CN114638359A - 去除神经网络后门和图像识别的方法和装置 - Google Patents
去除神经网络后门和图像识别的方法和装置 Download PDFInfo
- Publication number
- CN114638359A CN114638359A CN202210312216.6A CN202210312216A CN114638359A CN 114638359 A CN114638359 A CN 114638359A CN 202210312216 A CN202210312216 A CN 202210312216A CN 114638359 A CN114638359 A CN 114638359A
- Authority
- CN
- China
- Prior art keywords
- neural network
- backdoor
- neurons
- success rate
- pruned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013528 artificial neural network Methods 0.000 title claims abstract description 155
- 238000000034 method Methods 0.000 title claims abstract description 74
- 210000002569 neuron Anatomy 0.000 claims abstract description 107
- 238000013138 pruning Methods 0.000 claims abstract description 47
- 238000012360 testing method Methods 0.000 claims abstract description 20
- 238000012549 training Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 16
- 238000004422 calculation algorithm Methods 0.000 claims description 15
- 238000001514 detection method Methods 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 6
- 230000002194 synthesizing effect Effects 0.000 claims description 5
- 230000001537 neural effect Effects 0.000 abstract description 4
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 244000141353 Prunus domestica Species 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000003042 antagnostic effect Effects 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 230000007423 decrease Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000015572 biosynthetic process Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000003786 synthesis reaction Methods 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 231100000572 poisoning Toxicity 0.000 description 2
- 230000000607 poisoning effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000013450 outlier detection Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 231100000331 toxic Toxicity 0.000 description 1
- 230000002588 toxic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/082—Learning methods modifying the architecture, e.g. adding, deleting or silencing nodes or connections
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computational Linguistics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Evolutionary Biology (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Image Analysis (AREA)
Abstract
本公开的实施例公开了去除神经网络后门和图像识别的方法和装置。该方法的具体实施方式包括:获取神经网络的后门触发器;基于所述后门触发器生成测试图像集;将所述测试图像集输入所述神经网络计算后门攻击成功率;对所述神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值;按价值由大到小的顺序从所述神经网络中剪除预定数目个神经元。该实施方式对于少量数据情况下,在保证神经网络性能几乎不变情况下,去除神经网络中的神经后门,提供安全神经网络。
Description
技术领域
本公开的实施例涉及计算机技术领域,具体涉及去除神经网络后门和图像识别的方法和装置。
背景技术
深度神经网络(Deep neural networks,DNNs)在广泛的关键应用中发挥着不可或缺的作用,从面部和虹膜识别等分类系统,到家庭助理的语音接口,再到创造艺术形象和引导自动驾驶汽车。
深度神经网络的黑盒性质的一个基本问题是无法彻底地测试它们的行为。深度神经网络可能出现后门或“特洛伊木马”(Trojans)。简而言之,后门是被训练成深度神经网络模型的隐藏模式,它会产生意想不到的行为,除非被某种“触发器”的输入激活,否则是无法检测到它们的。
现有后门防御方法利用神经元激活统计的方式寻找普通样本下激活较弱的神经元或者采用对抗训练的方式进行神经后门去除,无法准确定位少量中毒神经元,在数据缺乏情况下,造成神经后门去除不完全或识别精度的大幅下降。
发明内容
本公开的实施例提出了去除神经网络后门和图像识别的方法和装置。
第一方面,本公开的实施例提供了一种去除神经网络后门的方法,包括:获取神经网络的后门触发器;基于所述后门触发器生成测试图像集;将所述测试图像集输入所述神经网络计算后门攻击成功率;对所述神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值;按价值由大到小的顺序从所述神经网络中剪除预定数目个神经元。
在一些实施例中,该方法还包括:获取训练样本集;基于所述训练样本集重新训练剪枝后的神经网络。
在一些实施例中,所述获取神经网络的后门触发器,包括:根据神经网络逆合成每个类别标签的反向触发器;根据每个类别标签的反向触发器的L1范数进行异常检测,确定出L1范数最小的反向触发器作为后门触发器。
在一些实施例中,所述对所述神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值,包括:对所述神经网络随机进行剪枝后计算剪枝后的神经网络的后门攻击成功率;执行如下剪枝步骤:分析每个被剪除的神经元对后门攻击成功率的价值;按价值由大到小的顺序从所述神经网络中剪除预定数目个神经元;计算剪枝后的神经网络的后门攻击成功率;若剪枝后的神经网络的后门攻击成功率不收敛,则重复执行上述剪枝步骤,直到剪枝后的神经网络的后门攻击成功率收敛。
在一些实施例中,所述分析每个被剪除的神经元对后门攻击成功率的价值,包括:通过Shapley value算法将后门攻击成功率分配给每个被剪除的神经元作为神经元对后门攻击成功率的价值。
在一些实施例中,所述按价值由大到小的顺序从所述神经网络中剪除预定数目个神经元,包括:通过贪心算法设置价值的权重;按加权后的价值由大到小的顺序从所述神经网络中剪除预定数目个神经元。
第二方面,本公开的实施例提供了一种图像识别方法,包括:获取待识别的图像;将所述图像输入根据第一方面中任一项所述方法生成的神经网络,输出图像的分类结果。
第三方面,本公开的实施例提供了一种去除神经网络后门的装置,包括:获取单元,被配置成获取神经网络的后门触发器;生成单元,被配置成基于所述后门触发器生成测试图像集;计算单元,被配置成将所述测试图像集输入所述神经网络计算后门攻击成功率;分析单元,被配置成对所述神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值;剪枝单元,被配置成按价值由大到小的顺序从所述神经网络中剪除预定数目个神经元。
在一些实施例中,该装置还包括训练单元,被配置成:获取训练样本集;基于所述训练样本集重新训练剪枝后的神经网络。
在一些实施例中,所述获取单元进一步被配置成:根据神经网络逆合成每个类别标签的反向触发器;根据每个类别标签的反向触发器的L1范数进行异常检测,确定出L1范数最小的反向触发器作为后门触发器。
在一些实施例中,所述分析单元进一步被配置成:对所述神经网络随机进行剪枝后计算剪枝后的神经网络的后门攻击成功率;执行如下剪枝步骤:分析每个被剪除的神经元对后门攻击成功率的价值;按价值由大到小的顺序从所述神经网络中剪除预定数目个神经元;计算剪枝后的神经网络的后门攻击成功率;若剪枝后的神经网络的后门攻击成功率不收敛,则重复执行上述剪枝步骤,直到剪枝后的神经网络的后门攻击成功率收敛。
在一些实施例中,所述分析单元进一步被配置成:通过Shapleyvalue算法将后门攻击成功率分配给每个被剪除的神经元作为神经元对后门攻击成功率的价值。
在一些实施例中,所述剪枝单元进一步被配置成:通过贪心算法设置价值的权重;按加权后的价值由大到小的顺序从所述神经网络中剪除预定数目个神经元。
第四方面,本公开的实施例提供了一种图像识别装置,包括:获取单元,被配置成获取待识别的图像;分类单元,被配置成将所述图像输入根据第一方面中任一项所述方法生成的神经网络,输出图像的分类结果。
第五方面,本公开的实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个计算机程序,当所述一个或多个计算机程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一项所述的方法。
第六方面,本公开的实施例提供了一种计算机可读介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现第一方面中任一项所述的方法。
本公开实施例提供的去除神经网络后门的方法和装置,通过试探性剪枝来分析不同神经元对后门攻击成功率的价值,最后按价值由大到小的剪除神经元,从而以较少的剪枝量消除后门,并且可以减少神经网络性能的损失。得到了安全的神经网络,从而在图像识别过程中保证分类结果的准确率。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1是本公开的一个实施例可以应用于其中的示例性系统架构图;
图2是根据本公开的去除神经网络后门的方法的一个实施例的流程图;
图3是根据本公开的去除神经网络后门的方法的一个应用场景的示意图;
图4是根据本公开的图像识别方法的一个实施例的流程图;
图5是根据本公开的去除神经网络后门的装置的一个实施例的结构示意图;
图6是根据本公开的图像识别装置的一个实施例的结构示意图;
图7是适于用来实现本公开的实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开实施例的去除神经网络后门的方法、去除神经网络后门的装置、图像识别方法或图像识别装置的示例性系统架构100。
如图1所示,系统架构100可以包括终端101、102,网络103、数据库服务器104和服务器105。网络103用以在终端101、102,数据库服务器104与服务器105之间提供通信链路的介质。网络103可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户110可以使用终端101、102通过网络103与服务器105进行交互,以接收或发送消息等。终端101、102上可以安装有各种客户端应用,例如模型训练类应用、图像识别类应用、购物类应用、支付类应用、网页浏览器和即时通讯工具等。
这里的终端101、102可以是硬件,也可以是软件。当终端101、102为硬件时,可以是具有显示屏的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture ExpertsGroup Audio Layer III,动态影像专家压缩标准音频层面3)、膝上型便携计算机和台式计算机等等。当终端101、102为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块。在此不做具体限定。
当终端101、102为硬件时,其上还可以安装有图像采集设备。图像采集设备可以是各种能实现采集图像功能的设备,如摄像头、传感器等等。用户110可以利用终端101、102上的图像采集设备,来采集图像。
数据库服务器104可以是提供各种服务的数据库服务器。例如数据库服务器中可以存储有样本集。样本集中包含有大量的样本。其中,样本可以包括样本图像以及与样本图像对应的标签。这样,用户110也可以通过终端101、102,从数据库服务器104所存储的样本集中选取样本。
服务器105也可以是提供各种服务的服务器,例如对终端101、102上显示的各种应用提供支持的后台服务器。后台服务器可以利用终端101、102发送的样本集中的样本,对神经网络进行后门检测,并去除后门,然后将去除后门的神经网络发送给终端101、102。这样,用户可以应用去除后门的神经网络进行图像识别。
这里的数据库服务器104和服务器105同样可以是硬件,也可以是软件。当它们为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当它们为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块。在此不做具体限定。数据库服务器104和服务器105也可以为分布式系统的服务器,或者是结合了区块链的服务器。数据库服务器104和服务器105也可以是云服务器,或者是带人工智能技术的智能云计算服务器或智能云主机。
需要说明的是,本公开实施例所提供的去除神经网络后门的方法或图像识别方法一般由服务器105执行。相应地,去除神经网络后门的装置或图像识别装置一般也设置于服务器105中。
需要指出的是,在服务器105可以实现数据库服务器104的相关功能的情况下,系统架构100中可以不设置数据库服务器104。
应该理解,图1中的终端、网络、数据库服务器和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端、网络、数据库服务器和服务器。
继续参见图2,其示出了根据本公开的去除神经网络后门的方法的一个实施例的流程200。该去除神经网络后门的方法可以包括以下步骤:
步骤201,获取神经网络的后门触发器。
在本实施例中,去除神经网络后门的方法的执行主体(例如图1所示的服务器105)可以通过多种方式来获取神经网络及其后门触发器。例如,执行主体可以通过有线连接方式或无线连接方式,从数据库服务器(例如图1所示的数据库服务器104)中获取存储于其中的现有的神经网络及其后门触发器。这里的后门触发器可以是训练神经网络时用于注入后门的原始触发器,也可以是通过反向工程得到的反向触发器。
遍历神经网络的所有标签,并确定是否任何标签都需要进行极小的修改,从而能够实现错误分类。确定反向触发器的过程包括以下三个步骤。
步骤1:对于给定的标签,将其视为目标后门攻击的潜在目标标签。需要找到从其他样本中错误分类所需的“最小”触发器。在视觉域中,此触发器定义最小的像素集合及其相关的颜色强度,从而导致错误分类。
步骤2:对神经网络中的每个输出标签重复步骤1。对于一个具有N=|L|个标签的神经网络,这会产生N个潜在的“触发器”。
步骤3:在计算N个潜在触发器后,用每个候选触发器的像素数量来度量每个触发器的大小,即触发器要替换的像素数。运行一个异常点检测算法来检测是否有任何候选触发器对象明显比其他候选小。一个重要的异常值代表一个真正的触发器,该触发器的标签匹配是后门攻击的目标标签。
在本实施例的一些可选地实现方式中,获取神经网络的后门触发器,包括:根据神经网络逆合成每个类别标签的反向触发器;根据每个类别标签的反向触发器的L1范数进行异常检测,确定出L1范数最小的反向触发器作为后门触发器。
逆合成反向触发器的方法为现有技术,因此不再赘述。再对反向触发器进行优化,优化的目标是找到一个“简洁”触发器,即只修改图像的有限部分的触发器。本文用触发器的掩码m的L1范数来测量触发器的大小。为了检测异常值,本文使用了一种基于中位绝对偏差的技术。该技术在多个异常值存在的情况下具有弹性。首先,它计算所有数据点与中位数之间的绝对偏差,这些绝对偏差的中值称为MAD,同时提供分布的可靠度量。然后,将数据点的异常指数定义为数据点的绝对偏差,并除以MAD。当假定基础分布为正态分布时,应用常数估计器(1.4826)对异常指数进行规范化处理。任何异常指数大于2的数据点都有大于95%的异常概率。本文将任何大于2的异常指数标记为孤立点和受感染的值,从而只关注分布小端的异常值(低L1范数标签更易受攻击)。
步骤202,基于后门触发器生成测试图像集。
在本实施例中,可通过注入一部分标记为目标标签的对抗性输入来修改训练样本数据生成测试图像集。对抗性输入是通过将后门触发器应用于清洁图像来生成的。
步骤203,将测试图像集输入神经网络计算后门攻击成功率。
在本实施例中,对于给定的任务和测试图像集,改变训练中对抗性输入的比例,使攻击成功率达到95%以上,同时保持较高的分类准确率。这一比例从10%到20%不等。然后利用改进的训练数据对DNN模型进行训练,直至收敛。
步骤204,对神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值。
在本实施例中,可逐一对神经元进行剪枝后,再使用测试图像集计算剪枝后的后门攻击成功率下降情况。根据后门攻击成功率下降量可确定出哪些神经元对后门攻击成功率做出了贡献,即体现出了价值。例如,如果剪除神经元A,则后门攻击成功率下降20%,剪除神经元B,则后门攻击成功率下降2%,则说明神经元A的价值比神经元B大。
可选地,可对神经元任意分组后,按组进行剪除,从而确定出不同分组的神经元对后门攻击成功率的价值。分组剪枝后验证可以提高后门去除的速度。
在本实施例的一些可选地实现方式中,对所述神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值,包括:对所述神经网络随机进行剪枝后计算剪枝后的神经网络的后门攻击成功率;执行如下剪枝步骤:分析每个被剪除的神经元对后门攻击成功率的价值;根据价值从所述神经网络中剪除预定数目个神经元;计算剪枝后的神经网络的后门攻击成功率;若剪枝后的神经网络的后门攻击成功率不收敛,则重复执行上述剪枝步骤,直到剪枝后的神经网络的后门攻击成功率收敛。
首先进行随机剪枝,确定出一些对后门攻击成功率的价值较大的神经元后,根据价值由大到小的顺序选择神经元对原始的神经网络重新剪枝。每次尝试剪除不同的神经元,查看剪除后对后门攻击成功率的影响。影响越大说明价值越大,下一次剪枝时优先剪除。
针对网络在剪除一定神经元后,攻击成功率会下降到较低的值的问题,此后神经元的后门攻击的边际价值会降得很低(即后门攻击成功率收敛),此时进行剪枝和计算意义不大,同时会降低效率,所以当网络后门攻击成功率降到一定阈值时,抛弃后面神经元不进行统计。
在本实施例的一些可选地实现方式中,分析每个被剪除的神经元对后门攻击成功率的价值,包括:通过Shapley value算法将后门攻击成功率分配给每个被剪除的神经元作为神经元对后门攻击成功率的价值。Shapley value起源于博弈论:n个人合作,创造了v(N)的价值,如何对所创造的价值进行分配。通过Shapley value在竞争博弈中进行价值分配,将攻击成功率分配于各神经元,确定后门神经元。利用后门触发器,激活网络中的后门神经元,之后将网络的后门攻击成功率作为评价指标,判断每个神经元对后门攻击成功率的影响,从而确定哪些神经元为后门中毒神经元。
在本实施例的一些可选地实现方式中,根据价值从所述神经网络中剪除预定数目个神经元,包括:通过贪心算法设置价值的权重;按加权后的价值由大到小的顺序从所述神经网络中剪除预定数目个神经元。价值越大,则权重越大。采用贪心算法将重要神经元以更大概率放在排序前面,获得更高的统计次数。从而可以加快后门攻击成功率的收敛速度,减少去除神经网络后门的耗时。
步骤205,按价值由大到小的顺序从神经网络中剪除预定数目个神经元。
在本实施例中,按后门攻击成功率收敛时的价值由大到小的顺序从神经网络中剪除预定数目个神经元。剪除后门相关的神经元,即在推理过程中将这些神经元的输出值设为0。为了保证神经网络的性能不会下降太多,需要限制剪除的神经元的数量,预定数目可以是绝对数量也可以是相对数量,例如,剪除神经网络神经元总量的10%的神经元。
在本实施例的一些可选地实现方式中,该方法还包括:获取训练样本集;基于所述训练样本集重新训练剪枝后的神经网络。可使用大量的训练样本集(例如原始训练样本集)重新训练。在只能获得少量样本的情况下,也可对剪枝后的神经网络进行精炼。只需要每个类别有一个样本图像,即可对剪枝后的神经网络进行精炼,从而保证神经网络在正常样本上的精度。
本实施例中去除神经网络后门的方法,通过对神经元的剪枝确定出不同神经元对后门攻击成功率的价值,优先剪除价值大的神经元,相较以往基于激活统计的方式获得更好的少样本神经后门去除效果。
进一步参见图3,图3是根据本实施例的去除神经网络后门的方法的一个应用场景的示意图。在图3的应用场景中,具体过程如下所示:
1.后门触发器的逆合成
由于需要寻找受后门影响的神经元,所以首先需要利用神经网络信息逆合成特定触发器,针对每一个标签进行梯度下降产生特定输入图片,同时,对各个标签产生的后门触发器的L1范数进行异常检测,判断神经网络是否被注入后门以及逆合成的后门触发器以及类别标签。
2.神经元后门的Shapley value估计
通过Shapley value在竞争博弈中进行价值分配,将攻击成功率分配于各神经元,确定后门神经元。利用上述逆合成的后门触发器,激活网络中的后门神经元,之后将网络的后门攻击成功率作为评价指标,判断每个神经元对后门攻击成功率的影响,从而确定哪些神经元为后门中毒神经元。
3.利用贪心算法以及早停进行Shapley估计的加速
针对网络在剪枝一定神经元后,攻击成功率会下降到较低的值的问题,此后神经元的后门攻击的边际价值会降得很低,此时进行剪枝和计算意义不大,同时会降低效率,所以当网络后门攻击成功率降到一定阈值时,抛弃后面神经元不进行统计(即早停)。同时,由于上述方法,在一个排序后面的神经元不会被统计,而需要考虑前m个神经元的Shapleyvalue,并针对它们进行有效排序,所以可采用贪心算法将重要神经元以更大概率放在排序前面,获得更高的统计次数。
4.基于Shapley value进行剪枝
基于上述Shapley value,按从大到小的顺序,对神经元剪枝,并利用少量数据对网络进行精炼,保证模型在正常样本上的精度。
请参见图4,其示出了本公开提供的图像识别方法的一个实施例的流程400。该图像识别方法可以包括以下步骤:
步骤401,获取待识别的图像。
在本实施例中,图像识别方法的执行主体(例如图1所示的服务器105)可以通过多种方式来获取检测对象的图像。例如,执行主体可以通过有线连接方式或无线连接方式,从数据库服务器(例如图1所示的数据库服务器104)中获取存储于其中的图像。再例如,执行主体也可以接收终端(例如图1所示的终端101、102)或其他设备采集的图像。图像可以是交通标识、手写数字图像、人脸图像等。图像同样可以是彩色图像和/或灰度图像等等。且该图像的格式在本公开中也不限制。
步骤402,将图像输入神经网络,输出图像的分类结果。
在本实施例中,执行主体可以将步骤401中获取的图像输入神经网络中,从而生成检测对象的检测结果。检测结果可以是用于描述图像中对象的类别,例如,限速标识、数字“9”等。
在本实施例中,神经网络可以是采用如上述图2实施例所描述的方法而生成的。具体生成过程可以参见图2实施例的相关描述,在此不再赘述。
可选地,为了验证后门消除的效果,可将已知类别的图像上添加上步骤201所述的后门触发器构造出受污染的图像。将受污染的图像输入去除后门的神经网络后,如果输出的类别不是目标标签,则说明后门消除成功。可以构造大量的受污染的图像,统计去除后门的神经网络的后门攻击成功率,如果低于后门攻击成功率阈值(例如,0.1%),则验证该神经网络不存在后门,可进行发布。否则,可继续根据步骤204对神经网络进行剪枝,剪除更多的神经元。
需要说明的是,本实施例图像识别方法可以用于测试上述各实施例所生成的神经网络。进而根据测试结果可以不断地优化神经网络。该方法也可以是上述各实施例所生成的神经网络的实际应用方法。采用上述各实施例所生成的神经网络,来进行图像识别,有助于提高神经网络的性能。降低了后门攻击成功率的同时保证神经网络的准确性。
继续参见图5,作为对上述各图所示方法的实现,本公开提供了一种去除神经网络后门的装置的一个实施例。该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例的去除神经网络后门的装置500可以包括:获取单元501、生成单元502、计算单元503、分析单元504和剪枝单元505。其中,获取单元501,被配置成获取神经网络的后门触发器;生成单元502,被配置成基于后门触发器生成测试图像集;计算单元503,被配置成将测试图像集输入神经网络计算后门攻击成功率;分析单元504,被配置成对神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值;剪枝单元505,被配置成按价值由大到小的顺序从神经网络中剪除预定数目个神经元。
在本实施例的一些可选的实现方式中,该装置还包括训练单元(附图中未示出),被配置成:获取训练样本集;基于训练样本集重新训练剪枝后的神经网络。
在本实施例的一些可选的实现方式中,获取单元501进一步被配置成:根据神经网络逆合成每个类别标签的反向触发器;根据每个类别标签的反向触发器的L1范数进行异常检测,确定出L1范数最小的反向触发器作为后门触发器。
在本实施例的一些可选的实现方式中,分析单元504进一步被配置成:对神经网络随机进行剪枝后计算剪枝后的神经网络的后门攻击成功率;执行如下剪枝步骤:分析每个被剪除的神经元对后门攻击成功率的价值;根据价值从神经网络中剪除预定数目个神经元;计算剪枝后的神经网络的后门攻击成功率;若剪枝后的神经网络的后门攻击成功率不收敛,则重复执行上述剪枝步骤,直到剪枝后的神经网络的后门攻击成功率收敛。
在本实施例的一些可选的实现方式中,分析单元504进一步被配置成:通过Shapley value算法将后门攻击成功率分配给每个被剪除的神经元作为神经元对后门攻击成功率的价值。
在本实施例的一些可选的实现方式中,剪枝单元505进一步被配置成:通过贪心算法设置价值的权重;按加权后的价值由大到小的顺序从神经网络中剪除预定数目个神经元。
继续参见图6,作为对上述图4所示方法的实现,本公开提供了一种图像识别装置的一个实施例。该装置实施例与图4所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图6所示,本实施例的图像识别装置600可以包括:获取单元601,被配置成获取待识别的图像;分类单元602,被配置成将所述图像输入根据流程200所述方法生成的神经网络,输出图像的分类结果。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质。
一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个计算机程序,当所述一个或多个计算机程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如流程200或400所述的方法。
一种计算机可读介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现流程200或400所述的方法。
图7示出了可以用来实施本公开的实施例的示例电子设备700的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图7所示,设备700包括计算单元701,其可以根据存储在只读存储器(ROM)702中的计算机程序或者从存储单元708加载到随机访问存储器(RAM)703中的计算机程序,来执行各种适当的动作和处理。在RAM 703中,还可存储设备700操作所需的各种程序和数据。计算单元701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
设备700中的多个部件连接至I/O接口705,包括:输入单元706,例如键盘、鼠标等;输出单元707,例如各种类型的显示器、扬声器等;存储单元708,例如磁盘、光盘等;以及通信单元709,例如网卡、调制解调器、无线通信收发机等。通信单元709允许设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元701可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元701的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元701执行上文所描述的各个方法和处理,例如去除神经网络后门的方法。例如,在一些实施例中,去除神经网络后门的方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元708。在一些实施例中,计算机程序的部分或者全部可以经由ROM 702和/或通信单元709而被载入和/或安装到设备700上。当计算机程序加载到RAM 703并由计算单元701执行时,可以执行上文描述的去除神经网络后门的方法的一个或多个步骤。备选地,在其他实施例中,计算单元701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行去除神经网络后门的方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以为分布式系统的服务器,或者是结合了区块链的服务器。服务器也可以是云服务器,或者是带人工智能技术的智能云计算服务器或智能云主机。服务器可以为分布式系统的服务器,或者是结合了区块链的服务器。服务器也可以是云服务器,或者是带人工智能技术的智能云计算服务器或智能云主机。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (11)
1.一种去除神经网络后门的方法,包括:
获取神经网络的后门触发器;
基于所述后门触发器生成测试图像集;
将所述测试图像集输入所述神经网络计算后门攻击成功率;
对所述神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值;
按价值由大到小的顺序从所述神经网络中剪除预定数目个神经元。
2.根据权利要求1所述的方法,其中,所述方法还包括:
获取训练样本集;
基于所述训练样本集重新训练剪枝后的神经网络。
3.根据权利要求1所述的方法,其中,所述获取神经网络的后门触发器,包括:
根据神经网络逆合成每个类别标签的反向触发器;
根据每个类别标签的反向触发器的L1范数进行异常检测,确定出L1范数最小的反向触发器作为后门触发器。
4.根据权利要求1所述的方法,其中,所述对所述神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值,包括:
对所述神经网络随机进行剪枝后计算剪枝后的神经网络的后门攻击成功率;
执行如下剪枝步骤:分析每个被剪除的神经元对后门攻击成功率的价值;根据价值从所述神经网络中剪除预定数目个神经元;计算剪枝后的神经网络的后门攻击成功率;
若剪枝后的神经网络的后门攻击成功率不收敛,则重复执行上述剪枝步骤,直到剪枝后的神经网络的后门攻击成功率收敛。
5.根据权利要求4所述的方法,其中,所述分析每个被剪除的神经元对后门攻击成功率的价值,包括:
通过Shapley value算法将后门攻击成功率分配给每个被剪除的神经元作为神经元对后门攻击成功率的价值。
6.根据权利要求4所述的方法,其中,所述根据价值从所述神经网络中剪除预定数目个神经元,包括:
通过贪心算法设置价值的权重;
按加权后的价值由大到小的顺序从所述神经网络中剪除预定数目个神经元。
7.一种图像识别方法,包括:
获取待识别的图像;
将所述图像输入根据权利要求1-6中任一项所述方法生成的神经网络,输出图像的分类结果。
8.一种去除神经网络后门的装置,包括:
获取单元,被配置成获取神经网络的后门触发器;
生成单元,被配置成基于所述后门触发器生成测试图像集;
计算单元,被配置成将所述测试图像集输入所述神经网络计算后门攻击成功率;
分析单元,被配置成对所述神经网络的神经元进行剪枝后分析剪除的神经元对后门攻击成功率的价值;
剪枝单元,被配置成按价值由大到小的顺序从所述神经网络中剪除预定数目个神经元。
9.一种图像识别装置,包括:
获取单元,被配置成获取待识别的图像;
分类单元,被配置成将所述图像输入根据权利要求1-6中任一项所述方法生成的神经网络,输出图像的分类结果。
10.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个计算机程序,
当所述一个或多个计算机程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一项所述的方法。
11.一种计算机可读介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210312216.6A CN114638359A (zh) | 2022-03-28 | 2022-03-28 | 去除神经网络后门和图像识别的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210312216.6A CN114638359A (zh) | 2022-03-28 | 2022-03-28 | 去除神经网络后门和图像识别的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114638359A true CN114638359A (zh) | 2022-06-17 |
Family
ID=81948964
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210312216.6A Pending CN114638359A (zh) | 2022-03-28 | 2022-03-28 | 去除神经网络后门和图像识别的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114638359A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102601761B1 (ko) * | 2022-12-28 | 2023-11-13 | 한국과학기술원 | 적대적 예시에 대한 심층신경망 보정 방법 및 장치 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111242291A (zh) * | 2020-04-24 | 2020-06-05 | 支付宝(杭州)信息技术有限公司 | 神经网络后门攻击的检测方法、装置和电子设备 |
CN113204745A (zh) * | 2021-04-12 | 2021-08-03 | 武汉大学 | 基于模型剪枝和逆向工程的深度学习后门防御方法 |
-
2022
- 2022-03-28 CN CN202210312216.6A patent/CN114638359A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111242291A (zh) * | 2020-04-24 | 2020-06-05 | 支付宝(杭州)信息技术有限公司 | 神经网络后门攻击的检测方法、装置和电子设备 |
CN113204745A (zh) * | 2021-04-12 | 2021-08-03 | 武汉大学 | 基于模型剪枝和逆向工程的深度学习后门防御方法 |
Non-Patent Citations (2)
Title |
---|
AMIRATA GHORBANI: "Neuron Shapley: Discovering the Responsible Neurons", NEURIPS 2020, 13 November 2020 (2020-11-13), pages 1 - 19 * |
JUHI SINGH, ET.AL: "Detecting Trojan Attacks on Deep Neural Networks", 2020 4TH INTERNATIONAL CONFERENCE ON COMPUTER, COMMUNICATION AND SIGNAL PROCESSING (ICCCSP), 29 September 2020 (2020-09-29), pages 1 - 5, XP033878332, DOI: 10.1109/ICCCSP49186.2020.9315256 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102601761B1 (ko) * | 2022-12-28 | 2023-11-13 | 한국과학기술원 | 적대적 예시에 대한 심층신경망 보정 방법 및 장치 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108197532B (zh) | 人脸识别的方法、装置及计算机装置 | |
CN113657465A (zh) | 预训练模型的生成方法、装置、电子设备和存储介质 | |
CN111598164B (zh) | 识别目标对象的属性的方法、装置、电子设备和存储介质 | |
CN112966742A (zh) | 模型训练方法、目标检测方法、装置和电子设备 | |
CN113012200B (zh) | 一种运动物体的定位方法、装置、电子设备及存储介质 | |
CN112949767A (zh) | 样本图像增量、图像检测模型训练及图像检测方法 | |
CN113313053A (zh) | 图像处理方法、装置、设备、介质及程序产品 | |
CN113239807B (zh) | 训练票据识别模型和票据识别的方法和装置 | |
CN112800919A (zh) | 一种检测目标类型视频方法、装置、设备以及存储介质 | |
CN114882315B (zh) | 样本生成方法、模型训练方法、装置、设备及介质 | |
CN114386503A (zh) | 用于训练模型的方法和装置 | |
CN113643260A (zh) | 用于检测图像质量的方法、装置、设备、介质和产品 | |
CN112580666A (zh) | 图像特征的提取方法、训练方法、装置、电子设备及介质 | |
CN114090601B (zh) | 一种数据筛选方法、装置、设备以及存储介质 | |
CN114511756A (zh) | 基于遗传算法的攻击方法、装置及计算机程序产品 | |
CN111563541B (zh) | 图像检测模型的训练方法和装置 | |
CN114638359A (zh) | 去除神经网络后门和图像识别的方法和装置 | |
CN116743474A (zh) | 决策树生成方法、装置、电子设备及存储介质 | |
CN114220163B (zh) | 人体姿态估计方法、装置、电子设备及存储介质 | |
CN112560848B (zh) | 兴趣点poi预训练模型的训练方法、装置及电子设备 | |
CN114093006A (zh) | 活体人脸检测模型的训练方法、装置、设备以及存储介质 | |
CN114254650A (zh) | 一种信息处理方法、装置、设备及介质 | |
CN113657596A (zh) | 训练模型和图像识别的方法和装置 | |
CN114417029A (zh) | 模型训练方法、装置、电子设备及存储介质 | |
CN114120180A (zh) | 一种时序提名的生成方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |