本申请涉及一种图像识别的安全防御方法
【技术实现步骤摘要】
一种图像识别的安全防御方法、装置和计算机设备
[0001]本申请涉及计算机科学
,特别是涉及一种图像识别的安全防御方法
、
装置和计算机设备
。
技术介绍
[0002]随着人工智能技术的逐渐普及,相应的安全问题也日渐增多,其中
70%
的安全问题出现在图像相关的领域,常见于人脸识别
、
自动驾驶
、
金融风控等业务场景
。
例如,针对图像的安全问题,通常是根据图像的人工智能模型的结构,反向推导出定制化扰动,该扰动叠加在原图片上,无法被人眼识别,却可以诱使图像的人工智能模型做出攻击者想要的错误判断
。
[0003]而传统的计算机安全防御方法,如安全认证
、
防火墙
、
加密技术等,难以切中人工智能模型的本源,面对针对人工智能模型的黑客攻击比较乏力
。
现有技术主要采用在模型训练完毕后进行外挂式地分析和调整的方式,来抵御针对人工智能模型的黑客攻击
。
但是,采用在模型训练完毕后进行外挂式地分析和调整的方式,在流程上较为被动,通用性也较差,且防御手段必须基于已训练好的模型,限制较多,在保证人工智能模型的图像识别效果的情况下,往往防御效果较差
。
[0004]针对现有技术中存在人工智能模型对于黑客攻击的防御效果差问题,目前还没有提出有效的解决方案
。
技术实现思路
[0005]基于此,有必要针对上述技术问题,提供一种图像识别的安全防御方法
、
装置和计算机设备
。
[0006]第一方面,本申请提供了一种图像识别的安全防御方法
。
所述方法包括:在原图像识别模型的原始样本集中加入与所述原图像识别模型的梯度相反的噪音,得到所述原图像识别模型的攻击样本集;将所述原始样本集的训练集和所述攻击样本集的训练集合并,得到模型训练集;随机抽取预设数量的所述模型训练集中的图像数据,作为一组图像数据,分别输入到多专家网络模型的各个子专家网络模型中,得到各个图像数据的数据特征;基于各个所述图像数据的所述数据特征,计算此组所述图像数据的准确率交叉熵损失函数以及各个所述图像数据的所述数据特征的像素级热力图;并根据各个所述图像数据的所述数据特征的像素级热力图,计算此组所述图像数据的差异性损失函数和焦点稳定性损失函数;基于此组所述图像数据的所述准确率交叉熵损失函数
、
所述差异性损失函数和所述焦点稳定性损失函数,利用梯度下降法对所述多专家网络模型的参数进行更新;当所述多专家网络模型收敛时,得到用于图像识别的完备多专家网络模型
。
[0007]在其中一个实施例中,所述在原图像识别模型的原始样本集中加入与所述原图像
识别模型的梯度相反的噪音,得到所述原图像识别模型的攻击样本集之前,包括以下步骤:获取待识别的图片序列的各个图片的像素矩阵;将各个所述图片的像素矩阵的尺寸修改至预设的大小,得到新的图片序列;将所述新的图片序列按照预设的规则划分为初始训练集和初始测试集;对所述初始训练集中的数据按照预设的变换规则进行几何变换,将变换后的数据进行保存,得到所述原始样本集的训练集;将所述初始测试集作为所述原始样本集的测试集
。
[0008]在其中一个实施例中,所述对所述初始训练集中的数据按照预设的变换规则进行几何变换,将变换后的数据进行保存,得到所述原始样本集的训练集,包括:对所述初始训练集中的数据进行翻转
、
旋转
、
裁剪
、
缩放和平移中的一种或多种几何变换,将变换后的所述数据进行保存,得到所述原始样本集的训练集
。
[0009]在其中一个实施例中,所述在原图像识别模型的原始样本集中加入与所述原图像识别模型的梯度相反的噪音,得到所述原图像识别模型的攻击样本集,包括以下步骤:在所述原图像识别模型的原始样本集中加入与所述原图像识别模型的梯度相反的噪音,使得所述原图像识别模型输出攻击样本;将所述攻击样本进行保存,得到所述攻击样本集;所述攻击样本集,包括所述攻击样本集的训练集和所述攻击样本集的测试集
。
[0010]在其中一个实施例中,所述随机抽取预设数量的所述模型训练集中的图像数据,作为一组图像数据,分别输入到多专家网络模型的各个子专家网络模型中,得到各个图像数据的数据特征,包括以下步骤:随机抽取预设数量的所述模型训练集中的图像数据,作为一组图像数据,分别输入到所述多专家网络模型的各个子专家网络模型中,得到各个所述子专家网络模型关于所述图像数据的不同数据特征的概率预测结果;将所述概率预测结果中概率最大的数据特征,作为各个所述图像数据的数据特征
。
[0011]在其中一个实施例中,在基于此组图像数据的准确率交叉熵损失函数
、
差异性损失函数和焦点稳定性损失函数,利用梯度下降法对多专家网络模型的参数进行更新之后,所述方法还包括以下步骤:当利用所述梯度下降法对所述多专家网络模型的参数进行更新达到预设次数时,计算当前的多专家网络模型的所述准确率交叉熵损失函数的梯度;基于当前的所述多专家网络模型的所述准确率交叉熵损失函数的梯度,采用在所述原图像识别模型的所述原始样本集中加入与当前的所述多专家网络模型的所述准确率交叉熵损失函数的梯度相反的噪音的方式,更新当前的所述多专家网络模型的攻击样本集
。
[0012]在其中一个实施例中, 在当所述多专家网络模型收敛时,得到用于图像识别的完备多专家网络模型之后,所述方法还包括:基于所述原始样本集的测试集和所述攻击样本集的测试集,以及所述完备多专家网络模型,计算所述原始样本集的测试集的分类准确率,以及所述攻击样本集的测试集的分类准确率,得到所述完备多专家网络模型的分类准确率
。
[0013]第二方面,本申请还提供了一种图像识别的安全防御装置
。
所述装置包括:构建模块,用于在原图像识别模型的原始样本集中加入与所述原图像识别模型的梯度相反的噪音,得到所述原图像识别模型的攻击样本集;将所述原始样本集的训练集和所述攻击样本集的训练集合并,得到模型训练集;特征提取模块,用于随机抽取预设数量的所述模型训练集中的图像数据,作为一组图像数据,分别输入到多专家网络模型的各个子专家网络模型中,得到各个图像数据的数据特征;计算模块,用于基于各个所述图像数据的所述数据特征,计算此组所述图像数据的准确率交叉熵损失函数以及各个所述图像数据的所述数据特征的像素级热力图;并根据各个所述图像数据的所述数据特征的像素级热力图,计算此组所述图像数据的差异性损失函数和焦点稳定性损失函数;更新模块,用于基于此组所述图像数据的所述准确率交叉熵损失函数
、
所述差异性损失函数和所述焦点稳定性损失函数,利用梯度下降法对多专家网络模型的参数进行更新;以及获取模块,用于当所述多专家网络模型收敛时,获取用于图像识别的完备多专家网络模型
。本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种图像识别的安全防御方法,其特征在于,所述方法包括:在原图像识别模型的原始样本集中加入与所述原图像识别模型的梯度相反的噪音,得到所述原图像识别模型的攻击样本集;将所述原始样本集的训练集和所述攻击样本集的训练集合并,得到模型训练集;随机抽取预设数量的所述模型训练集中的图像数据,作为一组图像数据,分别输入到多专家网络模型的各个子专家网络模型中,得到各个图像数据的数据特征;基于各个所述图像数据的所述数据特征,计算此组所述图像数据的准确率交叉熵损失函数以及各个所述图像数据的所述数据特征的像素级热力图;并根据各个所述图像数据的所述数据特征的像素级热力图,计算此组所述图像数据的差异性损失函数和焦点稳定性损失函数;基于此组所述图像数据的所述准确率交叉熵损失函数
、
所述差异性损失函数和所述焦点稳定性损失函数,利用梯度下降法对所述多专家网络模型的参数进行更新;当所述多专家网络模型收敛时,得到用于图像识别的完备多专家网络模型
。2.
根据权利要求1所述的图像识别的安全防御方法,其特征在于,所述在原图像识别模型的原始样本集中加入与所述原图像识别模型的梯度相反的噪音,得到所述原图像识别模型的攻击样本集之前,包括:获取待识别的图片序列的各个图片的像素矩阵;将各个所述图片的像素矩阵的尺寸修改至预设的大小,得到新的图片序列;将所述新的图片序列按照预设的规则划分为初始训练集和初始测试集;对所述初始训练集中的数据按照预设的变换规则进行几何变换,将变换后的数据进行保存,得到所述原始样本集的训练集;将所述初始测试集作为所述原始样本集的测试集
。3.
根据权利要求2所述的图像识别的安全防御方法,其特征在于,所述对所述初始训练集中的数据按照预设的变换规则进行几何变换,将变换后的数据进行保存,得到所述原始样本集的训练集,包括:对所述初始训练集中的数据进行翻转
、
旋转
、
裁剪
、
缩放和平移中的一种或多种几何变换,将变换后的所述数据进行保存,得到所述原始样本集的训练集
。4.
根据权利要求1所述的图像识别的安全防御方法,其特征在于,所述在原图像识别模型的原始样本集中加入与所述原图像识别模型的梯度相反的噪音,得到所述原图像识别模型的攻击样本集,包括:在所述原图像识别模型的原始样本集中加入与所述原图像识别模型的梯度相反的噪音,使得所述原图像识别模型输出攻击样本;将所述攻击样本进行保存,得到所述攻击样本集;所述攻击样本集,包括所述攻击样本集的训练集和所述攻击样本集的测试集
。5.
根据权利要求1所述的图像识别的安全防御方法,其特征在于,所述随机抽取预设数量的所述模型训练集中的图像数据,作为一组图像数据,分别输入到多专家网络模型的各个子专家网络模型中,得到各个图像数据的数据特征,包括:随机抽取预设数量的所述模型训练集中的图像数据,作为一组图像数据,分别输入到所...
【专利技术属性】
技术研发人员:韩乔,黄勇,杨耀,翟毅腾,
申请(专利权)人:之江实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。