基于图像降噪的集成对抗防御模型研究.pdf
《基于图像降噪的集成对抗防御模型研究.pdf》由会员分享,可在线阅读,更多相关《基于图像降噪的集成对抗防御模型研究.pdf(6页珍藏版)》请在咨信网上搜索。
1、 年第 期(第 卷总第 期)基于图像降噪的集成对抗防御模型研究薛晨浩 杜金浩 刘泳锐 杨 婧(.国家计算机网络应急技术处理协调中心山西分中心 山西 太原.国家计算机网络应急技术处理协调中心 北京)摘 要:深度学习的快速发展使其在图像识别、自然语言处理等诸多领域广泛应用 但是 学者发现深度神经网络容易受到对抗样本的欺骗 使其以较高置信度输出错误结果 对抗样本的出现给对安全性要求严格的系统带来很大威胁 研究了在低层特征()和高层特征()对图像进行降噪以提升模型防御性能 在低层训练一个降噪自动编码器 并采用集成学习的思路将自动编码器、高斯扰动和图像掩码重构等多种方式结合 高层对 作微小改动加入均值滤
2、波 实验显示 所提出的方法在多个数据集的分类任务上有较好的防御性能关键词:对抗样本 集成学习 降噪自动编码器 高层特征中图分类号:文献标识码:/引用格式:薛晨浩 杜金浩 刘泳锐 等.基于图像降噪的集成对抗防御模型研究.网络安全与数据治理():.(/()/):.()().:引言近年来随着计算机硬件发展带来的算力提升和数据量的爆炸性增长 深度学习在很多任务中如图像分类、自然语言处理等方面表现十分出色 深度学习正以前所未有的规模被用于解决一些棘手的科学问题 例如 分析、脑回路重建、自动驾驶、药物分析等但是随着对深度学习研究的不断深入 学者发现在深度学习强大的表现下也隐藏着巨大的安全隐患 年 等人在研
3、究中发现 通过添加微小的扰动 在人眼难以察觉到的情况下 可使深度学习模型以高置信度做出错误判断 如图 所示在给“山脉”加上扰动之后 分类器以 的置信度将其识别为“狗”给“河豚”添加扰动后 分类器以 置信度将其识别为“螃蟹”这种通过在原始图像上增加一些人眼难以察觉的轻微扰动使得深度学习模型产生错误判断的样本 称为对抗样本本文聚焦于图像分类领域的对抗防御方法研究 结合图像掩码重建、高斯扰动和降噪自动编码器在低层特投稿网址:年第 期(第 卷总第 期)图 对抗样本示例征()阶段对图像进行降噪 实验证明集成方式比任何单一的降噪方式更能提升模型防御性能在高层特征()阶段通过对已有模型进行微小调整增加降噪块
4、进一步消除扰动影响 本文主要创新如下:()提出一种基于 监督的降噪自动编码器 将低层图像处理任务和高层任务结合起来 通过联合损失函数指导编码器权重更新 以减少低层任务对高层任务的影响 在编码阶段进入高斯扰动进一步增加预处理的鲁棒性以增强防御能力()高层阶段对 增加降噪块 以消减轻微扰动随着网络深度传播为无限放大的影响()以集成学习方式将多种降噪方式结合起来 克服了单个方法的弱点本文从两阶段进行降噪可有效防御对抗样本攻击其中低层阶段的图像降噪模块训练好后可直接与已有模型进行串联使用 可在不改变已有模型结构不重新训练的情况下增强防御能力 具有很强的实用价值 相关研究对抗样本研究主要分为两个领域:攻
5、击、防御 攻击即对抗样本生成算法 主要目的是设计算法诱导模型对其生成的样本做出错误的判断 给模型应用带来安全问题 防御则是通过一些算法提高模型的鲁棒性 使其不受对抗扰动的干扰 能对生成的对抗样本做出正确的判断 等人最先提出对抗样本概念 他们发现通过在测试图像上添加微小的噪声扰动会使得训练好的深度学习模型产生误判 等人分析之所以会产生这种现象是由于深度学习模型网络结构的高度非线性和对数据的过拟合导致的 等人经进一步研究 认为深度学习模型高维空间中的线性特点是造成对抗样本的原因 即使是简单的线性模型 如果输入数据具有较高维度也会产生对抗样本 等人提出一种边界倾斜的观点 即对抗样本存在于采样数据子流
6、形的分类边界 因为该边界无法完全与实际数据流形边界保持一致 所以可能存在导致模型判断错误的对抗样本近几年随着深度学习应用的普及 越来越多的研究开始重视深度学习的安全问题 学者们提出攻击算法暴露已有模型的问题 同时针对这些问题研究防御策略增强模型的鲁棒性 随着研究的深入 在攻防两侧都取得了很大的成效 对抗样本生成算法研究现状对抗样本生成算法分类方式有多种 根据被攻击环境 可以将其分为白盒攻击和黑盒攻击 白盒攻击指在了解被攻击模型、网络结构和权重参数以及防御手段的情况下实施的攻击行为 黑盒攻击与白盒攻击相反 为在完全不了解被攻击模型的信息下实施的攻击 白盒攻击方法 等人提出了首个对抗样本生成方法(
7、)该方法在输入空间内寻找最小的对抗扰动 等人在 方法的基础上 提出了一种快速梯度符号法()该方法通过计算目标类别对输入图像求梯度 然后对梯度求符号函数 结果作为对抗扰动 等人将 方法中的单步骤转变为多个小步骤 并在每一步计算之后调整梯度方向提出投影梯度下降()方法 的攻击性能非常高 但其迭代操作过程需要很高的计算成本 等人提出基本迭代法()该方法是一种基于快速梯度攻击法的迭代版本 通过迭代的方式 沿着梯度增加的方向进行多步小的扰动 来求取对抗样本 等人提出一种专门针对非循环前馈神经网络的定向攻击算法 映射方法()该算法每次迭代修改干净样本中的一个像素点并评估修改结果对深度学习模型预测影响 重复
8、此过程最后生成对抗样本 等人提出一种 对抗样本生成方法 通过限制、范数来优化对抗扰动 能有效攻击现有的大多数深度学习模型 但是其所耗时间资源非常大 黑盒攻击方法 等人提出了最早的黑盒攻击方法 称为替代黑盒攻击()该算法训练一个替代模型来代替黑盒目标网络 并对该替代模人工智能 年第 期(第 卷总第 期)型进行白盒攻击 等人提出了另一种黑盒攻击方法 称 为 零 阶 优 化 方 法()该方法通过直接估计目标模型的梯度来生成对抗样本 基于 算法 等人提出基于自适应矩阵估计()的零阶优化攻击算法 该算法首先随机选择一个变量来更新对抗样本然后采用 迭代优化方法找到最优对抗样本 对抗样本防御方法研究现状随着
9、深度学习模型对抗防御研究的深入 涌现出大量防御方法 这些方法可分为对抗样本检测方法和模型鲁棒性防御方法两大类 对抗样本检测研究对抗样本检测方法是在模型之外额外增加一个检测模块用于区分一个输入样本是对抗样本还是普通样本如果是对抗样本直接丢弃 等人通过二分类检测器网络来检测干净样本和对抗样本 等人训练了一个有 个分类的深度神经网络模型 在训练集中将对抗样本指定为 类 等人观察干净样本与对抗样本的特征差异 通过特征压缩()的检测方法 减少中值平滑和颜色位深度以压缩图形特征空间 比对输入样本与压缩样本的预测一致性来检测对抗样本 等人提出基于局部内在维度()特征进行对抗样本检测 该方法提取分类模型每一层
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 图像 集成 对抗 防御 模型 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。