logo好方法网

一种基于FGSM对抗攻击算法的检测与防御方法

发布时间:2020-09-10 发布人:admin 分类:专利技术 资料大小:1.25M 资料格式:pdf 举报 版权申诉

技术摘要:
本发明提供了一种基于FGSM对抗攻击算法的检测与防御方法,包括确定被攻击的原始图像样本;将原始图像样本输入网络模型,利用FGSM算法生成对抗图像样本;将原始图像样本输入到目标网络模型,训练目标识别网络;将原始图像样本和对抗图像样本输入检测模型利用DCT算法和SV  全部
背景技术:
机器视觉领域的技术的飞速发展,越来越多的应用也落地。机器视觉的最终目的 是制造机器眼睛,像人眼一样来识别这个世界的事物。而其中最核心的就是深度神经网络 系统。机器视觉是深度学习发展最为迅速的方向之一。 但随着机器学习计算机视觉的发展,机器学习算法的安全性也得到了广泛的关 注。在图像识别中,可以通过在原始图像中添加一些精心制作的扰动使得人眼无法感知,但 却可以欺骗神经网络使得其错误分类。对抗样本的特点是寻找尽量小的扰动,而且这些扰 动对于观察者来说是不可察觉的。对抗样本的这些特性,给卷积神经网络的使用带来巨大 的安全隐患。目前,对抗样本攻击多用于图像识别、图像分类、视频检测等领域。对抗样本的 存在,给这些应用带来了巨大的安全挑战。比如,在自动驾驶中,自动驾驶汽车的视觉系统 就是利用深度神经网络来识别行人、车辆和道路标志的。如果自动驾驶系统被对抗样本所 攻击,在输入中添加精心制作的对抗样本干扰将会使得神经网络驾驶系统识别错误。若左 转牌被攻击导致被识别成右转指示牌,或者停止指示牌被攻击导致识别成继续行驶,将会 导致巨大的生命财产安全。
技术实现要素:
为了解决现有技术中存在的缺点和不足,本发明提供了用于提高防御性的一种基 于FGSM对抗攻击算法的检测与防御方法。 为了达到上述技术目的,本发明提供了一种基于FGSM对抗攻击算法的检测与防御 方法,包括: 步骤一:确定被攻击的原始图像样本; 步骤二:将原始图像样本输入网络模型,利用FGSM算法生成对抗图像样本; 步骤三:将原始图像样本输入到目标网络模型,训练目标识别网络; 步骤四:将原始图像样本和对抗图像样本输入检测模型利用DCT算法和  SVM算法 训练模型并进行检测; 步骤五:对于要进行测试的图像样本进行测试,并输出识别结果。 可选的,所述步骤二包括: 收集开源的图像识别算法,在本地训练该开源识别算法的图像识别系统; 收集训练集; 确定神经网络的构造; 确定网络的损失函数; 利用FGSM算法调节图像的扰动; 4 CN 111600835 A 说 明 书 2/5 页 利用梯度下降法训练神经网络; 分类错误且损失函数达到一定的阈值Lmax,当loss≥Lmax停止训练得到对应模型的 参数; 利用模型生成对抗样本图像。 可选的,所述利用FGSM算法调节图像的扰动,具体包括如下步骤: 定义原始图像X、扰动η、产生扰动样本X’=X η; FGSM算法生成扰动η=εsign(▽xJ(θ,x,y)); 其中,模型参数:θ,模型输入即图像:x,结果标签:y,损失函数:J(θ,x,y),符号函 数:sign( ) ,sign(▽xJ(θ,x,y))是描述了x点处loss函数的梯度方向,ε为在该方向上的偏 移量级; 最终目的生成扰动样本使得loss函数值变大。 可选的,所述步骤三,包括: 收集开源的图像识别算法,在本地训练该开源识别算法的图像识别系统; 收集训练集; 确定神经网络模型; 确定网络的损失函数; 利用梯度下降法训练神经网络; 利用迁移学习fine-tune的方法,训练识别网络; 使得该模型对验证集的准确率达到一定的阈值M或模型迭代到一定的轮数  N,停 止训练模型,保存模型的参数。 可选的,所述步骤四,包括: 构造输入层干扰修正网络; 将原始图像样本Ic和Iρ对抗样本图像输入到预输入层干扰修正网络对应得到 将经过修正的图像与对应的输入图像作差如形式 作差的结果进行DCT 变换即 确定SVM二分类器的损失函数最后将结果 到SVM二分类函数进行训练, 训练过程中冻结目标网络模型的参数,只训练干扰修正模型的参数;最后得到检测对抗样 本和测试样本的模型。 可选的,还包括构建检测网络的步骤,所述构建检测网络的步骤,包括: 将五个ResNet-block通过神经网络构建干扰修正网络; 利用二维DCT算法对特征进行变换,具体DCT变换的算法如下: 5 CN 111600835 A 说 明 书 3/5 页 将进行DCT变换结果输入到SVM二分类器,SVM二分类器进行非线性优化,SVM分类 器的损失函数如下: 其中,L(·)表示损失函数,li表示原始图像样本在目标网络中的预测值, 表示 干扰图像在SVM分类网络中的预测值,θp表示PRN网络的参数值,bp表示PRN网络的参数值。 可选的,还包括: 根据检测模型对所要测试的图像样本Iρ/c进行如公式四所示的检测, Dρ/c=B(Iρ/c-R(Iρ/c))公式四; 如果检测出该测试样本Iρ/c是对抗样本,则将该测试样本的修正后的图像样本R (Iρ/c)输入到目标网络模型;如果检测该测试样本Iρ/c不是样本,则该测试样本Iρ/c输入到目 标网络模型。 本发明提供的技术方案带来的有益效果是: 利用FGSM算法生成对抗图像样本,调用训练预输入层的方式对测试样本进行检 测,利用目标网络模型进行识别。 附图说明 为了更清楚地说明本发明的技术方案,下面将对实施例描述中所需要使用的附图 作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普 通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。 图1是本申请实施例提出的一种基于FGSM对抗攻击算法的检测与防御方法的流程 示意图; 图2是本申请实施例提出的一种基于FGSM对抗攻击算法的检测与防御方法的总体 框架图; 图3是本申请实施例提出的FGSM生成的对抗图像样本的流程图。
    分享到:
    收藏

    相关推荐