技术摘要：
本发明属于对抗样本防御技术领域，公开了一种基于VAE‑GAN的对抗样本防御方法及系统，使用变分自动编码器VAE和生成对抗网络GAN对对抗样本进行去噪，VAE作为分类器的预处理模型对对抗样本进行去噪处理，GAN用于辅助VAE的训练，使得VAE输出的图像结果更加接近于原始无噪  全部
背景技术：
目前，深度神经网络在许多传统机器学习难以解决的问题上有着优秀的表现。随 着深度神经网络模型的不断完善，越来越多的深度学习解决方案慢慢的进入人们的日常生 活，比如：图形识别，人脸识别，自动驾驶，语音指令识别等。尽管深度神经网络在各领域有 着优秀的表现，但Szegedy等人证明现代深度神经网络非常容易受到对抗样本的攻击，这些 对抗样本仅仅是在原始图片上添加细微扰动(人类视觉无法察觉)，就能导致深度神经网络 模型对图像的错误分类(如图5所示)。目前深度神经网络对抗攻击的手段越来越多，攻击所 需的扰动也越来越小，传统对图像的去噪及降低深度神经网络过拟合程度的方法已经无法 防御这些对抗样本的攻击。并且目前的防御方案存在训练成本大，防御迁移能力差的缺点。 目前存在的防御方案分为三个方向：输入预处理，改进神经网络模型以及仅识别 是否为对抗样本而不进行处理。目前的防御方案如下： (1)输入预处理：对图像进行压缩重建，对图像进行缩放，降低图像分辨率，对图片 进行去噪； (2)改进神经网络模型：限制神经元的输出，在神经网络模型中添加不可微部分， 降低神经网络过拟合，以及在训练集中添加对抗样本提高神经网络模型的健壮性。 (3)仅识别是否为对抗样本不进行处理：利用svm分辨输入数据是否为对抗样本， 使用胶囊网络来分辨输入数据是否为对抗样本。 但是，目前的防御方案中，输入预处理会导致输入图片质量下降，降低原始无噪声 图像的分类准确率，同时该防御方案大多对扰动较大的对抗样本有较好的防御效果，扰动 越小防御效果越差。 改进神经网络模型在一定程度下会降低神经网络模型的分类准确率，但其更大缺 点是需要重新训练网络模型，同时仅在当前神经网络模型下有防御作用，防御策略无法迁 移至其他网络模型，并且随着对抗攻击的升级，防御策略也要跟随升级(否则无法防御更新 后的对抗攻击)，这导致该防御有着极高的网络训练成本。 仅识别是否为对抗样本不进行处理：无法对对抗样本进行识别，有时会误识别受 到轻微随机噪声影响的输入数据。 目前大部分防御策略要使用对抗样本进行训练，造成了额外的训练成本。 综上所述，现有技术存在的问题是：(1)传统对图像的去噪及降低深度神经网络过 拟合程度已经无法防御这些对抗样本的攻击，并且目前的防御方案存在训练成本大，防御 迁移能力差的缺点。 (2)目前的防御方案中，输入预处理会导致输入图片质量下降，降低原始无噪声图 像的分类准确率，同时该防御方案大多对扰动较大的对抗样本有较好的防御效果，扰动越 4 CN 111598805 A 说　明　书 2/10 页 小防御效果越差。 (3)改进神经网络模型的方法需要重新训练网络模型，同时仅在当前神经网络模 型下有防御作用，防御策略无法迁移至其他网络模型，并且随着对抗攻击的升级，防御策略 也要跟随升级(否则无法防御更新后的对抗攻击)，这导致该防御有着极高的网络训练成 本。 (4)仅识别是否为对抗样本而不进行处理：无法对对抗样本进行识别，有时会误识 别受到轻微随机噪声影响的输入数据。目前大部份防御策略要使用对抗样本进行训练，造 成了训练成本过高。 解决上述技术问题的难度：由于成对抗样本的算法在不断的改进，导致： 生成对抗样本的代价也越来越低，更容易生成对抗样本用于攻击。 对抗样本攻击能力也越来越强。 (3)攻击方式也由纯白盒攻击转向黑盒攻击。 解决上述技术问题的意义：目前很多深度学习解决方案已经进入人们的日常生 活，如人脸识别、自动驾驶、视频检测等，对抗样本的存在给这些解决方案的使用带来了巨 大的风险。比如，在人脸识别系统中，不法分子可以利用对抗样本冒用他人身份，入侵政府 或公司内部系统，窃取机密信息。又或者，在自动驾驶过程中，使用对抗样本覆盖真实的路 标，车辆自动驾驶系统将无法对该路标做出正确的决策，从而引发严重的交通事故。因此设 计安全性要求严苛的深度学习解决方案时，必须考虑如何防御对抗样本的攻击。对抗样本 的存在极大的限制了深度学习解决方案的使用，因此，研究如何有效的防御对抗样本攻击 具有巨大的现实意义。
技术实现要素：
针对现有技术存在的问题，本发明提供了一种基于VAE-GAN的对抗样本防御方法， 旨在解决现有对抗样本防御方案存在的防御训练成本高、防御方案通用性差以及防御方案 可能导致原始分类器分类精度下降等问题。 本发明是这样实现的，一种基于VAE-GAN的对抗样本防御方法，所述基于VAE-GAN 的对抗样本防御方法使用变分自动编码器(VAE)和生成对抗网络(GAN)对对抗样本进行去 噪，VAE作为分类器的预处理模型对对抗样本进行去噪处理，GAN用于辅助VAE的训练，使得 VAE输出的图像结果更加接近于原始无噪声的图像。 进一步，所述基于VAE-GAN的对抗样本防御方法包括以下步骤： 步骤一，选择合适的网络结构构建VAE-GAN训练网络。 步骤二，对VAE-GAN网络进行训练。 步骤三，使用VAE-GAN模块作为分类器预处理模块防御对抗样本的攻击。 采用VAE和GAN的融合VAE-GAN模型来防御对抗样本攻击，模型如图6所示，通过步 骤二训练一个专门针对于对抗样本的VAE-GAN降噪模型作为分类器的预处理块，任何输入 到分类器的样本都需要先通过VAE-GAN模型的降噪，然后才送入分类器模型中进行分类，最 终使分类器能正确识别对抗样本。 进一步，步骤一中，所述选择合适的网络结构构建VAE-GAN训练网络的方法如下： 选择合适的网络结构构建VAE-GAN训练网络，对于分类器的不同VAE和GAN选择的 5 CN 111598805 A 说　明　书 3/10 页 神经网络结构也不同，对于小的数据集VAE和GAN选择使用DNN结构，对于大的数据集VAE和 GAN就需要选择更深的神经网络或者卷积神经网络。 进一步，步骤一中，所述VAE-GAN包含两个部分：VAE部分与GAN部分。VAE主要功能 是将输入的图像进行去噪，然后通过GAN使得VAE重建图像分布尽可能的接近原始图像分 布，以保证去除噪声后图像质量接近于原始无噪声图像。 VAE又可以分为Encoder编码部分以及Decoder解码部分。Encoder主要是将输入的 图像样本映射成两组n维矢量(均值矢量和标准差矢量)。Decoder主要将这两组n维矢量添 加噪声后恢复为原始的图像样本。本发明通过GAN辅助训练变分自动编码器的Decoder，从 而提高变分自动编码器(VAE)生成图像的质量。GAN包含两个部分：生成器(Generator)将一 维矢量z转化为图像，辨别器(Discriminator)用于识别输入图像是真实图像还是生成器生 成图像。在解码/生成网络中VAE的解码网络和GAN的生成网络共用该部分网络参数，为方便 描述，之后统一称为解码网络。 进一步，步骤二中，所述对VAE-GAN网络进行训练的方法如下： 在完成VAE-GAN的网络构建后，需要先确定整个网络的优化目标，所述VAE-GAN防 御模型包含三个网络，分别为编码网络、解码网络和判别网络，三个网络的优化目标各不相 同。 模型整体优化目标函数定义如下： 其中σ和μ表示隐变量z的后验分布的均值和方差，x表示原始图像(不一定是输入 图像)， 表示解码网络的输出，D表示判别网络，G表示生成网络(解码网络)，γ为引入的超 参数，一般取值为0.2。 相应的模型整体损失函数为： 定义完目标函数后，可以直接通过梯度下降(SGD)或其他优化算法进行模型训练。 本发明的另一目的在于提供一种实施所述基于VAE-GAN的对抗样本防御方法的基 于VAE-GAN的对抗样本防御控制系统。 本发明的另一目的在于提供一种存储在计算机可读介质上的计算机程序产品，包 括计算机可读程序，供于电子装置上执行时，提供用户输入接口以实施所述基于VAE-GAN的 对抗样本防御方法。 本发明的另一目的在于提供一种计算机可读存储介质，储存有指令，当所述指令 在计算机上运行时，使得计算机执行所述基于VAE-GAN的对抗样本防御方法。 综上所述，本发明的优点及积极效果为：本发明提供的基于VAE-GAN的对抗样本防 御方法属于输入预处理，可在不同分类模型之间学习迁移；无需重新训练原有分类网络，训 练成本较低；几乎不影响原始无噪声样本分类精度；不需要使用对抗样本，所以无需而外的 训练对抗样本；对噪声较小的对抗样本防御效果也很好；预处理速度快且输出图像质量接 近于原始无噪声图像。实验表明，经过VAE-GAN模型降噪后的普通样本，分类准确率仅下降 6 CN 111598805 A 说　明　书 4/10 页 了1～4％说明该防御模型几乎不影响分类器对普通样本的识别；在黑白盒条件下，经过 VAE-GAN模型降噪后的对抗样本，分类准确率相较于其原始样本下降了2～24％， 证明本发明确实能够防御对抗样本的攻击，并且基本上对分类器的分类精度影响 较小。 附图说明 图1是本发明实施例提供的基于VAE-GAN的对抗样本防御方法流程图。 图2是本发明实施例提供的VAE-GAN结构图。 图3是本发明实施例提供的VAE作为分类器的预处理模块防御对抗样本攻击示意 图。 图4是本发明实施例提供的209次训练后VAE的降噪效果图。 图5是本发明实施例提供的深度神经网络对抗攻击示意图。 图6是本发明实施例提供的采用VAE和GAN的融合VAE-GAN模型来防御对抗样本攻 击模型图。