本發明公開一種基于特征圖去噪以及圖像增強的敵對樣本防護方法，包括步驟：在神經網絡模型的第一層卷積層，對目標特征通道進行切片和特征圖提取；定位坐標到特征圖的最亮點，對特征圖進行切片；判斷切片屬于亮區、暗區還是魯棒區，如果屬于亮區，則將定位點坐標移動到特征圖第二亮的點，如果屬于暗區或魯棒區，則搜索尋找所述特征圖中的第二亮的點，將特征圖切片中所有點的像素值更改為最亮點像素值；將暗區和魯棒區所有點的像素值歸0；將經過以上處理的特征圖進行合并疊加。本發明能有效緩解去噪過程對神經網絡的影響，使其在識別干凈樣本時，保持較高的正確率，并具有較好的普適性。

技術領域

本發明涉及人工智能安全和信息安全技術領域，尤其涉及一種基于特征圖去噪以及圖像增強的敵對樣本防護方法。

背景技術

自從2012年深度學習迎來爆發式發展，神經網絡包括CNN(Convolutional?NeuralNetworks)、DN(Deconvolutional?networks)、GAN(Generative?adversarialnetworks)等在圖像檢測和識別領域逐漸取得了明顯優于傳統目標檢測方法的成績，并在計算機視覺領域占據了重要的地位。但神經網絡的線性特性致使其易被攻擊者惡意構造的對抗樣本愚弄，致使深度學習模型的安全收到威脅。

在對抗樣本攻擊中，攻擊者通過在輸入中加入線性擾動致使深度學習模型識別錯誤。對抗樣本的攻擊原理為：對抗樣本中的微小擾動隨迭代次數增加而逐層增大最終致使模型的分類器輸出錯誤。攻擊方式分為兩類，即黑盒攻擊(Black-box?Attacks)與白盒攻擊(White-box?Attacks)。在黑盒場景下，攻擊者無法獲取模型的參數等詳細信息，而在白盒場景下，攻擊者可以在已知模型信息的條件下構造敵對樣本。

對抗樣本生成算法包括：1)FGSM攻擊算法(Fast?gradient?sign?method)。其訓練目標是通過在梯度方向增加微小偏移增大損失函數來獲取對抗樣本。2)I-FGSM攻擊算法(iterative?FGSM)。其目標是通過多次迭代FGSM算法，在輸入中多次增加微小偏移來構造更精準的對抗樣本。攻擊算法造成的主要危害包括：

圖像檢測與模式識別領域的錯誤分類；

自動駕駛領域的異常識別，加州大學Down?Song教授的團隊通過在“STOP”交通標識牌上貼膠帶來欺騙自動駕駛的人工智能；

人臉識別領域的錯誤認證，卡內基梅隆大學研究人員發現，通過佩戴特殊設計的眼鏡框架，即可愚弄先進的人工智能識別系統。

考慮到對抗樣本攻擊的危害性，提供可靠、穩定并且效用良好的防護方法十分必要。

已有的敵對樣本防護方法有以下三種。

(1)對抗性訓練：通過在訓練集中加入對抗樣本，使模型習得相應數據，即進行一定正則化。

(2)蒸餾：通過用軟標簽(soft?target)對模型進行訓練，來讓模型的梯度更加平滑，使攻擊者更難獲得梯度信息。

(3)去噪：對輸入進行去噪操作，減弱和消除攻擊者施加的噪聲信息。

已有的對抗樣本防護算法在防御對抗樣本任務中取得了良好的成績，但在運用過程中存在缺陷。蒸餾方法在任務規模較大，模型較為復雜時應用困難，而去噪方法則會使圖片丟失部分信息。另一方面考慮到模型結構的復雜性，已有的防護方法難以在模型之間遷移，無疑給防護任務帶來困難。除此之外，部分已有的防護方法增加了模型的復雜度，導致計算量大幅增加。

發明內容

為了提高深度學習模型對抗敵對樣本時的魯棒性，本發明提出一種基于特征圖去噪以及圖像增強的敵對樣本防護方法。在不改動模型結構的基礎上，在特征圖空間進行修改，達到去噪的目的。

為了達到之一目的，本發明采用的技術方案如下：