本發明公開了一種基于對抗性攻擊深度神經網絡的安全性提升方法，其包括：設置多個精煉器，每個精煉器設有對應的編碼器和解碼器，不同的編碼器能夠將輸入數據映射到對應不同的隱空間，并能通過對應的解碼器進行相應解碼以將隱空間內的數據恢復至干凈版本的數據；隨機選用某一精煉器對當前的輸入數據進行去噪處理，前一次輸入數據選用的精煉器與后一次輸入數據選用的精煉器不同；將去噪后的數據輸入卷積神經主網絡進行數據對抗訓練以進行相應的安全防御。本發明提供的安全性提升方法增強了神經網絡模型的防御能力，提高了神經網絡模型的穩定性。

技術領域

本發明涉及神經網絡對抗性攻擊防御方法技術領域，尤其涉及一種基于對抗性攻擊深度神經網絡的安全性提升方法。

背景技術

近年來，機器學習領域發展十分迅速，尤其是以卷積神經網絡（ConvolutionalNeural?Network,CNN）等為代表的方法在廣泛應用中取得了較好的性能。然而這些方法也存在著問題，如容易受到干擾，使得其在解決關鍵任務時存在安全性風險。這種向網絡中傳入帶有對抗性噪音的樣本作為輸入從而破壞網絡性能，導致敏感任務的誤分類或置信度降低的攻擊稱為對抗性攻擊。保障電力網絡和信息的安全性對電力安全生產而言非常重要，不僅關系到電力供應的連續性和可靠性，也關系到社會經濟的穩定和發展。由于在深度模型被廣泛應用于智能電力的各領域，如何提高模型的魯棒性，保障電力信息系統的安全就顯得很重要。

一般的而言可以采用對抗性樣本訓練、定義具有魯棒性的損失函數或對輸入進行預處理的方式來防御對抗性攻擊。

第一類防御方法是對抗性樣本訓練的方式。這類方法是將干凈樣本和對抗性的樣本一起作為訓練集來供目標卷積神經網絡學習，這樣做可以使得到的神經網絡對訓練數據中的對抗性樣本具有魯棒性。但該方法只能對訓練階段定義的攻擊（訓練集中的對抗樣本）起作用，因此當面對未定義過或罕見的攻擊時此類模型的性能會下降。第二類防御方法是定義有效的損失函數指導網絡的訓練，使網絡具有固有的健壯性。此類方法在原理上最有效，但如何設計出具有魯棒性的損失函數是一個待解決的難題，目前尚未有研究取得突破性的進展。最后一類方法則是選擇在輸入被傳遞到模型之前就對其進行預處理，從而降低輸入中的噪音對模型性能的影響。這個過程可以是輸入通過編碼器-解碼器網絡，然后將其饋送到模型。這類方法是近年來新出現的防御方法，本發明即屬于這類方法。

但是，輸入進行預處理的方式也存在著問題。編碼器-解碼器（精煉器）網絡通過優化樣本重建誤差使其可以在干凈的樣本上學習，從而消除其輸入中的破壞性噪聲并將其轉化為干凈的樣本供神經網絡進行訓練，其中干凈樣本是指標簽正確的樣本，噪聲樣本是指標簽錯誤的樣本。但如果攻擊者能訪問模型和精簡程序網絡，就能夠生成可以欺騙模型和精煉器網絡的對抗性樣本。為了避免這個問題，本發明提出可以使用多個編碼器-解碼器網絡，并在每一步中隨機利用其中一個作為精煉器。但如果多個編碼器-解碼器網絡使用相同的損失函數進行訓練，它們會相互跟進，這意味著攻擊者只需要訪問其中一個精煉器網絡即可破壞所有網絡。為了解決上述挑戰，在提高魯棒性的基礎上，本發明進一步利用隨機性和多樣性的概念，為提升安全性提出了一種有效的解決方案。

以上背景技術內容的公開僅用于輔助理解本發明的發明構思及技術方案，其并不必然屬于本專利申請的現有技術，也不必然會給出技術教導；在沒有明確的證據表明上述內容在本專利申請的申請日之前已經公開的情況下，上述背景技術不應當用于評價本申請的新穎性和創造性。

發明內容

為了克服現有技術存在的不足，本發明提供一種基于對抗性攻擊深度神經網絡的安全性提升方法，具體技術方案如下：

提供了一種基于對抗性攻擊深度神經網絡的安全性提升方法，包括以下步驟：

設置多個精煉器，每個精煉器設有對應的編碼器和解碼器，不同的編碼器能夠將輸入數據映射到對應不同的隱空間，并能通過對應的解碼器進行相應解碼以將隱空間內的數據恢復至干凈版本的數據（所有數據的標簽均正確標識）；

隨機選用某一精煉器對當前的輸入數據進行去噪處理，前一次輸入數據選用的精煉器與后一次輸入數據選用的精煉器不同；