基于特征匹配的鲁棒神经网络训练方法技术

本发明专利技术公开了一种基于特征匹配的鲁棒神经网络训练方法，包括以下步骤：A、初始化第一阶段模型，第一阶段模型包括骨干网络，特征匹配模块和fullple损失函数；B、使用原始训练数据训练第一阶段模型，得到第二阶段模型；C、攻击第二阶段模型，生成原始训练数据的PGD对抗样本，用生成的对抗样本和原始训练数据再次训练第二阶段模型；D、调整训练参数，再次对第二阶段模型进行训练，保存模型在原始测试集上具有最高准确率时的参数。本发明专利技术能够解决现有技术的不足，可以显著提高神经网络对对抗攻击的鲁棒性，并且不增加网络的可训练参数。并且不增加网络的可训练参数。并且不增加网络的可训练参数。

【技术实现步骤摘要】
基于特征匹配的鲁棒神经网络训练方法


[0001]本专利技术涉及图像分类
，具体是一种基于特征匹配的鲁棒神经网络训练方法。

技术介绍

[0002]图像分类系统容易受到对抗性攻击，这些攻击对人类难以察觉，但很容易愚弄深度神经网络。最近的研究表明，通过引入随机性使网络正则化可以极大地提高模型对对抗性攻击的鲁棒性，但随机性模块通常会涉及复杂的计算和大量的附加参数，并严重影响模型对干净数据的性能。为了应对对抗攻击，对抗训练被认为是提高模型鲁棒性的最简单和不间断的方法，通过引入随机性来规范网络是处理对抗性攻击的另一种有效方法。虽然这些方法以不同的方式增加噪声，但它们的最终目标是允许网络层的输出在可接受的范围内变化。令人遗憾的是，大量随机性的引入导致了过度规则化(即欠拟合)的现象，这些方法通常涉及复杂的训练过程，需要手动设置多个噪声超参数，这极大地影响了最终的性能，必须仔细调整。

技术实现思路

[0003]本专利技术要解决的技术问题是提供一种基于特征匹配的鲁棒神经网络训练方法，能够解决现有技术的不足，可以显著提高神经网络对对抗攻击的鲁棒性，并且不增加网络的可训练参数。
[0004]本专利技术的内容包括以下步骤：
[0005]A、初始化第一阶段模型，第一阶段模型包括骨干网络，特征匹配模块和fullple损失函数；
[0006]B、使用原始训练数据训练第一阶段模型，得到第二阶段模型；
[0007]C、攻击第二阶段模型，生成原始训练数据的PGD对抗样本，用生成的对抗样本和原始训练数据再次训练第二阶段模型；
[0008]D、调整训练参数，再次对第二阶段模型进行训练，保存模型在原始测试集上具有最高准确率时的参数。
[0009]作为优选，使用骨干网络的最后一个卷积层和全局平均池化来提取输入图像x的特征Fx。
[0010]作为优选，特征匹配模块包括标签嵌入、查询正特征和负特征、计算特征距离三个过程。
[0011]作为优选，fullple损失函数表示为，
[0012][0013]将标签编码特征分为正特征FP和负特征FN，这两个类特征是通过查询过程获得
的，对于给定的图像x及其标签y，FP是嵌入矩阵中的第y行一维向量，FN代表剩余向量；fullple损失函数分为两部分，第一部分指正样本损失，如果图像特征Fx和正特征FP之间的欧几里德距离小于阈值α，则该部分的损失为0，α允许模型输出在训练期间在指定范围内变化，第二部分是负样本损失，用于避免模型学习到不同类别图像的相似特征，如果图像特征Fx和所有负特征FN之间的距离超过β，则该部分的损失为零。
[0014]作为优选，
[0015][0016][0017]len(Fx)表示由骨干神经网络提取的图像特征的长度。
[0018]作为优选，计算每个类别的特征向量Fi{i＝0，1，，n
‑
1}与图像特征向量Fx之间的欧氏距离，形成网络的匹配分数，代表图像与n个类别的差异，fw(x)＝[d(F
x
，F0)，d(F
x
，F1)，
…
，d(F
x
，F
n
)]；
[0019]选择最小的匹配得分所在的索引作为分类结果，pred＝arg.min{fW(x)}。
[0020]作为优选，步骤B中，训练的学习率lr＝0.001，训练周期为20个epoch。
[0021]作为优选，步骤C中，PGD对抗样本的扰动强度为8/255，攻击步数为7。
[0022]作为优选，在计算损失值时对对抗样本和原始训练数据的损失进行加权平均，权重均为0.5。
[0023]作为优选，步骤D中，首先重复步骤C95个epoch，然后调整学习率lr为0.0001，再重复步骤C100个epoch。
[0024]本专利技术的有益效果是：用一个特征匹配模块代替全连接层，可以显著提高模型对对抗攻击的鲁棒性，并且不增加网络的可训练参数。与注入噪声的网络正则化方法相比，该方法损失了较少的干净数据的准确性，并消除了复杂的训练过程。在CIFAR10和SVHN数据集上的大量实验表明，本专利技术在白盒和黑盒环境中对对抗攻击具有最先进的鲁棒性。
附图说明
[0025]图1为本专利技术的方法和传统方法的比较图。
[0026]图2为本专利技术模型的原理图。
[0027]图3为本专利技术fullple损失函数促使图像接近真实标签嵌入向量，而远离所有虚假标签嵌入向量的示意图。
[0028]图4为在FGSM的不同攻击强度下本专利技术(FM)和其他方法的对比图。
[0029]图5为在PGD的不同攻击强度下本专利技术(FM)和其他方法的对比图。
[0030]图6为在CIFAR10和SVHN测试数据上用作骨干网的ResNet
‑
V2(18)在未设防御和使用本专利技术进行防御的分布对比图。
[0031]图7为基于特征匹配的ResNet
‑
V2(18)在受到不同攻击强度的PGD算法攻击时的鲁棒性趋势图。
具体实施方式
[0032]参照图1
‑
3，一种基于特征匹配的鲁棒神经网络训练方法，包括以下步骤：
[0033]A、初始化第一阶段模型，第一阶段模型包括骨干网络，特征匹配模块和fullple损失函数；使用骨干网络的最后一个卷积层和全局平均池化来提取输入图像x的特征Fx。特征匹配模块包括标签嵌入、查询正特征和负特征、计算特征距离三个过程。fullple损失函数表示为，
[0034][0035]将标签编码特征分为正特征FP和负特征FN，这两个类特征是通过查询过程获得的，对于给定的图像x及其标签y，FP是嵌入矩阵中的第y行一维向量，FN代表剩余向量；fullple损失函数分为两部分，第一部分指正样本损失，如果图像特征Fx和正特征FP之间的欧几里德距离小于阈值α，则该部分的损失为0，a允许模型输出在训练期间在指定范围内变化，第二部分是负样本损失，用于避免模型学习到不同类别图像的相似特征，如果图像特征Fx和所有负特征FN之间的距离超过β，则该部分的损失为零。
[0036][0037][0038]len(Fx)表示由骨干神经网络提取的图像特征的长度。
[0039]计算每个类别的特征向量Fi{i＝0，1，，n
‑
1}与图像特征向量Fx之间的欧氏距离，形成网络的匹配分数，代表图像与n个类别的差异，fw(x)＝[d(F
x
，F0)，d(F
x
，F1)，
…
，d(F
x
，F
n
)]；
[0040]选择最小的匹配得分所在的索引作为分类结果，pred＝arg.min{fW(x)}。
[0041]B、使用原始训练数据训练第一阶段模型，得到第二阶段模型；训练的学习率lr＝0.001，训练周期为20个epoch。
[0042]C、攻击第二本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于特征匹配的鲁棒神经网络训练方法，其特征在于包括以下步骤：A、初始化第一阶段模型，第一阶段模型包括骨干网络，特征匹配模块和fullple损失函数；B、使用原始训练数据训练第一阶段模型，得到第二阶段模型；C、攻击第二阶段模型，生成原始训练数据的PGD对抗样本，用生成的对抗样本和原始训练数据再次训练第二阶段模型；D、调整训练参数，再次对第二阶段模型进行训练，保存模型在原始测试集上具有最高准确率时的参数。2.根据权利要求1所述的基于特征匹配的鲁棒神经网络训练方法，其特征在于：使用骨干网络的最后一个卷积层和全局平均池化来提取输入图像x的特征Fx。3.根据权利要求2所述的基于特征匹配的鲁棒神经网络训练方法，其特征在于：所述特征匹配模块包括标签嵌入、查询正特征和负特征、计算特征距离三个过程。4.根据权利要求3所述的基于特征匹配的鲁棒神经网络训练方法，其特征在于：fullple损失函数表示为，将标签编码特征分为正特征FP和负特征FN，这两个类特征是通过查询过程获得的，对于给定的图像x及其标签y，FP是嵌入矩阵中的第y行一维向量，FN代表剩余向量；fullple损失函数分为两部分，第一部分指正样本损失，如果图像特征Fx和正特征FP之间的欧几里德距离小于阈值α，则该部分的损失为0，α允许模型输出在训练期间在指定范围内变化，第二部分是负样本损失，用于避免模型学习到不同类别图像的相似特征，如果图像特征Fx和所有负特征FN之间的距离超过β，则该部分的损失为零。5.根据权利要求4所述的基于特征匹配的鲁棒神经网络训...

【专利技术属性】
技术研发人员：郭延明，李建，老松杨，白亮，魏迎梅，武与伦，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：