用于SAR图像DNN分类模型后门防御的数据增强系统及方法技术方案

本发明专利技术公开了一种用于SAR图像DNN分类模型后门防御的数据增强系统及方法，本发明专利技术利用多种后门攻击技术产生SAR图像后门数据集，将数据增强组合策略进行变长编码，采用离线自动优化技术，获取兼顾高防御性能和低模型性能损失的最优数据增强组合后门防御策略，将其输入到在线后门防御性能评估模块，并评估经最优数据增强组合策略后的后门防御模型的测试精度和攻击成功率。本发明专利技术首次实现了基于数据增强自动组合优化的SAR图像DNN分类模型鲁棒后门防御，在仅损失较低模型性能的同时，通过扰乱后门模型中的触发器样式和消除后门模型对触发器的特征记忆，有效地抵御了多种后门攻击，从而提升了模型的安全性。从而提升了模型的安全性。从而提升了模型的安全性。

【技术实现步骤摘要】
用于SAR图像DNN分类模型后门防御的数据增强系统及方法


[0001]本专利技术涉及智能遥感领域的SAR(Synthetic Aperture Radar，合成孔径雷达)图像分类模型后门防御技术，尤其涉及一种用于SAR图像DNN(Deep Neural Network，深度神经网络)分类模型后门防御的数据增强系统及方法。

技术介绍

[0002]后门攻击是一种对深度神经网络(Deep Neural Network，DNN)的恶意攻击，其危害性非常严重。攻击者通过在训练数据中植入触发器生成后门模型，这种模型在输入良性数据时表现正常，当输入带有触发器的数据时，后门模型就会进行攻击者指定的操作。这种攻击具有极强的隐蔽性，很难被发现。例如，攻击者可以通过植入后门触发器将正常的人脸识别模型误判为其他人，或者将正常的语音识别模型误判为其他语言。这种攻击不仅会影响到个人用户，还会对企业、政府等机构造成巨大的影响。
[0003]合成孔径雷达(Synthetic Aperture Radar，SAR)是一种主动微波成像传感器，具有不受云雾、光照等因素影响、可在任意时间段观测目标区域的优点，使其在民用和军事领域得到了广泛应用。因为其应用领域的重要性，SAR图像DNN分类模型的安全性备受关注，对于SAR图像DNN分类模型进行后门攻击的防御方案设计显得尤为必要。
[0004]现有的后门防御策略主要包括后门扫描、后门检测、后门消除等方法。后门扫描、后门检测主要是对后门是否存在进行检测，无法移除后门，从本质上来说达不到防御的目的。后门消除依赖于正常样本以抑制注入的后门，且存在防御效果不佳、计算成本过高等问题。针对SAR图像DNN分类模型，在损失较低模型原始性能的前提下，如何设计一个有效去除后门的防御方案是一个亟待解决的技术难题。
[0005]数据增强是一种通过对原始数据进行一系列变换，以生成更多的数据样本，从而提高模型的泛化能力和鲁棒性的基本思想。在传统的图像领域，数据增强常用的方法包括镜像翻转、随机裁剪、颜色变换等。将数据增强应用于后门攻击防御可以使得模型读取更多图像特征，在提高模型泛化能力的同时，通过扰动图像中的后门攻击触发器，从而降低后门攻击成功率。现有基于数据增强的后门防御技术主要局限于传统图像领域，在SAR图像领域还鲜有研究报道；此外，针对不同的后门攻击和不同的图像数据集，现有后门防御技术需要丰富的专家经验，才能有针对性地设计不同的数据增强方法，以达到较好的效果。因此，如何在减少对专家经验依赖的前提下，自动地设计一种合适的数据增强组合策略方法，以有效防御针对SAR图像DNN分类模型的多种后门攻击，值得学术界和工程界深入研究。

技术实现思路

[0006]本专利技术的目的在于针对现有技术的不足，提供一种用于SAR图像DNN分类模型后门防御的数据增强系统及方法。
[0007]本专利技术的目的是通过以下技术方案来实现的：本专利技术实施例第一方面提供了一种用于SAR图像DNN分类模型后门防御的数据增强系统，所述系统包括SAR图像数据采集模块、
SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块和SAR图像DNN分类模型在线后门防御性能评估模块；
[0008]所述SAR图像数据采集模块，用于根据SAR历史数据库的图像获取待检测目标中心，根据目标中心最小外接离心圆的圆心为中点，向外扩充128个像素点，得到大小为256像素
×
256像素的SAR图像切片数据集，对图像切片数据集执行归一化处理并进行类别标注，将其划分为干净数据集、待中毒数据集和待增强数据集，将干净数据集划分为干净训练集和干净测试集，利用后门攻击技术分别对待中毒数据集进行毒害，获得不同的后门数据集，并分别将其划分为后门训练集和后门测试集，将干净训练集、干净测试集、后门训练集、后门测试集和待增强数据集分别输入到SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块和SAR图像DNN分类模型在线后门防御性能评估模块；
[0009]所述SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块，用于基于数据增强组合策略的离线自动优化技术，获得兼顾高防御性和低性能损失的最优数据增强组合后门防御策略，并将其传输给SAR图像DNN分类模型在线后门防御性能评估模块；
[0010]所述SAR图像DNN分类模型在线后门防御性能评估模块，用于在不同的后门训练集上分别对DNN分类模型进行训练，得到多种后门模型，将最优数据增强组合防御策略应用于不同的后门模型上进行防御，在不同的后门测试集上评估经过防御后的后门模型的测试精度和攻击成功率。
[0011]本专利技术实施例第二方面提供了一种应用上述系统的用于SAR图像DNN分类模型后门防御的数据增强方法，包括以下步骤：
[0012](1)通过SAR图像数据采集模块对SAR图像进行待检测目标中心的获取、图像切片以及类别标注，获得源数据集X，将每张图像大小缩放至256像素
×
256像素，并按照公式(1)进行数据的归一化处理，获得预处理数据集X
o
，将X
o
按照1：2的比例进行分割，获得干净数据集X
c
和待增强数据集X
a
，将干净数据集X
c
的10％作为待中毒数据集X
p
，将其余的90％按照4:1的比例划分为干净训练集Xc
‑
train和干净测试集Xc
‑
valid，将Xc
‑
train、X
c
‑
valid
、X
p
和X
a
输入到SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块；
[0013][0014]其中，X
oj
表示预处理数据集X
o
第j维度的特征，X
j
表示源数据集X第j维度的特征，d表示X
o
维度的最大值；
[0015](2)设置SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块的参数值，所述参数值包括数据增强组合策略的最小长度值l
min
、数据增强组合策略的最大长度值l
max
、深度神经网络DNN分类模型AlexNet、DNN分类模型嵌入后门的训练轮次Epoch1、DNN分类模型微调的训练轮次Epoch2、DNN分类模型训练的学习率Lr1、种群大小N、最大迭代轮次G、交叉率σ、变异率θ；将深度神经网络DNN分类模型AlexNet标记为Model；
[0016](3)初始化N个个体作为初始种群Q＝{x
i
,i＝1,2,
…
,N}，x
i
表示第i个个体；每个个体代表一种数据增强组合防御策略，其编码形式为其中l
i
表示第i个个体对应的数据增强组合策略长度，l
i
的初始化过程是从本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于SAR图像DNN分类模型后门防御的数据增强系统，其特征在于，所述系统包括SAR图像数据采集模块、SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块和SAR图像DNN分类模型在线后门防御性能评估模块；所述SAR图像数据采集模块，用于根据SAR历史数据库的图像获取待检测目标中心，根据目标中心最小外接离心圆的圆心为中点，向外扩充128个像素点，得到大小为256像素
×
256像素的SAR图像切片数据集，对图像切片数据集执行归一化处理并进行类别标注，将其划分为干净数据集、待中毒数据集和待增强数据集，将干净数据集划分为干净训练集和干净测试集，利用后门攻击技术分别对待中毒数据集进行毒害，获得不同的后门数据集，并分别将其划分为后门训练集和后门测试集，将干净训练集、干净测试集、后门训练集、后门测试集和待增强数据集分别输入到SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块和SAR图像DNN分类模型在线后门防御性能评估模块；所述SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块，用于基于数据增强组合策略的离线自动优化技术，获得兼顾高防御性和低性能损失的最优数据增强组合后门防御策略，并将其传输给SAR图像DNN分类模型在线后门防御性能评估模块；所述SAR图像DNN分类模型在线后门防御性能评估模块，用于在不同的后门训练集上分别对DNN分类模型进行训练，得到多种后门模型，将最优数据增强组合防御策略应用于不同的后门模型上进行防御，在不同的后门测试集上评估经过防御后的后门模型的测试精度和攻击成功率。2.一种应用权利要求1所述系统的用于SAR图像DNN分类模型后门防御的数据增强方法，其特征在于，包括以下步骤：(1)通过SAR图像数据采集模块对SAR图像进行待检测目标中心的获取、图像切片以及类别标注，获得源数据集X，将每张图像大小缩放至256像素
×
256像素，并按照公式(1)进行数据的归一化处理，获得预处理数据集X
o
，将X
o
按照1：2的比例进行分割，获得干净数据集X
c
和待增强数据集X
a
，将干净数据集X
c
的10％作为待中毒数据集X
p
，将其余的90％按照4:1的比例划分为干净训练集Xc
‑
train和干净测试集Xc
‑
valid，将Xc
‑
train、X
c
‑
valid
、X
p
和X
a
输入到SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块；其中，X
oj
表示预处理数据集X
o
第j维度的特征，X
j
表示源数据集X第j维度的特征，d表示X
o
维度的最大值；(2)设置SAR图像DNN分类模型后门防御的数据增强组合策略离线自动优化模块的参数值，所述参数值包括数据增强组合策略的最小长度值l
min
、数据增强组合策略的最大长度值l
max
、深度神经网络DNN分类模型AlexNet、DNN分类模型嵌入后门的训练轮次Epoch1、DNN分类模型微调的训练轮次Epoch2、DNN分类模型训练的学习率Lr1、种群大小N、最大迭代轮次G、交叉率σ、变异率θ；将深度神经网络DNN分类模型AlexNet标记为Model；(3)初始化N个个体作为初始种群Q＝{x
i
,i＝1,2,
…
,N}，x
i
表示第i个个体；每个个体代表一种数据增强组合防御策略，其编码形式为其中l
i
表示第i个个体对应的数据增强组合策略长度，l
i
的初始化过程是从l
min
和l
max
之间的范围内随机
产生的一个整数，Aug
i1
，Aug
i2
，分别表示是第i个个体从数据增强集合中进行随机选择产生的第1个、第2个和第l个数据增强方法，数据增强集合标记为Augmentation，Augmentation的组成为[Translation，ShiftScaleRotate，OD，GAMMA，DOWN，Sharpen，Defocus，PixelDropout，RandomBrightnessContrast，UnsharpMask，WienerFliter，MedianBlur，AdvancedBlur，Blur，GaussianBlur，GlassBlur，MotionBlur，ZoomBlur，WeibullNoise，RayleighNoise，JiedaunNoise，PepperNoise，MultiplicativeNoise，GN，PROTAT，RAND，FD，BdR，PD，SHIELD]，在编码中用[0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,29,20,21,22,23,24,25,26,27,28,29]表示，其中Translation表示对SAR图像的随机裁剪；ShiftScaleRotate表示对SAR图像随机应用平移、缩放和旋转；OD表示在超维空间中将SAR图像的表征信息映射为远离原始图像；GAMMA表示对SAR图像进行伽玛压缩预处理；DOWN表示对SAR图像进行缩小后再放大；Sharpen表示对SAR图像进行锐化；Defocus表示对SAR图像进行散焦变换；PixelDropout表示将SAR图像中某些位置的像素值以50％的概率将其设置为0；RandomBrightnessContrast表示随机调节SAR图像的亮度和对比度；UnsharpMask表示对SAR图像先进行高斯模糊，然后用原始图像减去0.5倍经过高斯模糊后的图像；WienerFliter表示对SAR图像进行维纳滤波；MedianBlur表示对SAR图像进行中值滤波；AdvancedBlur表示对SAR图像进行广义正态滤波；Blur表示对SAR图像利用随机大小的内核进行模糊处理；GaussianBlur对SAR图像进行高斯滤波处理；GlassBlur表示对SAR图像进行玻璃滤波处理；MotionBlur表示对SAR图像使用随机大小的内核进行运动模糊；ZoomBlur表示对SAR图像进行缩放模糊；WeibullNoise表示对SAR图像添加符合威布尔分布的噪声；RayleighNoise表示对SAR图像添加符合瑞利分布的噪声；JiedaunNoise表示对SAR图像添加符合截断指数分布的噪声；PepperNoise表示对SAR图像添加符合椒盐分布的噪声；MultiplicativeNoise表示将SAR图像乘以一个从[0.9,1.1)中随机采样形成的与SAR图像同大小的数组；GN表示对SAR图像添加符合高斯分布的噪声；PROTAT表示通过添加随机性，将平移、缩放和旋转三种基本仿射变换组合成一个过程，并将其应用到SAR图像上；RAND是对SAR图像的随机区域进行随机填补；FD是对SAR图像进行标准的连续色调静止图像数字压缩和编码；BdR表示对SAR图像的每个像素进行位深度和空间平滑的减少；PD表示对SAR图像添加不敏感的随机噪声；SHIELD表示通过在JPEG压缩过程中为每个窗口分配不同的量化因子，对SAR图像进行随机化的量化操作；(4)对初始种群Q进行性能评估：从五种后门攻击技术中随机选择一种攻击技术应用于待中毒数据集X
p
上，形成后门数据集X
b
，将X
b
按照4:5的比例划分为后门训练集X
b
‑
train
和后门测试集X
b
‑
test
，在X
c
‑
train
和X
b
‑
train
的合集上对Model进行Epoch1次训练，其中模型训练的学习率为Lr1，形成后门模型M
back
，依据Q中每个个体表征的数据增强信息，分别对后门测试集X
b
‑
test
和待增强数据集X
a
进行数据增强处理，分别形成增强后门测试集X
b
‑
test
‑
agu
以及微调数据集X
fine
‑
tune1
，在X
fine
‑
tune1
上对M
back
进行Epoch2次训练，其中模型训练的学习率为Lr1，形成微调模型M
fine
‑
tune
，分别根据公式(2)和公式(3)计算微调模型M
fine
‑
tune
在干净测试集X
c
‑
test
和增强后门测试集X
b
‑
test
‑
agu
上的攻击成功率和测试精度误差，并根据公式(4)计算每个个体对应的综合目标值F；其中所述五种后门攻击技术包括标记为BadNet的后门神经网络、标记为Blended的混合附件注入策略、标记为Sig的后门信号、标记为WaNet的扭曲后门和标记为Refool的反射后门；
其中，f1表示攻击成功率，N
clean
‑
err
为X
c
‑
test
预测错误的样本数量，N
clean
‑
all
为X
c
‑
test
的总样本数量；其中，f2表示测试精度误差，N
back
‑
err
为X
b
‑
test
‑
agu
预测错误的后门样本数量，N
back
‑
all
为X
b
‑
test
‑
agu
的总样本数量；F＝f1+f
2 (4)其中，F表示每个个体对应的综合目标值；(5)根据二元竞标竞赛方法对种群Q进行交叉操作：从种群Q任意选取2个个体作为父代个体，随机生成一个0到1之间的浮点数q1，判断q1与交叉率σ之间的关系，若q1>σ，父代个体不需要进行交叉操作；否则，分别标记两个父代个体为和其中l1表示x
p1
对应的数据增强组合策略长度，对应的数据增强组合策略长度，分别表示第x
p1
个个体从数据增强集合Augmentation中进行随机选择产生的第1个、第2个和第l个数据增强方法，l2表示x
p2
对应的数据增强组合策略长度，分别表示第x
p2
个个体从数据增强集合Augmentation中进行随机选择产生的第1个、第2个和第l个数据增强方法，随机生成一个1到(l1+1)之间的整数C1，作为x
p1
的交叉位点，随机生成一个1到(l2+1)之间的整数C2，作为x
p2...

【专利技术属性】
技术研发人员：曾国强，魏海南，陆康迪，李理敏，耿光刚，翁健，张宇，
申请(专利权)人：暨南大学，
类型：发明
国别省市：