基于条件对抗生成网络的对抗样本防御方法.docxVIP

基于条件对抗生成网络的对抗样本防御方法 摘要：人工智能目前在诸多领域均得到较好应用，然而通过对抗样本会使神经网络模型输出错误的分类。研究提升神经网络模型鲁棒性的同时如何兼顾算法运行效率，对于深度学习在现实中的落地使用意义重大。针对上述问题，本文提出一种基于条件对抗生成网络的对抗样本防御方法 Defense-CGAN。首先使用对抗生成网络生成器根据输入噪声与标签信息生成重构图像，然后计算重构前后图像均方误差，对比选取重构图像馈送到分类器进行分类从而去除对抗性扰动，实现对抗样本防御，最后，在MNIST数据集上进行大量实验。实验结果表明本文提出的防御方法更加具备通用性，能够防御多种对抗攻击，且时间消耗低，可应用于对时间要求极其苛刻的实际场景中。 0 引言近年来，随着卷积神经网络的不断发展，深度神经网络在多领域中的应用已变得越来越广泛。但是，它们具有非直觉的特征和固有的盲点，使用模糊的输入操作很容易攻击它们针对对抗攻击提出的防御措施主要涵盖以下几种:对抗训练对抗样本的错误分类主要是由于对输入图像某一或某些像素故意扰动导致的本文的主要贡献涵盖以下3个方面:1)提出一种新的防御方法。该方法利用标签信息与GAN相结合的方法消除对抗性干扰，对对抗样本攻击实现有效的防御。2)提出一种通用性框架。CGAN是高度线性的，无需假设攻击模型，可防御多种类型的对抗攻击。3)执行多个维度的实验，实验结果表明本文所提防御方法Defense-CGAN的有效性。1 相关工作1.1 对抗样本攻击不同对抗攻击方法攻击行为不同1.1.1 快速梯度符号法FGSM所有攻击模型都旨在寻找扰动δ其中，ε是确定扰动大小的参数，!FGSM仅使用每个像素处的渐变符号来确定更改相应像素值的方向。CW其中，c为大于0的常数，损失函数l被定义为:1.1.3 黑盒攻击黑盒攻击中攻击者无法访问分类器或防御参数1.2 对抗样本防御针对对抗样本攻击，陆续提出多种防御对抗样本的方法，都取得了一定的防御效果。1.2.1 对抗训练防御对抗样本的一种普遍方法是使用对抗性示例来扩充训练数据集。使用一个或多个选定的攻击模型生成对抗样本，将其添加到训练集中，这通常会提高鲁棒性。通过大量的实验数据发现，对抗训练是防御对抗样本攻击的有效方法，但当攻击者使用不同的攻击策略时，对抗训练的效果将不佳。Meng引入Mag Net作为防御策略，训练一个重整器网络(自动编码器构成)，使对抗样本更接近正常示例的多样性，其损失函数定义为:它被证明可以在攻击者了解除参数之外的所有信息时进行有效防御，但防御性能欠佳。Defense-GAN防御流程如图1所示，利用一个训练良好的GAN生成器，通过梯度下降迭代算法和最小化‖G(z)-x‖该算法存在以下问题:1)当检测数据集规模较大时，生成样本可能与输入图像的差异比较大。2)算法执行时，需要为所有R个随机数z (0)-z(R)生成其对应的重构图像样本GAN (z本文提出的防御方法将标签信息y加入到GAN训练过程中，使用训练完好的CGAN重构输入样本x，不需进行梯度下降计算。在检测数据集规模较大时，不会与输入图像类别有差异，在保障较高防御成功率同时，大大提高运行速度。2 基于CGAN的对抗样本防御方法生成对抗网络(GAN)由Goodfellow等人最初引入，由神经网络生成器G和鉴别器D组成。G:将一个低维潜在空间映射到x的高维样本空间;D:二进制神经网络分类器。GAN的损失函数为:如式(5)所示，D(x)表示D判断真实图片是否真实的概率，D(G(z))是D判断G生成的图片是否真实的概率，E代表其数学期望，当数据分布p2.1 对抗样本防御在原始GAN网络基础上，给其G和D添加额外的条件信息进行改进，实现条件生成模型，即CGAN，网络训练过程如图2所示。生成器网络架构使用MLP全连接网络，给定一个输入噪声与额外信息y(标签信息)，将两者通过全连接层连接到一起作为G的输入，输出还是生成图;之后将生成图、真实图和额外信息y输入到判别器进行判别，输出还是真和假，通过优化器交替训练G和D，直到G可以生成出D不能判别为假的图像则认为获得了完好的生成器。CGAN的损失函数为:同GAN一样G和D的概率表达都是条件概率公式，在输入为特定标签y时成立。CGAN可以看作一个包含了所有种类个数N的生成器集合，通过更改标签y得到自己想要的生成图像。Defense-CGAN防御流程如图3所示，将输入样本集合X＿test馈送到目标模型得到其分类标签集合Y＿test=f(X＿test)，将分类标签集合Y＿test和随机噪声Z输入至CGAN网络生成器，为每个标签生成R张样本，