本发明专利技术提供一种针对基于交叉熵对抗攻击的防御方法。该方法包括:采用干净样本对需要防御的深度神经网络模型进行训练,使其达到拟合状态;当所述深度神经网络模型达到拟合状态之后,采用干净样本对其继续训练使其达到超拟合状态;所述超拟合状态对应至采用对抗样本对所述深度神经网络模型进行训练之后达到的拟合状态;将此时超拟合状态下的深度神经网络模型作为训练好的深度神经网络模型进行使用。型作为训练好的深度神经网络模型进行使用。型作为训练好的深度神经网络模型进行使用。
【技术实现步骤摘要】
一种针对基于交叉熵对抗攻击的防御方法
[0001]本专利技术涉及人工智能
,尤其涉及一种针对基于交叉熵对抗攻击的防御方法。
技术介绍
[0002]随着人工智能,机器学习/深度学习方法的快速发展,基于人工智能算法的系统广泛部署于实际的工业生产环境中。然而,由于基于人工智能算法的系统容易受到对抗样本攻击,因此其给生产生活带来极大便捷的同时也存在一些安全问题。所谓对抗样本攻击是指通过对原始输入添加肉眼不可辨别的轻微扰动后再输入至人工智能系统,使人工智能系统获得非预期的预测结果。一种基于人工智能算法的系统容易受到对抗样本攻击,本质上意味着基于人工智能的算法的对抗鲁棒性(即抵御对抗样本攻击的能力)太差,因此提高深度神经网络模型的对抗鲁棒性则尤为重要。
[0003]目前,提高对抗鲁棒性的主要方法有:(1)梯度隐藏:把模型的梯度进行隐藏或者混淆,使得基于梯度的对抗样本生成算法无法获得模型的正确梯度,从而不能轻松攻击人工智能系统。(2)图像预处理:通过对输入进行预处理,降低对抗扰乱。(3)对抗训练:该方法也是目前的主流方法;即,在训练阶段将产生的对抗样本和原始样本(干净样本)一同作为输入,参与训练过程;该方法可以有效提高模型的对抗鲁棒性。然而,针对基于交叉熵的对抗攻击样本,上述的三大类方法的对抗鲁棒性仍有待提高,并且上述三大类方法的对抗攻击防御有效性事实上从理论上均无法得到验证。
技术实现思路
[0004]面对基于交叉熵的对抗攻击样本,现有提高对抗鲁棒性的方法的防御效果较差,以及对抗攻击防御有效性无法从理论上得到验证的问题,本专利技术提供一种针对基于交叉熵对抗攻击的防御方法,可以从理论上彻底防御基于交叉熵的对抗攻击。
[0005]本专利技术提供的一种针对基于交叉熵对抗攻击的防御方法,包括:
[0006]采用干净样本对需要防御的深度神经网络模型进行训练,使其达到拟合状态;
[0007]当所述深度神经网络模型达到拟合状态之后,采用干净样本对其继续训练使其达到超拟合状态;所述超拟合状态对应至采用对抗样本对所述深度神经网络模型进行训练之后达到的拟合状态;
[0008]将此时超拟合状态下的深度神经网络模型作为训练好的深度神经网络模型进行使用。
[0009]进一步地,在采用干净样本对其继续训练使其达到超拟合状态的过程中,采用最小化无关类别分数方法进行优化,设置优化目标如下述的公式所示:
[0010]minimaze(z
s
‑
z
y
)
[0011]其中,
[0012]s=argmax z
i and s≠y
[0013]其中,z
s
为除真实标签y之外的其他所有标签的预测分数中的最大值,i=0,1,
…
,K
‑
1;K表示类别个数。
[0014]本专利技术的有益效果:
[0015]本专利技术提供的一种针对基于交叉熵对抗攻击的防御方法,提出了“超拟合状态”概念,在该状态下模型虽然会牺牲少量的干净样本的正确率,但是其对抗鲁棒性会得到大幅度的提升。此外,本专利技术还分析了导致超拟合现象的数学原因,并从理论上证明了,在现代计算机浮点运算的体系结构下,超拟合可以完美解决基于交叉熵的白盒对抗攻击,并且对于未来的基于交叉熵的白盒对抗攻击同样具有防御性。
[0016]并且,针对超拟合需要大量的迭代训练的问题,本专利技术还提出了MUCS优化策略,大幅缩减了模型达到超拟合状态所需要的迭代轮次。通过和目前先进的防御模型相比,本专利技术提出的防御方法在面对基于交叉熵的白盒对抗攻击表现地最佳。
附图说明
[0017]图1为本专利技术实施例提供的一种针对基于交叉熵对抗攻击的防御方法的流量示意图;
[0018]图2为本专利技术实施例提供的MiddleCNN模型和ResNet
‑
18模型在CIFAR
‑
10数据集上的训练示意图。
具体实施方式
[0019]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0020]一般而言,基于深度学习的网络模型的模型训练状态变化总是从欠拟合(under
‑
fitting,开始训练阶段)到拟合(fitting,训练完成),最后达到过拟合(over
‑
fitting)的状态,由于over
‑
fitting会使训练的模型泛化性降低,所以,在现有技术的训练过程中总是选择在模型达到fitting的状态时即停止训练。
[0021]但专利技术人发现,不同fitting状态的概念是相对的,事实上存在下述对应关系,即:对于普通/原始/干净样本的over
‑
fitting其实是对抗样本的under
‑
fitting状态。通过加大训练过程的迭代轮次即可使得模型在对抗样本上也达到fitting的状态,这个状态对于干净样本来说是远在over
‑
fitting之后的,本专利技术中称其为超拟合(super
‑
fitting)。
[0022]实施例1
[0023]基于上述内容,本专利技术实施例提供一种针对基于交叉熵对抗攻击的防御方法,包括以下步骤:
[0024]S101:采用干净样本对需要防御的深度神经网络模型进行训练,使其达到拟合状态;
[0025]S102:当所述深度神经网络模型达到拟合状态之后,采用干净样本对其继续训练使其达到超拟合状态;所述超拟合状态对应至采用对抗样本对所述深度神经网络模型进行训练之后达到的拟合状态;
[0026]S103:将此时超拟合状态下的深度神经网络模型作为训练好的深度神经网络模型进行使用。
[0027]为了验证本专利技术实施例的有效性,本专利技术还提供有下述实验。
[0028]首先使用MiddleCNN(网络结构为3个卷积层,每个卷积层后伴随有批量正则化操作,LeakReLu和最大池化操作,输出通道分别为64,128,256,之后是两个全连接层,输出单元分别为1024和10)和ResNet
‑
18在CIFAR
‑
10数据集上训练模型使其达到super
‑
fitting状态。
[0029]图1展示了训练过程中的两种网络模型(或防御模型)的部分信息。在图1中,上面的两幅子图分别为MiddleCNN模型对训练集的干净样本正确率和测试集的对抗样本正确率(左)和使用交叉熵损失函数(CE
‑
Loss)在对抗样本上计算的损失函数的值(右);下面的两幅子图分别为ResNet
‑
18模型对训练集的干净样本正确率和测试集本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种针对基于交叉熵对抗攻击的防御方法,其特征在于,包括:采用干净样本对需要防御的深度神经网络模型进行训练,使其达到拟合状态;当所述深度神经网络模型达到拟合状态之后,采用干净样本对其继续训练使其达到超拟合状态;所述超拟合状态对应至采用对抗样本对所述深度神经网络模型进行训练之后达到的拟合状态;将此时超拟合状态下的深度神经网络模型作为训练好的深度神经网络模型进行使用。2.根据权利要求1所述的一种针对基于交叉熵对抗攻击的防御方法,其特征在于,在采用干净样...
【专利技术属性】
技术研发人员:毛秀青,孙磊,杨有欢,郭松,郭松辉,李作辉,杨梦梦,周明,李楠,张静,张帅,汪小芹,赵敏,韩松莘,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。