本申请提供一种生成对抗样本的方法、检测器的训练方法及相关设备。所述生成对抗样本的方法包括:获取干净的训练样本集;对于训练样本集中的每个训练样本,通过对该训练样本进行对抗攻击,得到多个对抗实例;根据多个对抗实例中指示对抗成功的每个目标对抗实例的对抗攻击信息,选择目标标签;基于目标标签生成与该训练样本对应的对抗样本;存储对抗样本。所述检测器训练方法包括:利用生成对抗样本的方法,基于训练样本集生成对抗样本集;利用训练样本集对检测器进行二元分类任务的第一训练;利用对抗样本集对经过第一训练的检测器进行第二训练。经过本训练方法得到的检测器用于检测输入深度神经网络的样本数据是否含有深度神经网络木马。神经网络木马。神经网络木马。
【技术实现步骤摘要】
生成对抗样本的方法、检测器的训练方法及相关设备
[0001]本申请涉及神经网络模型训练,尤其涉及一种生成对抗样本的方法、检测器的训练方法及相关设备。
技术介绍
[0002]在过去的几十年里,机器学习在人工智能的应用领域中飞速发展,例如计算机视觉、自然语言处理等等。而在机器学习当中,深度神经网络(DNN)模型是推动人工智能领域发展的最重要的模型之一,但基于深度神经网络的应用难以部署在安全要求极高的关键系统当中。近年来,与深度神经网络相关的安全问题被不断提出,例如,攻击者可以通过对给定样本应用有意选择的扰动来欺骗DNN模型对样本输入进行错误分类。
[0003]研究多种典型恶意深度神经网络威胁模型下的木马检测方法是解决深度神经网络木马的首要任务。其中,人不易察觉的恶意输入样本是所有木马中最具备威胁的攻击技术之一,因此如何训练得到一种用于检测深度神经网络样本数据的检测器,利用其对输入深度神经网络的样本数据是否携带深度神经网络木马进行检测是解决此类问题的首要任务。
技术实现思路
[0004]有鉴于此,本申请的目的在于提出一种用于检测深度神经网络木马的网络模型的训练方法及装置。
[0005]基于上述目的,本申请第一方面提供了一种生成对抗样本的方法,由电子设备实现,包括:
[0006]获取干净的训练样本集;
[0007]对于所述训练样本集中的每个训练样本,
[0008]通过对该训练样本进行对抗攻击,得到多个对抗实例;
[0009]根据所述多个对抗实例中指示对抗成功的每个目标对抗实例的对抗攻击信息,选择目标标签;
[0010]基于所述目标标签生成与该训练样本对应的对抗样本;
[0011]存储所述对抗样本。
[0012]进一步地,所述基于所述目标标签生成与该训练样本对应的对抗样本包括:
[0013]利用梯度迭代算法,基于所述目标标签生成与该训练样本对应的对抗样本。
[0014]进一步地,所述利用梯度迭代算法,基于所述目标标签生成与该训练样本对应的对抗样本,包括:
[0015]基于所述目标标签,通过迭代生成对应的最小范数对抗扰动;
[0016]迭代地执行下列修改所述目标标签和所述最小范数对抗扰动的操作,直至满足预设的迭代结束条件:
[0017]基于所述最小范数对抗扰动对所述目标标签进行修改;
[0018]将修改后的所述目标标签输入预先训练好的分类器中,得到分类结果;
[0019]响应于确定所述分类结果正确,按预定步长修改所述最小范数对抗扰动,其中,所述迭代结束条件包括所述分类结果错误;
[0020]将最后修改的所述目标标签确定为所述对抗样本。
[0021]基于同一专利技术构思,本申请第二方面提供了一种用于检测样本数据的检测器的训练方法,包括:
[0022]基于干净的训练样本集,利用上述第一方面任一项所述的方法得到与该训练样本集对应的对抗样本集;
[0023]利用所述训练样本集对所述检测器进行二元分类任务的第一训练;
[0024]利用所述对抗样本集对经过第一训练的所述检测器进行二元分类任务的第二训练。
[0025]进一步地,还包括:
[0026]在进行所述第一训练之前,利用所述训练样本集对所述检测器进行二元分类任务的预训练。
[0027]进一步地,所述利用所述训练样本集对所述检测器进行二元分类任务的第一训练包括:
[0028]将所述训练样本集分为训练集和验证集;
[0029]预设深度神经网络中的各权值和阈值;
[0030]初始化所述检测器的学习速率和样本误差阈值;
[0031]对于所述训练集中的每个样本,
[0032]将所述样本输入所述检测器中,输出对应的第一实际输出值;
[0033]计算所述第一实际输出值与所述样本对应的第一理想输出值之间的第一误差值;
[0034]利用所述第一误差值反向传播调整所述权值和所述阈值;
[0035]对于所述验证集中的每个样本,
[0036]将所述样本输入所述检测器中,输出对应的第二实际输出值;
[0037]计算所述第二实际输出值与所述样本对应的第二理想输出值之间的第二误差值;
[0038]计算所有所述第二误差值的总误差值;
[0039]响应于确定所述总误差值小于等于预设的误差阈值,结束所述第一训练。
[0040]进一步地,所述利用所述对抗样本集对经过第一训练的所述检测器进行二元分类任务的第二训练包括:
[0041]将所述对抗样本集分为训练对抗样本集和验证对抗样本集;
[0042]对于所述训练对抗样本集中的每个样本,
[0043]将所述样本输入经过第一训练的所述检测器中,输出对应的第三实际输出值;
[0044]计算所述第三实际输出值与所述样本对应的第三理想输出值之间的第三误差值;
[0045]利用所述第三误差值反向传播调整所述权值和所述阈值;
[0046]对于所述验证对抗样本集中的每个样本,
[0047]将所述样本输入经过第一训练的所述检测器中,输出对应的第四实际输出值;
[0048]计算所述第四实际输出值与所述样本对应的第四理想输出值之间的第四误差值;
[0049]计算所有所述第四误差值的误差总值;
[0050]响应于确定所述误差总值小于等于所述预设的误差阈值,结束所述第二训练。
[0051]基于同一专利技术构思,本申请第三方面提供了一种生成对抗样本的装置,包括:
[0052]获取模块,被配置为获取干净的训练样本集;
[0053]对抗攻击模块,被配置为对于所述训练样本集中的每个训练样本,通过对该训练样本进行对抗攻击,得到多个对抗实例;
[0054]选择模块,被配置为根据所述多个对抗实例中指示对抗成功的每个目标对抗实例的对抗攻击信息,选择目标标签;
[0055]生成模块,被配置为基于所述目标标签生成与该训练样本对应的对抗样本;
[0056]存储模块,被配置为存储所述对抗样本。
[0057]基于同一专利技术构思,本申请第四方面提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,所述处理器在执行所述计算机程序时实现上述第一方面任意一项所述的方法。
[0058]基于同一专利技术构思,本申请第五方面提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,所述处理器在执行所述计算机程序时实现根据上述第二方面任意一项所述的方法。
[0059]从上面所述可以看出,本申请提供的生成对抗样本的方法和检测器训练方法及设备,在训练样本集的基础上动态调整,逐步修改最终形成对抗样本集。利用训练样本集及对抗样本集对检测器进行训练,最终训练得到可以用于检测输入深度神经网络的样本数据是否还有深度神经网络木马。将该检测器设置于深度神经网络的前置位,利用其对输入本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种生成对抗样本的方法,由电子设备实现,其特征在于,包括:获取干净的训练样本集;对于所述训练样本集中的每个训练样本,通过对该训练样本进行对抗攻击,得到多个对抗实例;根据所述多个对抗实例中指示对抗成功的每个目标对抗实例的对抗攻击信息,选择目标标签;基于所述目标标签生成与该训练样本对应的对抗样本;存储所述对抗样本。2.根据权利要求1所述的方法,其特征在于,所述基于所述目标标签生成与该训练样本对应的对抗样本包括:利用梯度迭代算法,基于所述目标标签生成与该训练样本对应的对抗样本。3.根据权利要求2所述的方法,其特征在于,所述利用梯度迭代算法,基于所述目标标签生成与该训练样本对应的对抗样本,包括:基于所述目标标签,通过迭代生成对应的最小范数对抗扰动;迭代地执行下列修改所述目标标签和所述最小范数对抗扰动的操作,直至满足预设的迭代结束条件:基于所述最小范数对抗扰动对所述目标标签进行修改;将修改后的所述目标标签输入预先训练好的分类器中,得到分类结果;响应于确定所述分类结果正确,按预定步长修改所述最小范数对抗扰动,其中,所述迭代结束条件包括所述分类结果错误;将最后修改的所述目标标签确定为所述对抗样本。4.一种用于检测样本数据的检测器的训练方法,其特征在于,包括:基于干净的训练样本集,利用根据权利要求1至3中任一项所述的方法得到与该训练样本集对应的对抗样本集;利用所述训练样本集对所述检测器进行二元分类任务的第一训练;利用所述对抗样本集对经过第一训练的所述检测器进行二元分类任务的第二训练。5.根据权利要求4所述的训练方法,其特征在于,还包括:在进行所述第一训练之前,利用所述训练样本集对所述检测器进行二元分类任务的预训练。6.根据权利要求4或5所述的训练方法,其特征在于,所述利用所述训练样本集对所述检测器进行二元分类任务的第一训练包括:将所述训练样本集分为训练集和验证集;预设深度神经网络中的各权值和阈值;初始化所述检测器的学习速率和样本误差阈值;对于所述训练集中的每个样本,将所述样本输入所述检测器中,输出对应的第一实际输出值;计算所述第一实际输出值与所述样本对应的第一理想...
【专利技术属性】
技术研发人员:王玉龙,贾哲,彭隽,苏森,徐鹏,双锴,张忠宝,程祥,
申请(专利权)人:中国电子科技集团公司第五十四研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。