本發明公開了一種面向機器學習對抗攻擊的防御方法，屬于自動駕駛信息安全領域，該方法在擴散模型中添加相應的條件信息與注意力機制，并在模型的輸出后添加認證器。將對抗樣本通過擴散模型得到的去噪樣本輸入認證器得到損失來指導擴散模型的去噪。訓練擴散模型能夠確保模型可以去除對抗樣本中添加的噪聲信息，而不改變樣本中自身包含的信息。然后，將各待防御的對抗樣本輸入到已訓練的擴散模型中，對抗樣本中存在的輕微擾動會被模型去除，從而有效實現機器學習對抗樣本受對抗攻擊的防御。本發明無需明確對抗攻擊類型即可提供有效保護，可以應用于自動駕駛中的分類任務和回歸任務的對抗攻擊防御。

技術領域

本發明屬于自動駕駛信息安全領域，更具體地，涉及一種面向機器學習對抗攻擊的防御方法。

背景技術

基于物體識別自動駕駛技術正在逐漸成為未來交通的趨勢。它可以協助駕駛員實現自動駕駛，提高交通安全和舒適性。在自動駕駛技術中，傳感器和算法的高度集成為自動駕駛系統的核心，通過搜集周圍的環境信息，并將其與地圖數據進行匹配，從而實現自主導航和行駛。然而，自動駕駛技術也面臨著一些安全挑戰，如對抗攻擊。攻擊者可以添加精心構造的噪聲到駕駛環境中，改變車輛的自主導航和行駛路線，從而造成嚴重的交通事故和人員傷亡。例如，將特定噪聲添加到交通指示牌上，并偽裝為積雪、泥點等環境信息，從而導致自動駕駛系統將禁行標準識別為限速，從而帶來安全隱患；或是，將特定噪聲添加到雷達信號中，從而導致車距識別錯誤，帶來安全隱患。

現有的防御機制大多是針對特定類型攻擊設計，通用性較差；而由上述分析可知，自動駕駛領域的對抗攻擊包括對圖片分類任務中的對抗攻擊及回歸任務中的對抗攻擊。由此可見，亟需一種通用性較好、可對自動駕駛領域中的各類對抗攻擊進行防御的方法。

發明內容

針對現有技術的以上缺陷或改進需求，本發明提供了一種面向機器學習對抗攻擊的防御方法，由此解決現有的對抗攻擊防御機制通用性較差、難以適用于自動駕駛領域的技術問題。

為實現上述目的，按照本發明的第一方面，提供了一種面向機器學習對抗攻擊的防御方法，應用于自動駕駛領域，包括：

訓練階段：

將訓練樣本及其條件信息輸入至擴散模型得到去噪樣本，以最小化將所述去噪樣本輸入至認證器得到的輸出結果與所述條件信息之間的差異為目標，對所述擴散模型進行訓練；

其中，所述擴散模型在注意力機制的監督下對所述訓練樣本逐步添加噪聲再依次去除，且噪聲去除在所述條件信息的指導下進行；

所述訓練樣本及其條件信息為未受到對抗攻擊的交通標志圖像，其條件信息為所述未受到對抗攻擊的交通標志圖像的真實分類標簽，所述認證器用于預測圖像的分類標簽；

或，所述訓練樣本及其條件信息分別為未受到對抗攻擊的雷達信號，其條件信息為所述未受到對抗攻擊的雷達信號的回歸值，所述認證器用于進行回歸預測；

應用階段：

將待防御的對抗樣本及其條件信息輸入至訓練好的擴散模型，得到對應的去噪樣本；

其中，所述待防御的對抗樣本為受到對抗攻擊的交通標志圖像，其條件信息為所述交通標志圖像未受到對抗攻擊時的真實分類標簽；

或，所述待防御的對抗樣本為受到對抗攻擊的雷達信號，其條件信息為所述雷達信號未受到對抗攻擊時的回歸值。

按照本發明的第二方面，提供了一種面向機器學習對抗攻擊的防御系統，應用于自動駕駛領域系統，包括：計算機可讀存儲介質和處理器；

所述計算機可讀存儲介質用于存儲可執行指令；

所述處理器用于讀取所述計算機可讀存儲介質中存儲的可執行指令，執行如第一方面所述的方法。