本發(fā)明公開了一種基于生成對抗網(wǎng)絡的高隱藏中毒攻擊的防御方法，包括：構建生成器訓練體系，包括生成器G、檢測器D，檢測器FCD；構建生成器G、檢測器D、檢測器FCD的損失函數(shù)Gloss，Dloss，F(xiàn)loss；利用損失函數(shù)Gloss和Dloss交替訓練生成器G和檢測器D；同時，利用損失函數(shù)Floss訓練生成器G，獲得訓練好的生成器G；利用生成器G生成大量的對抗樣本，將對抗樣本結合待攻擊樣本，重新訓練檢測器FCD，獲得訓練好的檢測器FCD，將攻擊目標樣本輸入至訓練好的檢測器FCD，輸出攻擊目標樣本的置信度；根據(jù)輸出的置信度確定中毒攻擊現(xiàn)象的嚴重性，采用不同防御措施。該防御方法能夠防御中毒攻擊。

技術領域

本發(fā)明屬于深度學習安全技術領域，具體涉及一種基于生成對抗網(wǎng)絡的高隱藏中毒攻擊的防御方法及應用。

背景技術

深度學習受神經(jīng)科學啟發(fā)而來，可以通過學習和計算大量數(shù)據(jù)的潛在聯(lián)系，獲得比一般算法更準確的分類結果，具有強大的特征學習能力和特征表達能力。而隨著深度學習在視覺辨析、語音識別、金融欺詐檢測、身份鑒定以及惡意軟件檢測等的各種領域的深入應用，深度學習的安全問題越來越受到人們的關注。

雖然深度學習在計算機視覺領域表現(xiàn)出很強大的分類能力，但是szegedy等人發(fā)現(xiàn)，深度模型很容易對某些不可見的細微的擾動出現(xiàn)錯誤的判斷。這些細小的擾動不僅可以用于攻擊識別階段，導致模型分類錯誤，甚至對錯誤的分類結果表現(xiàn)出很高的置信度；而且在訓練階段試圖毒害數(shù)據(jù)樣本，以移動分類器對好、壞輸入歸類的學習邊界，從而導致訓練模型產(chǎn)生偏移，影響分類結果的正確性。中毒攻擊的危害在于部分很難被去除的中毒數(shù)據(jù)導致系統(tǒng)模型偏移，而后造成后門，識別不正確等安全事故，例如：中毒數(shù)據(jù)導致錯誤權限，無法區(qū)分入侵用戶，導致一系列的安全問題。

對于目前大部分已有的中毒攻擊來說，攻擊的實現(xiàn)通常是通過對虛假樣本打上錯誤類標的方式，污染訓練數(shù)據(jù)集，導致模型偏移。但是，目前大部分中毒攻擊，對虛假樣本的掩飾程度往往不高，只是簡單地欺騙一些針對數(shù)據(jù)檢測的模型結構，反而忽略了視覺上虛假樣本和類標的差別，難以欺騙人臉。所以在數(shù)據(jù)集較為龐大，難以逐一人工檢測的時候，已有的中毒攻擊能夠取得一定的攻擊效益。但同樣，對虛假樣本的掩飾程度不高，可能會造成檢測器無法收斂。因此，進一步保證中毒樣本的高隱藏性，確保中毒樣本足以欺騙視覺識別，是對防御中毒攻擊提出更高的要求。

綜上所述，如何對中毒攻擊方法進一步優(yōu)化，得到具有更高隱藏性的中毒樣本，并針對相應高隱藏性的中毒攻擊，確定相應防御方法，在提升圖像訓練階段對污染數(shù)據(jù)的防御效果方面有著極其重要的理論與實踐意義。

發(fā)明內容

為了提升圖像訓練階段對污染數(shù)據(jù)的防御能力，本發(fā)明提出通過對基于生成對抗網(wǎng)絡的高隱藏中毒攻擊的重現(xiàn)，評估不同中毒樣本對模型訓練的危險性，并且采取相關的篩選劃分方法，防御中毒攻擊。

本發(fā)明解決其技術問題所采用的技術方案是：

一種基于生成對抗網(wǎng)絡的高隱藏中毒攻擊的防御方法，包括以下步驟：

構建生成器訓練體系，該生成器訓練體系包括生成對抗樣本的生成器G、分辨對抗樣本和待攻擊樣本的檢測器D，以及分辨生成對抗樣本和攻擊目標樣本的檢測器FCD，生成器G和檢測器D組成生成對抗網(wǎng)絡，其中，生成器G的輸入為待攻擊樣本、攻擊目標樣本以及擾動noise，輸出為生成對抗樣本；檢測器D的輸入為待攻擊樣本和生成對抗樣本，其輸出為待攻擊樣本和生成對抗樣本的置信度；檢測器FCD的輸入為攻擊目標樣本和生成對抗樣本，其輸出為攻擊目標樣本和生成對抗樣本的置信度；

構建損失函數(shù)，根據(jù)待攻擊樣本和生成對抗樣本的差異、生成對抗樣本與攻擊目標樣本的差異構建生成器G的損失函數(shù)Gloss，根據(jù)待攻擊樣本和生成對抗樣本各自的交叉熵構建檢測器D的損失函數(shù)Dloss，根據(jù)攻擊目標樣本和生成對抗樣本的置信度構建檢測器FCD的損失函數(shù)Floss；