本發(fā)明公開了一種基于陷阱結(jié)構(gòu)的圖像識(shí)別防御方法，包括：在基于神經(jīng)網(wǎng)絡(luò)構(gòu)建的圖像識(shí)別網(wǎng)絡(luò)中，在圖像識(shí)別網(wǎng)絡(luò)的隱藏層和/或輸出層增加用于引導(dǎo)惡性圖像連接傳輸方向的陷阱結(jié)構(gòu)；抑制陷阱結(jié)構(gòu)活動(dòng)，利用正常圖像對(duì)添加有陷阱結(jié)構(gòu)的圖像識(shí)別網(wǎng)絡(luò)進(jìn)行圖像識(shí)別任務(wù)的訓(xùn)練；針對(duì)不同類型的防御任務(wù)，設(shè)置抑制陷阱為激活態(tài)，選擇與防御任務(wù)對(duì)應(yīng)的惡性圖像對(duì)添加有陷阱結(jié)構(gòu)的圖像識(shí)別網(wǎng)絡(luò)進(jìn)行防御任務(wù)的訓(xùn)練；應(yīng)用時(shí)，將待測(cè)圖像輸入至經(jīng)過圖像識(shí)別任務(wù)和防御任務(wù)訓(xùn)練的圖像識(shí)別網(wǎng)絡(luò)中，當(dāng)陷阱結(jié)構(gòu)的激活狀態(tài)值大于閾值時(shí)，則待測(cè)圖像為惡性圖像，刪除該惡性圖像，實(shí)現(xiàn)對(duì)圖像識(shí)別的防御效果。防止惡性圖像被誤分類造成安全隱患。

技術(shù)領(lǐng)域

本發(fā)明屬于圖像識(shí)別領(lǐng)域，具體涉及一種基于陷阱結(jié)構(gòu)的圖像識(shí)別防御方法。

背景技術(shù)

深度學(xué)習(xí)能夠?qū)W習(xí)計(jì)算大量數(shù)據(jù)的潛在聯(lián)系，獲得比一般算法更加準(zhǔn)確的圖像識(shí)別結(jié)果，具有強(qiáng)大的特征學(xué)習(xí)能力和特征表達(dá)能力。深度學(xué)習(xí)的核心是利用參數(shù)龐大的神經(jīng)網(wǎng)絡(luò)進(jìn)行特征抽取，典型的神經(jīng)網(wǎng)絡(luò)有卷積神經(jīng)網(wǎng)絡(luò)(CNN)和循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)。

在歷年的ImageNet競(jìng)賽中，深度學(xué)習(xí)網(wǎng)絡(luò)結(jié)構(gòu)不斷發(fā)展，例如卷積神經(jīng)網(wǎng)絡(luò)從AlexNet、VGGNet不斷發(fā)展成ResNet、InceptionNet；目標(biāo)檢測(cè)任務(wù)中，如基于R-CNN，F(xiàn)astR-CNN等基于卷積神經(jīng)網(wǎng)絡(luò)的目標(biāo)檢測(cè)模型，也都實(shí)現(xiàn)了比傳統(tǒng)目標(biāo)檢測(cè)器先進(jìn)的檢測(cè)效果。隨著神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)不斷發(fā)展，其在各種領(lǐng)域的應(yīng)用也越來越廣泛，但是研究表明深層神經(jīng)網(wǎng)絡(luò)非常容易受到某些特制擾動(dòng)的影響，做出錯(cuò)誤的分類結(jié)果。這些帶有對(duì)抗擾動(dòng)的樣本極易對(duì)神經(jīng)網(wǎng)絡(luò)產(chǎn)生干擾，甚至?xí)茐纳窠?jīng)網(wǎng)絡(luò)在各個(gè)領(lǐng)域應(yīng)用，造成一系列的安全隱患，例如：在人臉識(shí)別領(lǐng)域，導(dǎo)致身份鑒定系統(tǒng)識(shí)別錯(cuò)誤，從而使罪犯逃脫；在自動(dòng)駕駛領(lǐng)域，干擾路牌標(biāo)識(shí)的識(shí)別，從而發(fā)生車禍；在信號(hào)識(shí)別領(lǐng)域，破壞原有的調(diào)制序列的識(shí)別，影響重要信號(hào)的傳輸。并且，對(duì)抗樣本除了直接輸入深層神經(jīng)網(wǎng)絡(luò)中，影響網(wǎng)絡(luò)結(jié)構(gòu)的特征提取，干擾良性的分類結(jié)果，還能在模型訓(xùn)練階段，破壞網(wǎng)絡(luò)參數(shù)的特性收斂，干擾對(duì)良性樣本的特征提取，甚至可以在模型測(cè)試階段，影響模型魯棒性的測(cè)試評(píng)價(jià)。總而言之，對(duì)抗性擾動(dòng)以及對(duì)抗樣本的存在，都在深層神經(jīng)網(wǎng)絡(luò)的圖像識(shí)別應(yīng)用上造成了很大的安全問題。深度學(xué)習(xí)的安全防御因此越來越受到重視。

目前，已經(jīng)存在不少的防御方法來防御對(duì)抗攻擊，以提升圖像識(shí)別的準(zhǔn)確性。例如：縮放，蒸餾防御，對(duì)抗訓(xùn)練，生成式對(duì)抗性網(wǎng)絡(luò)防御。實(shí)驗(yàn)證明，這些防御方法能夠有效地抵抗部分對(duì)抗攻擊帶來的危害，避免對(duì)抗樣本進(jìn)一步對(duì)神經(jīng)網(wǎng)絡(luò)產(chǎn)生干擾。但是，隨著深度學(xué)習(xí)安全領(lǐng)域不斷深入研究，攻擊方法以及攻擊策略也在不斷地被拓展，例如FGSM(FastGradient Sign Method)，CW(CarliniWagnerAttack)，PGD(Project Gradient Descent)，Boundary(邊界攻擊)，中毒攻擊(Poisoning)等。這也導(dǎo)致了大部分的防御方法在面對(duì)多類攻擊時(shí)，往往無法達(dá)到全面的防御效果，即使有效地抵御多類攻擊方法造成破壞，也難以辨別網(wǎng)絡(luò)目前遭受的攻擊類型，從而喪失了進(jìn)一步針對(duì)性提高圖像識(shí)別模型魯棒性的機(jī)會(huì)。

發(fā)明內(nèi)容

鑒于上述，本發(fā)明的目的是提供了一種基于陷阱結(jié)構(gòu)的圖像識(shí)別防御方法，通過對(duì)圖像識(shí)別模型中增加陷阱結(jié)構(gòu)定向引導(dǎo)輸入圖像的連接走向和激活狀態(tài)，對(duì)惡性圖像進(jìn)行篩選，實(shí)現(xiàn)惡性圖像的防御，防止惡性圖像被誤分類造成安全隱患。

為保證上述發(fā)明目的，本發(fā)明提供以下技術(shù)方案：

一種基于陷阱結(jié)構(gòu)的圖像識(shí)別防御方法，包括以下步驟：

在基于神經(jīng)網(wǎng)絡(luò)構(gòu)建的圖像識(shí)別網(wǎng)絡(luò)中，在圖像識(shí)別網(wǎng)絡(luò)的隱藏層和/或輸出層增加用于引導(dǎo)惡性圖像連接傳輸方向的陷阱結(jié)構(gòu)；

抑制陷阱結(jié)構(gòu)活動(dòng)，利用正常圖像對(duì)添加有陷阱結(jié)構(gòu)的圖像識(shí)別網(wǎng)絡(luò)進(jìn)行圖像識(shí)別任務(wù)的訓(xùn)練；

針對(duì)不同類型的防御任務(wù)，設(shè)置抑制陷阱為激活態(tài)，選擇與防御任務(wù)對(duì)應(yīng)的惡性圖像對(duì)添加有陷阱結(jié)構(gòu)的圖像識(shí)別網(wǎng)絡(luò)進(jìn)行防御任務(wù)的訓(xùn)練；