本發明公開了一種基于變換自編碼器的對抗樣本防御方法，包含兩層防御方法，第一層為由編碼網絡和解碼網絡組成的自編碼器結構，該結構對干凈樣本和對抗樣本判別經過自編碼器前后的差距，檢測出對抗樣本，并篩選出剩余樣本；第二層防御方法對剩余樣本進行總方差最小化的圖像變換，去除對抗樣本中的擾動信息再交給目標分類器。本發明可檢測對抗樣本并去除對抗樣本中的擾動，通過建立雙重防御模型，提高了目標分類器的分類正確性，且不需要對抗樣本的參與和訓練目標分類器，具有良好的可遷移性和普適性。

技術領域

本發明涉及信息安全領域，更具體地，涉及為一種基于變換自編碼器的對抗樣本防御方法。

背景技術

隨著深度學習中的分類方法在各個領域逐漸應用具體包括人臉識別，自動駕駛和文本分析等，其中的對抗樣本攻擊問題也顯露出來。2013年由Szegedy等人提出對抗樣本的攻擊問題，該攻擊表明通過在數據集中添加人眼無法辨別的微小擾動就能造成神經網絡錯誤分類，且這種錯誤分類現象在各個分類器中普遍存在。

面對對抗樣本的眾多攻擊方法，研究人員也提出許多針對攻擊的防御方法。2015年Goodfellow等人在ICLR國際會議上發表論文提出對抗訓練的方式來應對對抗樣本的攻擊。在原有分類模型的數據集中加入對抗樣本一同訓練，經過交互式訓練的分類模型對對抗樣本有了更高的魯棒性，同時也存在防御模型單一，不能抵御新攻擊的缺點。

當前圖像去噪的功能越來越強大，對抗樣本中的噪聲也能通過去噪的方式進行處理。傳統方法是通過非局部均值(Non Local Means，NLM)去噪，該方法利用整幅圖像存在的冗余信息來去除噪聲。將圖像分割為多個塊，在每個塊中根據相似度大的區域來取均值，平滑圖像鄰域之間的邊界，從而去除圖像噪聲的目的。在對抗樣本中所添加的噪聲大都在以像素為單位的鄰域內，與原圖像差別不明顯，以NLM均值去噪的方式不能有效去除對抗樣本添加的噪聲。相比于傳統去噪方式，深度學習中也提出利用卷積神經網絡(ConvolutionalNeural Networks,CNN)來進行圖像去噪，效果未能讓人滿意。

2017年Papernot等人提出了蒸餾防御模型，基本原理是訓練一個導師網絡和學生網絡，通過改變在神經網絡最后一層的softmax來修改分類概率，最終達到對抗樣本和干凈樣本分類到同一類別的目的。不過該防御方法已經被Carlini和Wagner等人提出的CW攻擊方法攻破。

因此，構建一種性能優異的對抗樣本通用防御方法，防御效果不依賴于攻擊方式具有重要意義。

發明內容

針對上述內容，本發明提出了一種基于變換自編碼器的對抗樣本防御方法，能夠有效地防御對抗樣本的攻擊。因為對抗樣本是在干凈樣本上添加擾動所造成的攻擊，故本發明將檢測并消除對抗樣本中的擾動。

為達到上述目的，本發明提供如下技術方案：本發明包含兩層防御，第一層是以判別重構誤差為主導的自編碼器網絡，分為編碼和解碼兩部分，通過對干凈樣本和對抗樣本進行編解碼重構，區分出編碼前后兩種樣本的區別，可檢測出對抗樣本；第二層是以第一層中未能識別的圖像為數據，通過圖像變換的方式消除對抗樣本中的擾動信息，將圖片主要信息進行壓縮，結合總方差最小化的方式對圖像進行重組，總方差是重組后圖像與原圖像的微小差值，以最小化的方式使得二者之間圖像相似，且去除原有圖像中的微小擾動。最后將這部分去除擾動的圖像輸入到深度學習的分類模型中，得到準確的分類結果。

進一步，實現該方式包括以下幾個步驟：

S1獲取干凈樣本數據集：將獲取到的正常圖像作為干凈樣本數據集，并隨機分為訓練集和測試集，用以后續訓練目標分類器；

S2訓練目標分類器：建立深度學習的網絡分類結構，使用S1中的干凈樣本數據集進行訓練和測試，得到目標分類器，并使用測試集記錄分類的正確率；