本發明提出一種基于生成式對抗網絡的對抗攻擊防御訓練方法，包括:S1.將真實樣本圖像數據x_real的類別定義，并進行標準化處理；S2.建立防御訓練框架；S3.生成隨機噪聲Z及生成隨機條件向量C_fake；S4.將隨機噪聲Z及隨機條件向量C_fake輸入至防御訓練框架中的生成器；S5.將標準化處理后的真實樣本圖像數據及其類別c_real輸入至攻擊算法庫；S6.對防御訓練框架進行防御訓練，保存訓練后的防御訓練框架參數；S7.訓練完成，舍棄生成器和攻擊算法庫，保留判別器。本發明提出的方法克服了傳統用于對抗攻擊防御訓練的方法如使用附加網絡，具有加重工作量的弊端，本發明提出的方法具有較高魯棒性。

技術領域

本發明涉及深度學習對抗攻擊的安全防御技術領域，更具體地，涉及一種基于生成對抗網絡的對抗攻擊防御訓練方法。

背景技術

當前，深度學習正占據飛速發展的機器學習和人工智能領域的核心地位，在各種視覺和語音識別任務中都取得了出色的表現。然而，由于模型具有非直觀的特征和不可解釋性，現代視覺深度神經網絡(DNN)容易受到來自根據一些特定的盲點設計出來的對抗樣本的攻擊。此類具有攻擊性的對抗樣本，與噪聲樣本相比，被精心設計，因而不易察覺，不僅能夠導致目標網絡預測分類錯誤，而且具備可轉移性，能夠直接執行黑盒攻擊。換句話說，攻擊者能夠找到一個類似于目標網絡的替代網絡，并藉此訓練出攻擊樣本，從而將其應用于目標網絡。因此，設計一種能夠有效抵御來自黑盒攻擊對抗樣本的防御訓練方法是非常重要和緊迫的。

生成式對抗網絡理論基于博弈論場景，其中生成器網絡通過與對手競爭來學習變換由某些簡單的輸入分布(通常是標準多變量正態分布或者均勻分布)到圖像空間的分布；作為對手，判別器則試圖區分從訓練數據抽取的樣本和從生成器中生成的樣本。

一個具有良好決策邊界的分類器模型，不僅能夠實現對真實樣本的正確分類，還能夠在面對攻擊樣本的時候，忽略干擾特征，關注樣本的關鍵特征，繼而將攻擊樣本分類正確。已有的方案中，針對對抗攻擊的防御方式主要可以分為以下幾類：

(1)基于統計檢驗的檢測：這種方法比較直接，效果也比較差，并且因為是基于大量對抗樣本的統計結論，因此需要大量對抗樣本挖掘其統計規律，在檢測的時候也不適于檢測單個對抗樣本。

(2)在模型訓練過程中修改訓練過程或者修改數據：將對抗樣本和原始樣本作為訓練集進行監督訓練；對輸入數據進行壓縮；對輸入數據進行引入隨機重縮放、隨機padding、訓練過程中的圖像增強；

(3)修改神經網絡模型，比如增加網絡層、添加子網絡、修改損失函數和激活函數等；

(4)當分類未見過的樣本時，用外部模型作為附加網絡，即利用一個單獨訓練的網絡加在原來的模型上，從而達到不需要調整系數而且免疫對抗樣本的方法，從而完成對通用擾動的防御。

綜上所述，針對不同類型的對抗樣本，都需要一些額外的工作來確保分類器對于新增攻擊手段的魯棒性。從效果和成本方面考慮，目前修改數據和使用附加網絡是被較多使用的兩種方法，這是由于這兩種方法并不會直接修改目標網絡模型，可直接用于多個功能相近的網絡模型，在工程上極大地節約了資源，但修改數據和使用附加網絡也一定程度上也增加了工作量，且訓練樣本具有局限性，導致防御訓練的網絡邊界和真實決策邊界存在差異。

發明內容

為克服傳統用于對抗攻擊防御訓練的方法如使用附加網絡，具有加重工作量的弊端，且訓練樣本具有局限性，導致防御訓練的網絡邊界和真實決策邊界存在差異，本發明提出了一種基于生成對抗網絡的對抗攻擊防御訓練方法，不需要額外的附加網絡，提高網絡對抗攻擊樣本的魯棒性。

本發明旨在至少在一定程度上解決上述技術問題。為了達到上述技術效果，本發明的技術方案如下：

一種基于生成式對抗網絡的對抗攻擊防御訓練方法，包括以下步驟：