本發明公開了一種基于神經元激活模式的深度學習樣本級對抗攻擊防御方法及其裝置，包括以下步驟：構建用于目標識別的深度學習模型，深度學習模型包括卷積層、池化層以及分類層；從深度學習模型的網絡層中提取特征圖構建神經元激活模式，神經元激活模式和交叉熵函數組成損失函數；利用正常圖像樣本對深度學習模型進行訓練時，采用構建的損失函數優化深度學習模型的參數；根據損失函數的梯度得到像素增量作為防御對抗攻擊的擾動；利用參數優化的深度學習模型進行目標識別時，將待識別的圖像添加擾動后輸入至深度學習模型，經計算得到目標識別結果。該方法能夠有效地防御多種對抗攻擊，并且不影響正常樣本的正確率。

技術領域

本發明屬于信息安全領域，具體涉及一種基于神經元激活模式的深度學習樣本級對抗攻擊防御方法及其裝置。

背景技術

深度學習定義了一種新的數據驅動的編程范式，該范式通過一組訓練數據來構建神經元網絡的內部系統邏輯，從樣本數據中學習到數據的內在規律和表示層次，能夠獲得比一般算法更準確的分類結果，具有強大的特征表達能力。由于深度學習具有與人類性能相匹配甚至超越人類性能的能力，因此在許多安全關鍵的場景中得以廣泛應用。原則上而言，深度學習模型需要較強的魯棒性和安全性，以便良好的抵御任何潛在的風險。

然而，深度學習本身缺乏可解釋性，這就意味著容易遭受到一些潛在攻擊。一些學者著力于探究深度學習的脆弱點，以盡可能的深入探究深度學習模型內部。目前針對深度學習的攻擊可以根據攻擊的階段分為對抗攻擊和中毒攻擊。對抗攻擊發生在模型測試階段，攻擊者通過在原始數據上添加精心設計的微小擾動得到對抗樣本，從而對深度學習模型進行愚弄，使其以較高置信度誤判的惡意攻擊。中毒攻擊發生在模型訓練階段，攻擊者將中毒樣本注入訓練數據集，從而在訓練完成的深度學習模型中嵌入后門觸發器，在測試階段輸入毒藥樣本，則觸發攻擊。對于深度學習模型而言，對抗攻擊的影響更加深遠。從攻擊的實現角度來說，對抗攻擊方法可以分為基于梯度的攻擊，基于優化的攻擊或者其他，都將在測試與部署階段對模型的性能造成不可估量的后果。

對于對抗樣本的防御方法，目前防御措施沿著三個主要的方向發展：使用修改的輸入進行訓練或測試，其中包括了對抗性訓練；對網絡參數或結構進行修改，添加更多層/子網絡、改變損失/激活函數等；對模型添加額外插件，用外部模型作為附加網絡。這些防御的方法，都是在一定程度上通過改變模型對于樣本的特征提取能力，使得模型重識別樣本正確的感知特性，這其中的代價就會將十分巨大且不利于部署階段的應用。此外，深度學習模型或存在一種通用擾動，通過生成跨越所有類分類邊界的擾動致使分類出錯。傳統防御方法對此類攻擊很難有效防御。對于以上問題，一方面，在輸入測試樣本階段需要對異常數據進行辨別并拒絕異常數據的輸入。另一方面，對于深度學習模型來說，需要具有自我防御機制，具有抵御任何潛在攻擊的能力。有鑒于此，本發明提出了一種基于神經元激活模式的深度學習樣本級對抗攻擊防御方法及其裝置，通過對輸入樣本增加防御逆擾動，在保證正常樣本感知正確的情況下，對惡意樣本的輸入起修正感知結果的效果，從而使深度學習模型在實際部署和應用時更加安全可靠。

發明內容

鑒于上述，本發明的目的是提供一種基于神經元激活模式的深度學習樣本級對抗攻擊防御方法及其裝置，實現對對抗攻擊的防御。

第一方面，實施例提供了一種基于神經元激活模式的深度學習樣本級對抗攻擊防御方法，包括以下步驟：

構建用于目標識別的深度學習模型，深度學習模型包括卷積層、池化層以及分類層；

從深度學習模型的網絡層中提取特征圖構建神經元激活模式，神經元激活模式和交叉熵函數組成損失函數；

利用正常圖像樣本對深度學習模型進行訓練時，采用構建的損失函數優化深度學習模型的參數；

根據損失函數的梯度得到像素增量作為防御對抗攻擊的擾動；

利用參數優化的深度學習模型進行目標識別時，將待識別的圖像添加擾動后輸入至深度學習模型，經計算得到目標識別結果。