CN116091819B - 一种基于数据重建和数据过滤的图像对抗样本防御方法 - Google Patents

Abstract

本发明公开了一种基于数据重建和数据过滤的图像对抗样本防御方法，包括如下步骤：步骤1、对抗训练得到初始鲁棒模型；步骤2、通过初始鲁棒模型构造初始鲁棒图像数据集；步骤3、基于GAN的编解码图像转换方法得到图像生成模型；步骤4、构建最终鲁棒模型，输出分类结果。本发明方法得到的最终鲁棒模型由图像生成模型和重新训练的图像分类模型组成。其中，图像生成模型可以很好地解决对抗样本导致的错误分类、防御策略单一、需要极高训练成本的防御策略不断升级的问题；重新训练的图像分类模型可以很好地解决分类准确率下降较多的问题。

Description

一种基于数据重建和数据过滤的图像对抗样本防御方法

技术领域

本发明涉及对抗样本防御技术领域，具体涉及一种基于数据重建和数据过滤的图像对抗样本防御方法。

背景技术

目前，有很多优秀的深度神经网络解决方案已被广泛应用，比如：图像识别，人脸识别等。尽管如此，但它却非常容易受到对抗样本的攻击，这些对抗样本仅仅是在原始图像上添加细微扰动(人类视觉无法察觉)，就能导致深度神经网络模型对图像的错误分类。对抗样本的存在给这些解决方案的使用带来了巨大的风险。比如，在人脸识别系统中，不法分子可以利用对抗样本冒用他人身份，入侵政府或公司内部系统，窃取机密信息。随着深度神经网络对抗攻击的手段越来越多，攻击所需的扰动也越来越小，防御这些对抗样本的攻击就显得尤为迫切。

目前存在的防御方案分为三个方向：(1)输入预处理。对图像进行压缩重建，对图像进行缩放，降低图像分辨率，对图像进行去噪；(2)改进神经网络模型。限制神经元的输出，在神经网络模型中添加不可微部分，降低神经网络过拟合，以及在训练集中添加对抗样本提高神经网络模型的鲁棒性；(3)仅识别是否为对抗样本不进行处理。分辨输入数据是否为对抗样本，若是则丢弃。

目前的防御方案存在的主要问题有：(1)输入预处理会导致输入图像质量下降，降低原始无噪声图像的分类准确率，同时该防御方案大多对扰动较大的对抗样本有较好的防御效果，扰动越小防御效果越差。(2)改进神经网络模型的方法需要重新训练网络模型，同时仅在当前神经网络模型下有防御作用，防御策略无法迁移至其他网络模型，并且随着对抗攻击的升级，防御策略也要跟随升级，这导致该防御有着极高的网络训练成本。(3)仅识别是否为对抗样本而不进行处理，无法对对抗样本进行识别，有时会误识别受到轻微随机噪声影响的输入数据。

因此，亟需一种能解决分类准确率下降较多、对抗样本导致的错误分类、防御策略单一、需要极高训练成本的防御策略不断升级问题的对抗样本防御方法。

发明内容

为解决现有技术中存在的问题，本发明提供了一种基于数据重建和数据过滤的图像对抗样本防御方法，该方法通过对抗训练得到初始鲁棒模型，使用初始鲁棒模型进行图像数据的重建，使用基于GAN的编解码转换模型进行数据过滤，解决了上述背景技术中提到的问题。

为实现上述目的，本发明提供如下技术方案：一种基于数据重建和数据过滤的图像对抗样本防御方法，包括如下步骤：

步骤1、对抗训练得到初始鲁棒模型；

步骤2、通过初始鲁棒模型构造初始鲁棒图像数据集；

步骤3、基于GAN的编解码图像转换方法得到图像生成模型；

步骤4、构建最终鲁棒模型，输出分类结果。

优选的，所述对抗训练如下所示：

其中，X为原始数据集，Y为X对应的标签，θ为模型参数，δ为对抗扰动，ε为扰动空间。

优选的，所述步骤1中，具体包括如下：

步骤1.1、将大小为N的原始图像数据集X中的每一张图像x_i输入初始分类模型进行训练，前向传播计算损失loss，反向传播计算梯度grad并备份；

步骤1.2、对抗步骤：设置投影梯度下降PGD对抗训练的扰动累积步数为n步，按如下步骤循环：

步骤1.2.1、对抗攻击，生成对抗样本；

步骤1.2.1.1、先根据t(t＝1,2,…,n)判断当前是否是首步，若是，则要保存未受攻击的grad；

步骤1.2.1.2、计算第t+1步的对抗扰动r，如下式：

r＝αg_t/||g_t||₂；

其中，g_t表示当前第t步的梯度，||·||₂表示l₂范数，并且r满足下式：

||r||₂≤ε；

若r超出范围，则根据下式将其投影回ε内：

r＝εr/||r||₂；

步骤1.2.1.3、得到中间对抗样本x_i+r；

步骤1.2.2、根据t更新梯度；

步骤1.2.2.1、若t不是最后一步，则将模型当前梯度归0，根据步骤1.2.1.3得到的x_i+r计算前后向并得到梯度，继续循环；

步骤1.2.2.2、若t是最后一步，则模型恢复步骤1.1的梯度，根据最终的x_i+r计算前后向并得到梯度，将梯度累加到步骤1.1的梯度上，跳出循环；

步骤1.3、根据步骤1.2.2.2的梯度对初始分类模型参数进行更新，得到初始鲁棒模型。

优选的，在步骤S2中，以随机噪声作为底图和原始图像一起作为初始鲁棒模型的输入，正向传播计算两者在初始鲁棒模型最后一个卷积层上的内容损失content Loss，

其中，p表示原始图像数据集中的每一张图像，y表示随机噪声底图，l表示模型最后一个卷积层，F^l表示l层得到的响应，N^l表示第l层过滤器fliter的个数，M^l表示fliter的大小，/>表示底图y在第l层第i个fliter在j位置的输出，/>表示原始图像p在第l层第i个fliter在j位置的输出；

若内容损失L_content>ε，则通过loss反向传播更新底图，更新后转到正向传播，多次迭代获得鲁棒图像，最终构成初始鲁棒图像数据集。

优选的，所述的图像生成模型由编码器和解码器两部分组成；

所述编码器包含两个重复单元，每个重复单元包括两个带ReLU激活函数的3*3步长的卷积层和一个2*2步长的max-pooling层；

所述解码器包含两个重复单元，每个重复单元包括两个带ReLU激活函数的3*3步长的卷积层和一个upSample层。

优选的，所述基于GAN的编解码图像转换方法具体包括如下：

步骤3.1、初始化生成器G与判别器D；

步骤3.2、迭代执行如下步骤：

步骤3.2.1、从原始图像数据集和初始鲁棒图像数据集中随机抽取小批量mini-batch图像数据，分别记为X和X_r；

步骤3.2.2、将X输入G得到输出图像G(X)；

步骤3.2.3、将G(X)和X_r一起送入D，得到相应的分数D(G(X))和D(X_r)；按式(1)所示的损失函数更新D的参数，

步骤3.2.4、固定D的参数，以式(1)和式(2)所示的损失函数更新G的参数，

优选的，在步骤S4中，具体包括如下：

将原始图像数据集送入步骤3得到的图像生成模型，得到训练用的鲁棒数据集，再用其对初始分类模型进行训练，得到一个重新训练的图像分类模型，图像生成模型与重新训练的图像分类模型结合即为最终鲁棒模型。

本发明的有益效果是：本发明方法最终得到的鲁棒模型由图像生成模型和重新训练的图像分类模型组成，其中，图像生成模型可以很好地解决：对抗样本导致的错误分类；防御策略单一，并需要极高训练成本的防御策略不断升级，重新训练的图像分类模型可以很好地解决分类准确率下降较多的问题。

附图说明

图1为得到初始鲁棒模型步骤示意图；

图2为构造初始鲁棒图像数据集步骤示意图；

图3为图像生成模型示意图；

图4为最终鲁棒模型示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-图4，本发明提供一种技术方案：一种基于数据重建和数据过滤的图像对抗样本防御方法，包括如下步骤：

步骤1对抗训练得到初始鲁棒模型

对抗训练是一种引入扰动的训练方式，可以极大地提升模型鲁棒性，当然这也会在一定程度上降低分类准确率。对抗训练如下式：

X为原始数据集，Y为X对应的标签，θ为模型参数，δ为对抗扰动，ε为扰动空间。公式中内部最大化问题是为给定模型找到导致最坏情况的对抗样本，外部最小化问题是训练一个对最坏对抗性样本鲁棒的模型。通过对初始分类模型进行对抗训练得到初始鲁棒模型，示意图如图1所示。本方法使用投影梯度下降(PGD，Projected Gradient Descent)方法来产生最坏对抗性样本。设置PGD的迭代次数为n＝7，步长参数α＝0.00784，最大扰动ε＝0.0314。对大小为N的原始图像数据集X中的每一张图像x_i(i＝1,2,…,N)都执行如下步骤：

步骤1.1：将图像x_i输入初始分类模型进行训练，前向传播计算损失loss，反向传播计算梯度grad并备份。

步骤1.2：对抗步骤。设置PGD对抗训练的扰动累积步数为n步，按如下步骤循环：

步骤1.2.1：对抗攻击，生成对抗样本。

步骤1.2.1.1：先根据t(t＝1,2,…,n)判断当前是否是首步，若是，则要保存未受攻击的grad。

步骤1.2.1.2：计算第t+1步的对抗扰动r，如下式：

r＝αg_t/||g_t||₂

其中，g_t表示当前第t步的梯度，||·||₂表示l₂范数。并且r应满足下式：

||r||₂≤ε

若r超出范围，则根据下式将其投影回ε内：

r＝εr/||r||₂

步骤1.2.1.3：得到中间对抗样本x_i+r。

步骤1.2.2：根据t更新梯度。

步骤1.2.2.1：若t不是最后一步，则将模型当前梯度归0，根据步骤1.2.1.3得到的x_i+r计算前后向并得到梯度，继续循环。

步骤1.2.2.2：若t是最后一步，则模型恢复步骤1.1的梯度，根据最终的x_i+r计算前后向并得到梯度，将梯度累加到步骤1.1的梯度上，跳出循环。

步骤1.3：根据步骤1.2.2.2的梯度对初始分类模型参数进行更新，得到初始鲁棒模型。

步骤2构造初始鲁棒图像数据集

本步骤将步骤1训练好的初始鲁棒模型作为主干网络锁住参数。以随机噪声作底图和原始图像作输入，计算两者在鲁棒模型最后一个卷积层上的内容损失content Loss，反向传播更新底图，使其内容上与原图像相似，多次迭代获得鲁棒图像，最终构成初始鲁棒图像数据集，示意图如图2所示。具体地，对原始图像数据集中的每一张图像p，将其和一张随机噪声y构成的底图共同输入初始鲁棒模型，执行如下步骤：

步骤2.1：正向传播并如下式计算内容损失L_content：

其中，l表示模型最后一个卷积层，F^l表示l层得到的响应，N^l表示第l层过滤器fliter的个数，M^l表示fliter的大小。/>表示底图y在第l层第i个fliter在j位置的输出，/>表示原始图像p在第l层第i个fliter在j位置的输出。

步骤2.2：若内容损失L_content>ε(ε取0.1)，则通过loss反向传播更新底图，并转到步骤2.1；反之，即可得到鲁棒图像，并将其添加至初始鲁棒图像数据集。

步骤3得到图像生成模型

本步骤将通过基于GAN的编解码图像转换方法得到图像生成模型，示意图如图3所示。其中图像生成模型G(也称生成器G)由编码器和解码器两部分组成。

编码器由两个重复单元组成，每个重复单元的构成为：先使用两个带ReLU激活函数的3*3步长的卷积层，再使用一个2*2步长的max-pooling层，每次下采样后，特征图大小减半，特征通道数量加倍，最终得到原始图像的鲁棒特征。

解码器与编码器对应，也包含两个重复单元，每个重复单元的构成为：先使用两个带ReLU激活函数的3*3步长的卷积层，再使用一个upSample层，每次上采样后，特征通道数量减半，特征图大小加倍，最终将鲁棒特征还原为鲁棒图像。基于GAN的编解码图像转换方法具体包括如下：

步骤3.1：初始化生成器G与判别器D；

步骤3.2：迭代执行如下步骤：

步骤3.2.1：从原始图像数据集和初始鲁棒图像数据集中随机抽取小批量mini-batch图像数据，分别记为X和X_r；

步骤3.2.2：将X输入G得到输出图像G(X)；

步骤3.2.3：将G(X)和X_r一起送入D，得到相应的分数D(G(X))和D(X_r)；按式(1)所示的损失函数更新D的参数，达到D(X_r)尽量高，D(G(X))尽量低，L_GAN增大的目的；

步骤3.2.4：固定D的参数，以式(1)和式(2)所示的损失函数更新G的参数，达到减小，D(G(X))增大，L_GAN减小的目的；

步骤4得到最终鲁棒模型

本步骤将原始图像数据集送入步骤3得到的图像生成模型，得到训练用的鲁棒数据集，再用其对初始分类模型进行训练，得到一个重新训练的图像分类模型。图像生成模型加重新训练的图像分类模型即为最终鲁棒模型，示意图如图4所示。其中，图像生成模型可以很好地解决对抗样本导致的错误分类、防御策略单一、需要极高训练成本的防御策略不断升级的问题；重新训练的图像分类模型可以很好地解决分类准确率下降较多的问题。

尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (2)

1.一种基于数据重建和数据过滤的图像对抗样本防御方法，其特征在于，包括如下步骤：

步骤1、对抗训练得到初始鲁棒模型；

步骤2、通过初始鲁棒模型构造初始鲁棒图像数据集；

步骤3、基于GAN的编解码图像转换方法得到图像生成模型；

步骤4、构建最终鲁棒模型，输出分类结果；

所述步骤1中，具体包括如下：

步骤1.1、将大小为N的原始图像数据集X中的每一张图像x_i输入初始分类模型进行训练，前向传播计算损失loss，反向传播计算梯度grad并备份；

步骤1.2、对抗步骤：设置投影梯度下降PGD对抗训练的扰动累积步数为n步，按如下步骤循环：

步骤1.2.1、对抗攻击，生成对抗样本；

步骤1.2.1.1、先根据t(t＝1,2,…,n)判断当前是否是首步，若是，则要保存未受攻击的grad；

步骤1.2.1.2、计算第t+1步的对抗扰动r，如下式：

r＝αg_t/||g_t||₂；

其中，g_t表示当前第t步的梯度，‖·‖₂表示l₂范数，并且r满足下式：

||r||₂≤ε；

若r超出范围，则根据下式将其投影回ε内：

r＝εr/||r||₂；

步骤1.2.1.3、得到中间对抗样本x_i+r；

步骤1.2.2、根据t更新梯度；

步骤1.2.2.1、若t不是最后一步，则将模型当前梯度归0，根据步骤1.2.1.3得到的x_i+r计算前后向并得到梯度，继续循环；

步骤1.2.2.2、若t是最后一步，则模型恢复步骤1.1的梯度，根据最终的x_i+r计算前后向并得到梯度，将梯度累加到步骤1.1的梯度上，跳出循环；

步骤1.3、根据步骤1.2.2.2的梯度对初始分类模型参数进行更新，得到初始鲁棒模型；

在步骤S2中，以随机噪声作为底图和原始图像一起作为初始鲁棒模型的输入，正向传播计算两者在初始鲁棒模型最后一个卷积层上的内容损失content Loss，

其中，p表示原始图像数据集中的每一张图像，y表示随机噪声底图，l表示模型最后一个卷积层，F^l表示l层得到的响应，N^l表示第l层过滤器fliter的个数，M^l表示fliter的大小，/>表示底图y在第l层第i个fliter在j位置的输出，/>表示原始图像p在第l层第i个fliter在j位置的输出；

若内容损失L_content>ε，则通过loss反向传播更新底图，更新后转到正向传播，多次迭代获得鲁棒图像，最终构成初始鲁棒图像数据集；

所述的图像生成模型由编码器和解码器两部分组成；

所述编码器包含两个重复单元，每个重复单元包括两个带ReLU激活函数的3*3步长的卷积层和一个2*2步长的max-pooling层；

所述解码器包含两个重复单元，每个重复单元包括两个带ReLU激活函数的3*3步长的卷积层和一个upSample层；

所述基于GAN的编解码图像转换方法具体包括如下：

步骤3.1、初始化生成器G与判别器D；

步骤3.2、迭代执行如下步骤：

步骤3.2.1、从原始图像数据集和初始鲁棒图像数据集中随机抽取小批量mini-batch图像数据，分别记为X和X_r；

步骤3.2.2、将X输入G得到输出图像G(X)；

步骤3.2.3、将G(X)和X_r一起送入D，得到相应的分数D(G(X))和D(X_r)；按式(1)所示的损失函数更新D的参数，

步骤3.2.4、固定D的参数，以式(1)和式(2)所示的损失函数更新G的参数，

在步骤S4中，具体包括如下：

将原始图像数据集送入步骤3得到的图像生成模型，得到训练用的鲁棒数据集，再用其对初始分类模型进行训练，得到一个重新训练的图像分类模型，图像生成模型与重新训练的图像分类模型结合即为最终鲁棒模型。

2.根据权利要求1所述的基于数据重建和数据过滤的图像对抗样本防御方法，其特征在于：所述对抗训练如下所示：

其中，X为原始数据集，Y为X对应的标签，θ为模型参数，δ为对抗扰动，ε为扰动空间。