本發明公開的基于模型反演方法的對抗樣本防御方法和設備，為了解決深度神經網絡安全領域中缺少低成本、高效的對抗樣本防御方法的問題，提出了一種基于StyleGAN生成器的模型反演機制實現對抗樣本防御方法。通過對生成器StyleGAN的深入分析，提出強化信息訓練和改進的proAdaIN，將其創新性地應用到對抗樣本防御系統的特征生成方案中，并通過添加噪聲、特征解耦、利用沖突語義區分真實樣本和對抗樣本，解決了傳統防御方案中成本高、效率低、防御效果差等問題。

技術領域

本發明屬于人工智能安全領域，主要涉及一種基于模型反演方法的對抗樣本防御方法和設備。

背景技術

目前，深度神經網絡在各個領域都取得了巨大的成功，在各種關鍵任務應用中也得到了廣泛的部署，其安全性和可信性已成為公眾關注的問題，如自動駕駛、醫療診斷和可信計算等領域。然而，在這些應用中，錯誤的決策或者預測可能會導致災難性的經濟損失甚至生命危險。

對抗樣本是攻擊者經常使用的一種注入樣本。它是當前DNN面臨的主要威脅之一，它會對輸入引入微妙的惡意擾動，以便于欺騙DNN模型。這種對抗樣本相對于原始樣本擾動很小，通常人類無法察覺，卻能夠極大地改變了目標DNN模型提取的特征，導致了錯誤的推理結果。根據攻擊者的知識不同，對抗攻擊可以分為黑盒攻擊、白盒攻擊和自適應攻擊三類。如今，幾乎所有的防御方案都遭受了自適應攻擊的嚴重影響，攻擊者可以利用防御方案的知識制作新的對抗樣本。

潛在空間：在一個神經網絡中，有一些變量是可以觀測到的，而與之相對的，有一些變量是不可觀測的，一般是神經網絡中的中間層、隱藏層的變量，或者是在不同的神經網絡之間傳輸的、不需要使用者獲取具體數值的變量。這些變量的分布組成的就是潛在空間。

模型反演是一種深度學習的應用方向，目的是想辦法從分類器的分類向量導出原始的訓練數據的特征，從而造成嚴重的安全威脅。其中目前較為新穎的方法是基于GAN的模型反演。GAN由兩個模塊組成：生成模型G和判別模型D，提供一個對抗性的訓練方法，即：生成模型的目標是盡量生成真實的圖片去欺騙判別模型，而判別模型的目標是盡量將生成模型生成的圖片和真實的圖片區分。最終效果是，可以根據一個簡單的輸入向量，這種向量可以是一種隨機噪聲z，生成更高維的輸出向量G（z），如聲音、圖像等。該技術已經在超分辨率任務和語義分割等方向得到了廣泛的應用。

在已有的防御研究中，主要有通過輸入進行轉換、反向訓練模型，或者基于特定的標準檢測異常的方法，來減輕對抗樣本的影響。例如，梯度掩蓋方法，用難以被攻擊者使用的方法構建魯棒的模型，然而這種方法很容易被具有梯度逼近能力的攻擊繞過；還有對抗訓練方法，通過在訓練階段加入對抗樣本來提高模型的魯棒性。其他方法包括改變損失函數、改變激活函數、集成學習、自監督學習、利用人工生成的訓練樣本或重新加權錯誤分類的樣本等方法。其中，對抗性訓練、改變函數等方法雖然易于實現，但是不可避免地降低了合法輸入的精度。

發明內容

本發明針對現有技術的不足，提出了一種基于模型反演方法的對抗樣本防御方法和設備，提高了合法輸入的精度。

本發明所設計的模型反演方法，該方法基于StyleGAN，具體包括以下過程：

步驟?1，將待反演的潛在空間向量進行預處理和空間變換，以獲得解耦向量。

由于原始樣本的部分特征可以通過一個超參數得到更好的變換，也便于控制，所以對樣本進行了預處理，即將初始向量解耦，獲取解耦之后的向量。

步驟2，通過感知路徑長度，驗證w向量特征的分布成功解耦。