化训练,提升第一深度神经网络的对抗鲁棒性。
在一种可能的实现方式中,在对第一深度神经网络进行优化训练后,继续确定第一深度神经网络的对抗鲁棒性指标的目标值,在确定优化训练后的第一深度神经网络的目标值低于对抗鲁棒性指标阈值后,在第一深度神经网络中添加用于降低噪声的降噪模块,获得第二深度神经网络,并基于第三图像训练数据集,对第二深度神经网络进行优化处理。提供对深度神经网络进行二次优化的技术方案,进一步提升深度神经网络的对抗鲁棒性。
综上,本申请实施例提供的一种神经网络优化的方法适用于各种应用到图像检测识别、图像分类以及图像分割的应用场景中。
下面根据附图来描述本申请示例性实施方式提供的网络优化的方法,需要注意的是,上述仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。
为了保证第一深度神经网络输出结果的准确性,采用由大量训练数据个成的训练数据集对第一深度神经网络进行训练,并采用由大量测试数据个成的测试数据集对训练得到的第一深度神经网络进行测试,确定训练得到的第一深度神经网络抵御攻击的能力,以便对训练得到的第一深度神经网络进行优化。
本申请实施例中,采用对抗鲁棒性指标表征第一深度神经网络抵御攻击的能力,并提出了对图像分类网络、图像检测识别网络、图像分割网络的优化训练方法,以提升对抗鲁棒性。
需要说明的是,图像分类网络、图像检测识别网络、图像分割网络可以是自定义的任一结构的第一深度神经网络f1(Deep Neural Networks,DNNs)。
在优化之前,应先对第一深度神经网络f1进行训练,具体训练过程如下:
获取第一图像训练数据集;第一图像训练数据集可以是用于目标分类、目标检测识别、目标分割的任一图像数据集;
基于第一图像训练数据值,对第一深度神经网络f1进行训练,直至满足条件后,获取训练后的第一深度神经网络f1。
为了保证第一深度神经网络f1的对抗鲁棒性,首先确定第一深度神经网络f1对应的对抗鲁棒性指标的目标值,然后将目标值与对抗鲁棒性指标阈值进行比较,并基于比较结果确定需要对第一深度神经网络f1进行优化训练后,继续对第一深度神经网络f1进行网络优化训练,以提升第一深度神经网络f1的对抗鲁棒性。
请参考图1,图1示例性提供本申请实施例中一种神经网络优化的方法,该方法包括如下步骤:
步骤S100,基于图像测试数据集,以及图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,其中,每一个数据对中包含有图像测试数据,以及对图像测试数据进行干扰处理获得的对抗图像测试数据。
其中,图像测试数据集是与第一图像训练数据集同类型的图像数据集,即图像测试数据集可以是用于目标分类、目标检测识别、目标分割的任一图像数据集。
在获取图像测试数据集后,以基于第一图像训练数据集训练获得的第一深度神经网络f1为基础网络,以图像测试数据集为输入数据,进行对抗训练,得到与图像测试数据集中各图像测试数据一一对应的对抗图像测试数据,即得到与图像测试数据集对应的对抗图像测试数据集。
其中,对抗训练可以选定一种或多种对抗攻击方法,比如,对抗攻击方法包括但不限于:基于梯度的攻击方法,基于优化的攻击方法。
对抗攻击方法,就是对图像测试数据进行干扰处理,添加细微干扰,以得到与图像测试数据对应的对抗图像测试数据,然后通过第一深度神经网络对对抗图像测试数据进行相应的任务处理,比如分类、检测识别、分割等。
故在获取到包含有图像测试数据以及与其对应的对抗图像测试数据的数据对后,每一个数据对中包含的对抗图像测试数据都是对图像测试数据进行干扰处理获得的。
在本申请实施例中,在获得各个数据对后,针对各个数据对分别进行对抗鲁棒性评价操作,以获得第一深度神经网络在各个数据对上各自对应的对抗鲁棒性指标的个体值;
其中,针对各个数据对中的任一个数据对进行对抗鲁棒性评价操作可参见步骤S101~步骤S102。
步骤S101,针对任一个数据对,基于第一深度神经网络对数据对进行处理,获得数据对中的图像测试数据对应的第一输出结果,以及对抗图像测试数据对应的第二输出结果;
其中,第一深度神经网络是基于第一图像训练数据集进行训练后获得的。
在获取到至少一个包含有图像测试数据,以及其对应的对抗图像测试数据的数据对后,针对任一个数据对,将数据对中的图像测试数据以及对抗图像测试数据分别输入到第一深度神经网络f1,以得到第一深度神经网络f1的输出结果。
需要说明的是,本申请实施例中,将第一深度神经网络针对图像测试数据输出的结果作为第一输出结果,将第一深度神经网络针对对抗图像测试数据输出的结果作为第二输出结果。
步骤S102,针对任一个数据对,若第一输出结果与第二输出结果之间的比对关系满足条件规则,则基于对一个数据对中的图像测试数据进行的干扰处理,确定一个数据对对应的个体值。
由于本申请实施例中提出了分类网络、检测识别网络以及分割网络,因此本申请实施例中针对不同的网络类型和各个网络的任务目标,对各个网络分别设置了条件规则。
示例性的,若第一深度神经网络f1是分类网络,则第一输出结果和第二输出结果分别为分类网络输出的第一分类结果和第二分类结果,条件规则包括第一分类结果和第二分类结果不一致;具体可参见公式1:
公式1:Cf(x+r,x)=f(x+r)≠f(x);
其中,Cf(x+r,x)用于表征条件规则,f用于表征分类网络,f(x+r)用于表征第二分类结果,f(x)用于表征第一分类结果,x用于表征图像测试数据,(x+r)用于表征对抗图像测试数据,r用于表征在图像测试数据上添加的扰动的大小;
也就是说,对于分类网络,条件规则f(x+r)≠f(x)表示进行干扰处理后,分类结果错误。
示例性的,若第一深度神经网络f1是检测识别网络,则第一输出结果为第一识别结果,第二输出结果为第二识别结果;条件规则包括第一识别结果与第二识别结果不一致,且检测识别网络对图像测试数据进行处理时对应的第一检测区域,与检测识别网络对对抗图像测试数据进行处理时对应的第二检测区域之间的区域重合度小于区域重合度阈值;具体可参见公式2:
公式2:Cf(x+r,x)=k*f(x+r)≠f(x)+t*If(x+r,x)<th1;
其中,Cf(x+r,x)用于表征条件规则,f用于表征检测识别网络,f(x+r)用于表征第二识别结果,f(x)用于表征第一识别结果,x用于表征图像测试数据,(x+r)用于表征对抗图像测试数据,r用于表征在图像测试数据上添加的扰动的大小,If(x+r,x)用于表征第一检测区域与第二检测区域之间的区域重合度,th1用于表征区域重合度阈值,k用于表征识别条件的系数,t用于表征检测条件的系数;
需要说明的是,th1、k、t为常数可自行设定,默认k=t=1,th1=0.5;
也就是说,对于检测识别网络,条件规则中的k*f(x+r)≠f(x)表示添干扰处理动后,识别结果错误;t*If(x+r,x)<th1表示进行干扰处理后,检测结果错误。
在本申请实施例中,第一检测区域与第二检测区域之间的区域重合度是通过如下方式确定的:
确定第一检测区域与第二检测区域的重合区域,以及确定第一检测区域以及第二检测区域中的最小目标区域,具体可参见图2和图3,图2示例性提出一种确定重合区域的示意图,图3示例性提出一种确定最小目标区域的示意图;
然后,基于确定的重合区域以及最小目标区域,确定第一检测区域与第二检测区域之间的区域重合度;可参见下述公式3:
公式3:If(x+r,x)=Bf(x+r)∩Bf(x)/min(Bf(x+r),Bf(x));
其中,If(x+r,x)用于表征第一检测区域与第二检测区域之间的区域重合度,Bf(x)用于表征第一深度神经网络f1在图像测试数据处的第一检测区域,Bf(x+r)用于表征第一深度神经网络f1在对抗图像测试数据处的第二检测区域。
示例性的,若第一深度神经网络f1是分割网络,则第一输出结果为第一分割结果,第二输出结果为第二分割结果;条件规则包括第一分割结果与第二分割结果之间的目标差异度大于差异度阈值;具体可参见公式4:
公式4:Cf(x+r,x)=Hf(x+r,x)>th2;
其中,Cf(x+r,x)用于表征条件规则,f用于表征分割网络,Hf(x+r,x)用于表征第一分割结果与第二分割结果之间的目标差异度,th2用于表征差异度阈值;需要说明的是,th2为常数,可自行设定;
也就是说,对于分割网络,Hf(x+r,x)>th2表示进行干扰处理后,分割失败。
在本申请实施例中,第一分割结果与第二分割结果之间的目标差异度是通过如下方式确定的:
通过单向豪斯多夫距离算法,确定第一分割结果到第二分割结果的第一子差异度,以及第二分割结果到第一分割结果的第二子差异度;在第一子差异度和第二子差异度中,筛选出最大的子差异度,作为第一分割结果与第二分割结果之间的目标差异度;
也就是说,在本申请实施例中,第一分割结果与第二分割结果之间的目标差异度是通过双向豪斯多发距离算法确定的;具体可参见公式5;
公式5:Hf(x+r,x)=hausdorff(Sf(x+r,x),Sf(x));
其中,hausdorff用于表征双向豪斯多夫距离,Sf(x)用于表征第一深度神经网络f1在图像测试数据处的第一分割结果,Sf(x+r,x)用于表征第一深度神经网络f1在对抗图像测试数据处的第二分割结果,Hf(x+r,x)用于表征第一分割结果与第二分割结果之间的目标差异度,衡量两个分割结果之间的距离。
基于上述设定的条件规则,确定第一输出结果与第二输出结果之间的比对关系满足条件规则后,确定第一深度神经网络f1在各个满足条件规则的数据对中的图像测试数据上对应的对抗鲁棒性指标的个体值;
其中,个体值为对满足条件规则的第一输出结果对应的图像测试数据进行干扰处理,以获得第二输出结果对应的对抗图像测试数据时,使用的扰动矩阵。
在一种可能的情况下,个体值为使得条件规则Cf(x+r,x)成立的最小扰动,具体可参见公式6;
公式6:R(x,f)=minr||r||2s.tCf(x+r,x);
其中,R(x,f)用于表征第一深度神经网络f1在图像测试数据x处对应的对抗鲁棒性指标的个体值,r为扰动矩阵。
步骤S103,基于各个数据对各自对应的个体值,确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值。
在确定了第一深度神经网络f1在各个数据对中的图像测试数据上对应的对抗鲁棒性指标后,基于各个数据对确定的各个个体值,确定第一深度神经网络f1在图像测试数据集上对应的对抗鲁棒性指标的目标值。
在一种可能的实现方式中,基于各个数据对各自对应的扰动矩阵,确定第一深度神经网络f1在图像测试数据集上对应的对抗鲁棒性指标的目标值,包括:
针对任一扰动矩阵,对扰动矩阵中的元素值进行归一化处理,确定一个中间值。
在一种可能的实现方式中,可以通过公式7的方式进行归一化处理,也可以采用公式8的方式进行归一化处理:
公式7:
Figure BDA0003297022070000141
其中,Y用于表征中间值,R(x,f)用于表征扰动矩阵,G(R(x,f))用于表征归一化处理,zi用于表征扰动矩阵中的各个元素值,zmin用于表征扰动矩阵中的最小元素值,zmax用于表征扰动矩阵中的最大元素值;
公式8:
Figure BDA0003297022070000142
其中,ρ用于表征第一深度神经网络f1在图像测试数据集上对应的对抗鲁棒性指标的目标值,E用于表征期望,x用于表征图像测试数据,TE用于表征图像测试数据集,R(x,f)用于表征第一深度神经网络f1对应的对抗鲁棒性指标的个体值。
确定各个扰动矩阵对应的中间值后,将基于各个中间值确定期望值,并将期望值作为第一深度神经网络f1对应的对抗鲁棒性指标的目标值;具体可参见公式9:
公式9:ρ=Ex∈TEG(R(x,f));
其中,ρ用于表征第一深度神经网络f1在图像测试数据集上对应的对抗鲁棒性指标的目标值,E用于表征期望,x用于表征图像测试数据,TE用于表征图像测试数据集,G(R(x,f))用于表征中间值。
步骤S104,若目标值低于对抗鲁棒性指标阈值,则基于第一图像训练数据集,以及第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于第二图像训练数据集对第一深度神经网络进行优化训练。
在本申请实施例中,在获取到目标值ρ后,将获取到的目标值ρ与对抗鲁棒性指标阈值ρ0进行比较,并基于比较结果确定是否需要对第一深度神经网络进行优化训练。
示例性的,若确定目标值ρ不小于抗鲁棒性指标阈值ρ0,则确定该第一深度神经网络的对抗鲁棒性较好,不需要对该第一深度神经网络进行优化;
若确定目标值ρ小于抗鲁棒性指标阈值ρ0,则确定需要对该第一深度神经网络进行优化。
在确定需要对该第一深度神经网络进行优化后,需要获取第二图像训练数据集,并基于第二图像训练数据集,对该第一深度神经网络中的网络参数进行调整,即对该第一深度神经网络进行优化训练,以提高第一深度神经网络的对抗鲁棒性;
其中,第二图像训练数据集中包括有第一图像训练数据集,以及第一图像训练数据对应的对抗图像训练数据集。
在一种可能的实现方式中,对抗图像训练数据集是通过如下方式获得的:
以基于第一图像训练数据集训练获得的第一深度神经网络f1为基础网络,以第一图像训练数据集为输入数据,进行对抗训练,得到与第一图像训练数据集中各图像训练数据一一对应的对抗图像训练数据,即得到与第一图像训练数据集对应的对抗图像训练数据集。
在基于第二图像训练数据集对第一深度神经网络f1进行优化训练后,为了保证优化训练后获得的第一深度神经网络f1的对抗鲁棒性;本申请实施例中,在获得优化训练后得到的第一深度神经网络f1后,确定优化训练后的第一深度神经网络f1对应的对抗鲁棒性指标的目标值,具体可参见步骤S100~步骤S104,原理类似,在此不再赘述。
在确定优化训练后的第一深度神经网络f1对应的对抗鲁棒性指标的目标值后,确定优化训练后的第一深度神经网络f1对应的对抗鲁棒性指标的目标值是否达到对抗鲁棒性指标阈值,即将优化训练后的第一深度神经网络对应的对抗鲁棒性指标的目标值与对抗鲁棒性指标阈值进行比较;然后将基于比较结果确定是否需要针对优化训练后的第一深度神经网络f1进行再次优化训练。
同理,在确定优化训练后的第一深度神经网络f1对应的对抗鲁棒性指标的目标值小于对抗鲁棒性指标阈值后,确定优化训练后的第一深度神经网络f1需要进行再次优化。
确定进行再次优化训练时,将改变第一深度神经网络f1的网络结构,即在优化训练后的第一深度神经网络f1中添加用于降低噪声的降噪模块,获得第二深度神经网络f2,请参考图4,图4示例性提供本申请实施例中一种添加降噪模块的第二深度神经网络的示意图;并基于第三图像训练数据集,对第二深度神经网络f2进行优化训练。
需要说明的是,第三图像训练数据集可以为包含有第一图像训练数据集,以及对抗图像训练数据集的数据集。
在本申请实施例中,确定对第二深度神经网络f2进行优化训练满足条件后,获取优化训练后的第二深度神经网络f2,并确定第二深度神经网络f2对应的对抗鲁棒性指标的目标值与对抗鲁棒性阈值之间的关系,以此来确定是否需要对第二深度神经网络f2进行优化训练,在确定需要针对第二深度神经网络f2进行优化训练后,采用针对第一深度神经网络f1进行优化训练的方式对第二深度神经网络f2进行优化处理,以此来保证用于进行目标分类、目标识别检测以及目标分割的深度神经网络的对抗鲁棒性。
请参考图5,图5示例性提供了本申请实施例中一种神经网络优化方法的整体流程图,包括如下步骤:
步骤S500,获取第一图像训练数据集,并基于第一图像训练数据集对第一深度神经网络进行训练,获取训练后的第一深度神经网络;
步骤S501,获取图像测试数据集,及图像测试数据集对应的对抗图像测试数据集,并基于图像测试数据集,及对抗图像测试数据集,确定至少一个数据对,每一个数据对中包含有图像测试数据,以及对图像测试数据进行干扰处理获得的对抗图像测试数据;
步骤S502,针对任一个数据对,基于第一深度神经网络,获得数据对中的图像测试数据对应的第一输出结果,以及对抗图像测试数据对应的第二输出结果;
步骤S503,针对任一个数据对,在第一输出结果与第二输出结果之间的比值满足条件规则后,确定第一深度神经网络在数据对上对应的对抗鲁棒性指标的个体值;
步骤S504,基于各个数据对各自对应的个体值,确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值;
步骤S505,判断目标值是否低于对抗鲁棒性指标阈值,若低于则执行步骤S506,否则执行步骤S510;
步骤S506,基于第一图像训练数据集,以及第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于第二图像训练数据集对第一深度神经网络进行优化训练;
步骤S507,确定优化训练后的第一深度神经网络对应的对抗鲁棒性指标的目标值;
步骤S508,判断目标值是否低于对抗鲁棒性指标阈值,若低于则执行步骤S509,否则执行步骤S510;
步骤S509,在第一深度神经网络中添加用于降低噪声的降噪模块以获得第二深度神经网络,并以第一图像训练数据集以及其对应的对抗图像训练数据集组成的第三图像训练数据集,对第二深度神经网络进行优化训练;
步骤S510,结束优化训练。
需要说明的是,在本申请实施例中,在基于各个数据对各自对应的个体值,确定第一深度神经网络在图像测试数据上对应的对抗鲁棒性指标的目标值后,若确定目标值第一对抗鲁棒性指标阈值,则可直接对第一深度神经网络的网络结构进行改进,即在第一深度神经网络中添加降噪模块以获得第二深度神经网络,并对第二深度神经网络进行优化训练。
本申请实施例中,可针对目标分类、目标检测识别以及目标分割的深度神经网络确定对应的对抗鲁棒性指标的目标值,并基于目标值与对抗鲁棒性阈值之间的关系,确定需要对深度神经网络优化训练后,提出两种优化训练的方式,以提升针对目标分类、目标检测识别以及目标分割的深度神经网络的对抗鲁棒性。
基于同一发明构思,本申请实施例还提供了一种神经网络优化的设备,请参考图6,图6示例性提供了本申请实施例中一种神经网络优化的设备,该设备包括至少一个存储器601以及至少一个处理器600,其中:
存储器601,用于存储程序指令;
处理器600,用于基于图像测试数据集,以及图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,其中,每一个数据对中包含有图像测试数据,以及对图像测试数据进行干扰处理获得的对抗图像测试数据;
针对各个数据对分别进行对抗鲁棒性评价操作,获得第一深度神经网络在各个数据对上各自对应的对抗鲁棒性指标的个体值,对抗鲁棒性评价操作包括:基于第一深度神经网络对各个数据对中一个数据对进行处理,得到一个数据对中包含的图像测试数据对应的第一输出结果,以及一个数据对中包含的对抗图像测试数据对应的第二输出结果;若确定第一输出结果与第二输出结果之间的比对关系满足条件规则,则基于对一个数据对中的图像测试数据进行的干扰处理,确定一个数据对对应的个体值;
基于各个数据对各自对应的个体值,确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值,其中对抗鲁棒性指标用于表征第一深度神经网络抵御攻击的能力;
若目标值低于对抗鲁棒性指标阈值,则基于第一图像训练数据集,以及第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于第二图像训练数据集对第一深度神经网络进行优化训练。
在一种可能的实现方式中,第一深度神经网络是分类网络,第一输出结果和第二输出结果分别为分类网络输出的第一分类结果和第二分类结果;
条件规则包括:第一分类结果与第二分类结果同。
在一种可能的实现方式中,第一深度神经网络是检测识别网络,第一输出结果和第二输出结果分别为分类网络输出的第一识别结果和第二识别结果;
条件规则包括:第一识别结果与第二识别结果不同,且第一检测区域和第二检测区域之间的区域重合度小于区域重合度阈值;其中,第一检测区域是检测识别网络对图像测试数据进行处理时对应的检测区域,第二检测区域是检测识别网络对对抗图像数据进行处理时对应的检测区域。
在一种可能的实现方式中,第一深度神经网络是分割网络,第一输出结果和第二输出结果分别为分割网络输出的第一分割结果和第二分割结果;
条件规则包括:第一分割结果与第二分割结果之间的目标差异度大于差异度阈值。
在一种可能的实现方式中,处理器600通过如下方式确定第一检测区域与第二检测区域之间的重合度:
确定第一检测区域与第二检测区域的重合区域,以及确定第一检测区域以及第二检测区域中的最小目标区域;
基于重合区域以及最小目标区域,确定第一检测区域与第二检测区域之间的重合度。
在一种可能的实现方式中,处理器600通过如下方式确定第一分割结果与第二分割结果之间的目标差异度:
通过单向豪斯多夫距离算法,确定第一分割结果到第二分割结果的第一子差异度,以及第二分割结果到第一分割结果的第二子差异度;
在第一子差异度和第二子差异度中,筛选出最大的子差异度,作为第一分割结果与第二分割结果之间的目标差异度。
在一种可能的实现方式中,个体值为对满足条件规则的第一输出结果对应的图像测试数据进行干扰处理,以获取第二输出结果对应的对抗图像测试数据时,使用的扰动矩阵;
处理器600具体用于:
针对任一扰动矩阵,基于扰动矩阵中的各个元素值,确定一个中间值;
将基于各个中间值确定的期望值,作为第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值。
在一种可能的实现方式中,处理器600通过如下方式确定中间值:
对扰动矩阵中的元素值进行归一化处理,确定中间值。
在一种可能的实现方式中,处理器600基于第二图像训练数据集对第一深度神经网络进行优化训练后,还用于:
若确定基于第二图像训练数据集训练获得的第一深度神经网络对应的目标值低于对抗鲁棒性指标阈值,则在第一深度神经网络中添加用于降低噪声的降噪模块,获得第二深度神经网络;
基于第三图像训练数据集,对第二深度神经网络进行优化训练。
基于同一发明构思,本申请实施例还提供了一种神经网络优化的装置700,请参考图7,图7示例性提供了本申请实施例中一种神经网络优化的装置700,该装置包括:
第一确定模块701,用于基于图像测试数据集,以及图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,其中,每一个数据对中包含有图像测试数据,以及对图像测试数据进行干扰处理获得的对抗图像测试数据;
获得模块702,用于针对各个数据对分别进行对抗鲁棒性评价操作,获得第一深度神经网络在各个数据对上各自对应的对抗鲁棒性指标的个体值,对抗鲁棒性评价操作包括:基于第一深度神经网络对各个数据对中一个数据对进行处理,得到一个数据对中包含的图像测试数据对应的第一输出结果,以及一个数据对中包含的对抗图像测试数据对应的第二输出结果;若确定第一输出结果与第二输出结果之间的比对关系满足条件规则,则基于对一个数据对中的图像测试数据进行干扰处理,确定一个数据对对应的个体值;
第二确定模块703,用于基于各个数据对各自对应的个体值,确定第一深度神经网络在图像测试数据集上对应的对抗鲁棒性指标的目标值,其中对抗鲁棒性指标用于表征第一深度神经网络抵御攻击的能力;
优化训练模块704,用于若目标值低于对抗鲁棒性指标阈值,则基于第一图像训练数据集,以及第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于第二图像训练数据集对第一深度神经网络进行优化训练。
在一种可能的实现方式中,第一深度神经网络是分类网络,第一输出结果和第二输出结果分别为分类网络输出的第一分类结果和第二分类结果;
条件规则包括:第一分类结果与第二分类结果同。
在一种可能的实现方式中,第一深度神经网络是检测识别网络,第一输出结果和第二输出结果分别为分类网络输出的第一识别结果和第二识别结果;
条件规则包括:第一识别结果与第二识别结果不同,且第一检测区域和第二检测区域之间的区域重合度小于区域重合度阈值;其中,第一检测区域是检测识别网络对图像测试数据进行处理时对应的检测区域,第二检测区域是检测识别网络对对抗图像数据进行处理时对应的检测区域。
在一种可能的实现方式中,第一深度神经网络是分割网络,第一输出结果和第二输出结果分别为分割网络输出的第一分割结果和第二分割结果;
条件规则包括:第一分割结果与第二分割结果之间的目标差异度大于差异度阈值。
在一种可能的实现方式中,通过如下方式确定第一检测区域与第二检测区域之间的重合度:
确定第一检测区域与第二检测区域的重合区域,以及确定第一检测区域以及第二检测区域中的最小目标区域;
基于重合区域以及最小目标区域,确定第一检测区域与第二检测区域之间的重合度。
在一种可能的实现方式中,通过如下方式确定第一分割结果与第二分割结果之间的目标差异度:
通过单向豪斯多夫距离算法,确定第一分割结果到第二分割结果的第一子差异度,以及第二分割结果到第一分割结果的第二子差异度;
在第一子差异度和第二子差异度中,筛选出最大的子差异度,作为第一分割结果与第二分割结果之间的目标差异度。
在一种可能的实现方式中,个体值为对满足条件规则的第一输出结果对应的图像测试数据进行干扰处理,以获取第二输出结果对应的对抗图像测试数据时,使用的扰动矩阵;
第二确定模块703具体用于:
针对任一扰动矩阵,基于扰动矩阵中的各个元素值,确定一个中间值;
将基于各个中间值确定的期望值,作为第一深度神经网络在图像测试数据集上对应的鲁棒性指标的目标值。
在一种可能的实现方式中,针对任一扰动矩阵,第二确定模块703通过如下方式确定中间值:
对扰动矩阵中的元素值进行归一化处理,确定中间值。
在一种可能的实现方式中,优化训练模块704基于第二图像训练数据集对第一深度神经网络进行优化训练后,还用于:
若确定基于第二图像训练数据集训练获得的第一深度神经网络对应的目标值低于对抗鲁棒性指标阈值,则在第一深度神经网络中添加用于降低噪声的降噪模块,获得第二深度神经网络;
基于第三图像训练数据集,对第二深度神经网络进行优化训练。
在一些可能的实施方式中,本申请提供的网络优化的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的网络优化的方法中的步骤。
程序产品可以采用每个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有每个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的短信息的发送控制的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算装置上运行。
可读信号介质可以包括在基带中或者作为载波一子模型传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两种或更多单元的特征向量和功能可以在每个单元中具体化。反之,上文描述的每个单元的特征向量和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为每个步骤执行,和/或将每个步骤分解为多个步骤执行。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种神经网络优化的方法,其特征在于,该方法包括:
基于图像测试数据集,以及所述图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,其中,每一个数据对中包含有图像测试数据,以及对所述图像测试数据进行干扰处理获得的对抗图像测试数据;
针对各个数据对分别进行对抗鲁棒性评价操作,获得第一深度神经网络在各个数据对上各自对应的对抗鲁棒性指标的个体值,所述对抗鲁棒性评价操作包括:基于所述第一深度神经网络对所述各个数据对中一个数据对进行处理,得到所述一个数据对中包含的图像测试数据对应的第一输出结果,以及所述一个数据对中包含的对抗图像测试数据对应的第二输出结果;若确定所述第一输出结果与所述第二输出结果之间的比对关系满足条件规则,则基于对所述一个数据对中的所述图像测试数据进行的干扰处理,确定所述一个数据对对应的个体值;
基于所述各个数据对各自对应的个体值,确定所述第一深度神经网络在所述图像测试数据集上对应的对抗鲁棒性指标的目标值,其中所述对抗鲁棒性指标用于表征所述第一深度神经网络抵御攻击的能力;
若所述目标值低于对抗鲁棒性指标阈值,则基于所述第一图像训练数据集,以及所述第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于所述第二图像训练数据集对所述第一深度神经网络进行优化训练。
2.如权利要求1所述的方法,其特征在于,所述第一深度神经网络是分类网络,所述第一输出结果和所述第二输出结果分别为所述分类网络输出的第一分类结果和第二分类结果;
所述条件规则包括:
所述第一分类结果与所述第二分类结果同。
3.如权利要求1所述的方法,其特征在于,所述第一深度神经网络是检测识别网络,所述第一输出结果和所述第二输出结果分别为所述分类网络输出的第一识别结果和第二识别结果;
所述条件规则包括:
所述第一识别结果与所述第二识别结果不同,且第一检测区域和第二检测区域之间的区域重合度小于区域重合度阈值;其中,所述第一检测区域是所述检测识别网络对所述图像测试数据进行处理时对应的检测区域,所述第二检测区域是所述检测识别网络对所述对抗图像数据进行处理时对应的检测区域。
4.如权利要求1所述的方法,其特征在于,所述第一深度神经网络是分割网络,所述第一输出结果和所述第二输出结果分别为所述分割网络输出的第一分割结果和第二分割结果;
所述条件规则包括:
所述第一分割结果与所述第二分割结果之间的目标差异度大于差异度阈值。
5.如权利要求1所述的方法,其特征在于,所述个体值为对满足条件规则的第一输出结果对应的所述图像测试数据进行干扰处理,以获取所述第二输出结果对应的所述对抗图像测试数据时,使用的扰动矩阵;
所述基于所述各个数据对各自对应的个体值,确定所述第一深度神经网络在所述图像测试数据集上对应的对抗鲁棒性指标的目标值,包括:
针对任一所述扰动矩阵,基于所述扰动矩阵中的各个元素值,确定一个中间值;
将基于各个所述中间值确定的期望值,作为所述第一深度神经网络在所述图像测试数据集上对应的对抗鲁棒性指标的目标值。
6.如权利要求5所述的方法,其特征在于,针对任一所述扰动矩阵,通过如下方式确定所述中间值:
对所述扰动矩阵中的元素值进行归一化处理,确定所述中间值。
7.如权利要求1~6任一所述的方法,其特征在于,所述基于所述第二图像训练数据集对所述第一深度神经网络进行优化训练后,还包括:
若确定基于所述第二图像训练数据集训练获得的第一深度神经网络对应的目标值低于所述对抗鲁棒性指标阈值,则在所述第一深度神经网络中添加用于降低噪声的降噪模块,获得第二深度神经网络;
基于第三图像训练数据集,对所述第二深度神经网络进行优化训练。
8.一种神经网络优化的设备,其特征在于,该设备包括:至少一个存储器以及至少一个处理器,其中:
所述存储器,用于存储程序指令;
所述处理器,用于基于图像测试数据集,以及所述图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,其中,每一个数据对中包含有图像测试数据,以及对所述图像测试数据进行干扰处理获得的对抗图像测试数据;
针对各个数据对分别进行对抗鲁棒性评价操作,获得第一深度神经网络在各个数据对上各自对应的对抗鲁棒性指标的个体值,所述对抗鲁棒性评价操作包括:基于所述第一深度神经网络对所述各个数据对中一个数据对进行处理,得到所述一个数据对中包含的图像测试数据对应的第一输出结果,以及所述一个数据对中包含的对抗图像测试数据对应的第二输出结果;若确定所述第一输出结果与所述第二输出结果之间的比对关系满足条件规则,则基于对所述一个数据对中的所述图像测试数据进行的干扰处理,确定所述一个数据对对应的个体值;
基于所述各个数据对各自对应的个体值,确定所述第一深度神经网络在所述图像测试数据集上对应的对抗鲁棒性指标的目标值,其中所述对抗鲁棒性指标用于表征所述第一深度神经网络对攻击的防御能力;
若所述目标值低于对抗鲁棒性指标阈值,则基于所述第一图像训练数据集,以及所述第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于所述第二图像训练数据集对所述第一深度神经网络进行优化训练。
9.一种神经网络优化的装置,其特征在于,所述装置包括:
第一确定模块,用于基于图像测试数据集,以及所述图像测试数据集对应的对抗图像测试数据集,确定至少一个数据对,其中,每一个数据对中包含有图像测试数据,以及对所述图像测试数据进行干扰处理获得的对抗图像测试数据;
获得模块,用于针对各个数据对分别进行对抗鲁棒性评价操作,获得第一深度神经网络在各个数据对上各自对应的对抗鲁棒性指标的个体值,所述对抗鲁棒性评价操作包括:基于所述第一深度神经网络对所述各个数据对中一个数据对进行处理,得到所述一个数据对中包含的图像测试数据对应的第一输出结果,以及所述一个数据对中包含的对抗图像测试数据对应的第二输出结果;若确定所述第一输出结果与所述第二输出结果之间的比对关系满足条件规则,则基于对所述一个数据对中的所述图像测试数据进行干扰处理,确定所述一个数据对对应的个体值;
第二确定模块,用于基于所述各个数据对各自对应的个体值,确定所述第一深度神经网络在所述图像测试数据集上对应的对抗鲁棒性指标的目标值,其中所述对抗鲁棒性指标用于表征所述第一深度神经网络抵御攻击的能力;
优化训练模块,用于若所述目标值低于对抗鲁棒性指标阈值,则基于所述第一图像训练数据集,以及所述第一图像训练数据集对应的对抗图像训练数据集,确定第二图像训练数据集,并基于所述第二图像训练数据集对所述第一深度神经网络进行优化训练。
10.一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序在被处理器执行时,用于实现权利要求1-7中任一项所述的方法。
CN202111180671.7A 2021-10-11 2021-10-11 一种神经网络优化的方法及设备 Pending CN114037072A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111180671.7A CN114037072A (zh) 2021-10-11 2021-10-11 一种神经网络优化的方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111180671.7A CN114037072A (zh) 2021-10-11 2021-10-11 一种神经网络优化的方法及设备

Publications (1)

Publication Number Publication Date
CN114037072A true CN114037072A (zh) 2022-02-11

Family

ID=80134731

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111180671.7A Pending CN114037072A (zh) 2021-10-11 2021-10-11 一种神经网络优化的方法及设备

Country Status (1)

Country Link
CN (1) CN114037072A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115019049A (zh) * 2022-08-08 2022-09-06 四川大学 基于深度神经网络的骨显像骨病灶分割方法、系统及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115019049A (zh) * 2022-08-08 2022-09-06 四川大学 基于深度神经网络的骨显像骨病灶分割方法、系统及设备
CN115019049B (zh) * 2022-08-08 2022-12-16 四川大学 基于深度神经网络的骨显像骨病灶分割方法、系统及设备

Similar Documents

Publication Publication Date Title
CN108667856B (zh) 一种网络异常检测方法、装置、设备及存储介质
TWI723476B (zh) 異常檢測的解釋特徵確定方法、裝置和設備
CN103365829A (zh) 信息处理装置、信息处理方法和程序
Morales-Molina et al. Methodology for malware classification using a random forest classifier
CN113239065A (zh) 基于大数据的安全拦截规则更新方法及人工智能安全系统
CN114037072A (zh) 一种神经网络优化的方法及设备
CN112632609A (zh) 异常检测方法、装置、电子设备及存储介质
CN114817933A (zh) 评估业务预测模型鲁棒性的方法、装置及计算设备
CN110097120B (zh) 网络流量数据分类方法、设备及计算机存储介质
CN116483733A (zh) 多维度人工智能产品评测方法及装置
CN110830504A (zh) 一种网络入侵行为检测方法及系统
CN113869642A (zh) 企业活跃度确定方法、装置、电子设备及存储介质
CN112085281B (zh) 检测业务预测模型安全性的方法及装置
CN115221471B (zh) 一种异常数据的识别方法、装置、存储介质及计算机设备
Tchakounté et al. Detection of android malware based on sequence alignment of permissions
CN117134958A (zh) 用于网络技术服务的信息处理方法及系统
US20230259756A1 (en) Graph explainable artificial intelligence correlation
Gyamfi et al. Malware detection using convolutional neural network, a deep learning framework: comparative analysis
CN115484112A (zh) 支付大数据安全防护方法、系统及云平台
Echeberria-Barrio et al. Deep learning defenses against adversarial examples for dynamic risk assessment
Karn et al. Criteria for learning without forgetting in artificial neural networks
US9262726B2 (en) Using radial basis function networks and hyper-cubes for excursion classification in semi-conductor processing equipment
CN115862087B (zh) 基于可靠性建模的无监督行人重识别方法及系统
CN117459178B (zh) 一种基于语义导向的无人机通信干扰方法和系统
KR102465307B1 (ko) 화이트 리스트 생성 방법 및 이를 수행하는 사용자 단말, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination