本發(fā)明提出了一種基于圖像預處理與對抗訓練結(jié)合的防御對抗樣本的方法。包括：1)將原始圖像和對抗樣本分割為小塊，進行DCT變換，并設計量化表，所述對抗樣本是由原始圖像和對抗性噪聲線性疊加而成；2)將量化表按比例縮放得到實現(xiàn)不同壓縮比所需要的量化表，對原始圖像應用不同壓縮比進行壓縮得到不同的數(shù)據(jù)集，再添加噪聲作為訓練對抗樣本，原始圖像和訓練對抗樣本構(gòu)成訓練數(shù)據(jù)集，送入深度神經(jīng)網(wǎng)絡進行訓練得到不同的分類器；3)將待分類圖像以不同壓縮比進行壓縮得到不同的圖像，并送入對應壓縮比數(shù)據(jù)集訓練得到的分類器，由多個分類器投票得到最終結(jié)果。與現(xiàn)有方法相比，該方法能夠保證原始圖像的分類精度，并提高對抗樣本的防御效率。

技術(shù)領(lǐng)域

本發(fā)明屬于圖像處理與深度學習領(lǐng)域，具體涉及一種提高神經(jīng)網(wǎng)絡分類器抵御對抗樣本的魯棒性方法。

背景技術(shù)

在圖像識別與分類中，預測的結(jié)果往往會容易受到對抗樣本的影響。ChristianSzegedy等提出了對抗樣本(Adversarial examples)的概念，即在數(shù)據(jù)集中通過故意添加細微噪聲所形成的輸入樣本，受干擾之后的輸入樣本導致模型以高置信度給出一個錯誤的輸出。他們發(fā)現(xiàn)包括卷積神經(jīng)網(wǎng)絡在內(nèi)的深度學習模型對于對抗樣本都具有極高的脆弱性。

為了提高深度神經(jīng)網(wǎng)絡(Deep Neural Networks，DNN)的魯棒性，目前流行的技術(shù)是面向模型(Model-specific)算法和模型未知(Model-agnostic)算法。面向模型算法包括對抗訓練、修改網(wǎng)絡結(jié)構(gòu)等。對抗訓練是防御對抗樣本攻擊的一種方法。將對抗樣本和正常樣本一起訓練是一種有效的正則化，可以提高模型的準確度，同時也能有效降低對抗樣本的攻擊成功率。不過這種防御也只是針對用來產(chǎn)生訓練集中的對抗樣本的特定攻擊算法，且上述方法很難改變DNN高度線性特性。模型未知算法主要通過圖像在送入DNN之前經(jīng)過預處理，包括JPEG壓縮、方差最小化(Total variance minimization)、圖像縫合(Imagequilting)等。但大多圖像預處理方法在提升一定防御效率的同時會使得DNN在原始圖像上精度的下降。

發(fā)明內(nèi)容

發(fā)明目的：為克服現(xiàn)有技術(shù)的不足，本發(fā)明提出的一種基于圖像預處理與對抗訓練結(jié)合的防御對抗樣本的方法，提高DNN對對抗樣本的魯棒性，同時維持對原始圖像的識別精度不會下降。

技術(shù)方案：本發(fā)明提出的一種基于圖像預處理與對抗訓練結(jié)合的神經(jīng)網(wǎng)絡分類器防御對抗樣本的方法，包括以下步驟：

1)將原始圖像和對抗樣本分割為n×n像素的小塊，進行DCT變換，并設計量化表，所述對抗樣本是由原始圖像和對抗性噪聲線性疊加而成；

2)將量化表按比例縮放得到實現(xiàn)不同壓縮比所需要的量化表，對原始圖像應用不同壓縮比進行壓縮得到不同的數(shù)據(jù)集，再添加噪聲作為訓練對抗樣本，原始圖像和訓練對抗樣本構(gòu)成訓練數(shù)據(jù)集，送入深度神經(jīng)網(wǎng)絡進行訓練得到不同的分類器；

3)將待分類圖像以不同壓縮比進行壓縮得到不同的圖像，并送入對應壓縮比數(shù)據(jù)集訓練得到的分類器，由多個分類器投票得到最終結(jié)果。

其中，所述步驟1)中量化表的設計方法如下：對原始圖像和對抗樣本經(jīng)過DCT變換后得到的DCT頻率系數(shù)進行方差分析，將所有頻率系數(shù)分為偏向原有特征的OF、偏向?qū)固卣鞯腁F兩組，對于OF設計主要用于保存特征的第一量化步長，對于AF組設計主要用于去掉對抗特征的第二量化步長，所述第一量化步長小于第二量化步長。

進一步地，所述方差分析包括：以表示原始圖像的第i行第j列的DCT系數(shù)的方差，表示對抗樣本的DCT系數(shù)的方差，表示對抗性噪聲的DCT系數(shù)方差，則用表示對抗樣本中該頻率的DCT系數(shù)中對抗噪聲的所占的比重，r越大表示該頻率系數(shù)攜帶的對抗特征越多，將r小于指定閾值所對應的DCT系數(shù)作為OF，剩余的作為AF。

進一步地，所述步驟2)中在訓練時使用如下?lián)p失函數(shù)：