一种基于卷积去噪自编码机防御对抗样本攻击的方法
专利类型:发明专利
语 言:中文
申 请 号:CN201810305146.5
申 请 日:20180404
申 请 人:重庆大学
申请人地址:400000 重庆市沙坪坝区正街174号
公 开 日:20180914
公 开 号:CN201810305146.5
代 理 人:覃婧婵
代理机构:北京中济纬天专利代理有限公司 11429
摘 要:本发明涉及一种基于卷积去噪自编码机防御对抗样本攻击的方法。对抗图像样本x*(图像分类器识别输出标签为y*)是在未经修改的干净图像样本x(图像分类器识别输出标签为y)上经过人为添加对抗扰动所构建的,能够达到y*≠y的欺诈目的,即使图像分类器将两张本质上代表相同含义的图像错误分成两类。本发明设计了一种基于卷积去噪自编码机CDAE连接至目标图像分类器的集成防御模型,即输入样本首先经过一个训练有素的CDAE内部编码和解码,以移除输入样本中绝大部分对抗扰动,从而输出一个接近于原始干净样本的去噪样本,接着再喂给目标图像分类器,因此可以提升目标分类器分类正确率,起到防御对抗样本攻击的作用。
主 权 项:1.一种基于卷积去噪自编码机的防御对抗样本攻击的方法,具体包括如下步骤:A1:数据抽取:分别从未经任何修改的图像数据集的训练集和测试集中进行图像数据抽取,构建新的训练集和新的测试集;A2:训练目标分类器:使用A1中所述的新的训练集和新的测试集对目标分类器进行训练和测试,记录在新的测试集下该目标分类器的分类正确率;A3:构建对抗数据集:选取对抗扰动的系数和对抗样本的生成方法,使用A1中所述的新的训练集和新的测试集,分别构建相对应的对抗训练集和对抗测试集,使用对抗测试集测试A2中训练完成的目标分类器并记录该目标分类器的分类正确率;A4:根据输入样本的尺寸大小、颜色通道来构建相应的卷积去噪自编码机,使用A3中所述的对抗训练集联合A1中所述的新的训练集对卷积去噪自编码机进行训练,训练目标为最小化重构误差;再使用A3中所述的对抗测试集联合A1中所述的新的测试集测试上述训练完成的卷积去噪自编码机去噪性能;A5:设计一种基于A4中所述的训练完成的卷积去噪自编码机与目标分类器联合的集成模型;A6:使用A1中所述的新的测试集和A3中所述的对抗测试集分别对A5中所述的集成模型进行测试,将可见集成模型对于A1中所述的新的测试集的分类正确率与A2中记录的分类正确率接近,同时,集成模型对A3中所述的对抗测试集的分类正确率相比于A3中记录的分类正确率有显著提升,即起到防御对抗样本攻击的作用。
关 键 词:样本;对抗;去噪;图像分类器;自编码;卷积;防御;目标图像;输入样本;图像样本;扰动;分类器;输出;攻击;标签;目标分类;内部编码;正确率;构建;移除;欺诈;图像;分类
法律状态:生效
IPC专利分类号:G06K9/62;G06K9/00;G06K9/46;G06K9/00;G;G06;G06K;G06K9;G06K9/62;G06K9/00;G06K9/46;G06K9/00