隨著深度學(xué)習(xí)的迅速發(fā)展和廣泛應(yīng)用的巨大成功,它正被應(yīng)用于許多安全關(guān)鍵環(huán)境中,并且已經(jīng)成為從自動(dòng)駕駛汽車到監(jiān)控和安全等應(yīng)用領(lǐng)域的的主力。然而最近發(fā)現(xiàn),深層神經(jīng)網(wǎng)絡(luò)容易受到對(duì)抗樣本攻擊。具體來說,對(duì)抗樣本是添加微小干擾,精心設(shè)計(jì)形成的輸入樣本,對(duì)于我們?nèi)搜蹃碚f,所謂的微小擾動(dòng)往往小到難以察覺,但卻能完全愚弄深度學(xué)習(xí)模型,判定該對(duì)抗樣本為錯(cuò)誤類別。如今各種各樣的攻擊方法層出不窮,為了保證深度學(xué)習(xí)應(yīng)用領(lǐng)域的安全,針對(duì)深度學(xué)習(xí)中的對(duì)抗樣本攻擊,目前主要的防御方法可以從模型和數(shù)據(jù)兩方面進(jìn)行分類。模型層面又可以分為修改網(wǎng)絡(luò)和使用附加網(wǎng)絡(luò),數(shù)據(jù)層面主要是指在學(xué)習(xí)過程中修改訓(xùn)練過程或者修改的輸入樣本。通過研究發(fā)現(xiàn),對(duì)抗樣本經(jīng)過一些圖像變換操作以后,可以破壞對(duì)抗樣本的效果,使其對(duì)深度網(wǎng)絡(luò)效應(yīng)發(fā)生變化。根據(jù)這一特性,我們提出一種基于圖像變換的對(duì)抗樣本檢測(cè)方法。我們將數(shù)據(jù)集圖像作為原始圖像,首先對(duì)神經(jīng)網(wǎng)絡(luò)識(shí)別器生成對(duì)抗樣本,使其能成功被對(duì)抗樣本欺騙。然后我們對(duì)原始圖像和對(duì)抗樣本進(jìn)行相同的圖像變換操作,本文中主要使用三種圖像變換技術(shù),將變換前后的樣本輸入模型,得到變換前后的每組預(yù)測(cè)值,作為訓(xùn)練SVM分類器的輸入... 

【文章來源】：江西師范大學(xué)江西省

【文章頁數(shù)】：47 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

左圖被58.2%地認(rèn)為是大熊貓，加入擾動(dòng)，右圖被99.8%地認(rèn)為是長臂猿

ixtetxclipxsignJxy（2-3）和L-BFGS比較，F(xiàn)GSM更快且高效，主要是因?yàn)镕GSM只需要計(jì)算一次梯度。增加整體損失是FGSM的主要目的。有一種針對(duì)性攻擊方法，稱為基本迭代法的，主要方法是采用更小的攻擊步長，并且用真實(shí)標(biāo)簽targety來代替原有的預(yù)測(cè)標(biāo)簽y，更新策略使用L2范式，通過迭代構(gòu)建對(duì)抗樣本。公式里的,xclip代表對(duì)抗樣本樣本的值的一個(gè)剪切，控制對(duì)抗樣本在正常樣本x的s鄰域范圍內(nèi)，只要ix被錯(cuò)誤分類，或者超出該點(diǎn)的附加噪聲值范圍時(shí)，就終止此次循環(huán)。在Imagnet圖像數(shù)據(jù)集上，這種方法比FGSM要有效很多。圖2-2對(duì)抗攻擊流程不同于FGSM攻擊方式，大量的計(jì)算對(duì)于其他許多攻擊方式，都是必需的，因此，當(dāng)選擇使用的攻擊方式時(shí)，方便有效是一個(gè)重要因素。因此，F(xiàn)GSM由于算法簡單實(shí)用易理解，使用范圍很廣。這個(gè)算法具體過程如下：從初始化開始，樣本為x，尋找可以使xx，重復(fù)這個(gè)步驟，直到神經(jīng)網(wǎng)絡(luò)收斂。DeepFool方式：DeepFool是由S.Moosavi-Dezfooli等人提出。該方法是基于超平面分類思想的一種對(duì)抗樣本生成方法，超平面是實(shí)現(xiàn)分類的基矗具體闡述就是當(dāng)需要改變某個(gè)樣本的原有分類，設(shè)該樣本為x，需要的最小擾動(dòng)就是將

盜飯?袒蛘咝薷牡氖淙胙?盡＃?）修改網(wǎng)絡(luò)，比如：添加更多層子網(wǎng)絡(luò)、改變損失或激活函數(shù)等。（3）當(dāng)分類未見過的樣本時(shí)，用外部模型作為附加網(wǎng)絡(luò)。其中，第一個(gè)研究方向的方法并不直接處理模型，而其他兩類更注重神經(jīng)網(wǎng)絡(luò)本身。后兩個(gè)類別下的技術(shù)可進(jìn)一步分為兩類;即完全防御和僅檢測(cè)。完整的防御方法旨在使目標(biāo)網(wǎng)絡(luò)能夠在對(duì)抗性的例子上實(shí)現(xiàn)其最初的目標(biāo)，例如，一個(gè)分類器以可接受的精度預(yù)測(cè)對(duì)抗性例子的標(biāo)簽。另一方面，僅檢測(cè)方法意味著對(duì)可能具有對(duì)抗性的樣本發(fā)出警告，以在任何進(jìn)一步處理中拒絕它們。以上分類如下圖2-3所示。圖2-3防御對(duì)抗攻擊的方法分類修改訓(xùn)練過程或輸入數(shù)據(jù)：該方法主要有以下四個(gè)方式。一是蠻力對(duì)抗訓(xùn)練通過不斷輸入新類型的對(duì)抗樣本并執(zhí)行對(duì)抗訓(xùn)練，從而不斷提升網(wǎng)絡(luò)的魯棒性。為了保證有效性，該方法需要使用高強(qiáng)度的對(duì)抗樣本，并且網(wǎng)絡(luò)架構(gòu)要有充足的表達(dá)能力。這種方法需要大量的訓(xùn)練數(shù)據(jù)，因而被稱為蠻力對(duì)抗訓(xùn)練。很多文獻(xiàn)中提到這種蠻力的對(duì)抗訓(xùn)練可以正則化網(wǎng)絡(luò)以減少過擬合[18]。然而，Moosavi-Dezfooli[19]指出，無論添加多少對(duì)抗樣本，都存在新的對(duì)抗樣本可以再次欺騙網(wǎng)絡(luò)。第二種是數(shù)據(jù)壓縮，我們?nèi)菀装l(fā)現(xiàn)大多數(shù)訓(xùn)練圖像都是JPG格式，Dziugaite[20]等人使用JPG圖像壓縮的方法，減少對(duì)抗擾動(dòng)對(duì)準(zhǔn)確率的影響。實(shí)驗(yàn)證明該方法對(duì)部分對(duì)抗攻擊算法有效，但通常僅采用壓縮方法是遠(yuǎn)遠(yuǎn)不夠的，并且壓縮圖像時(shí)同時(shí)也會(huì)降低正常分類的準(zhǔn)確率，后來提出的PCA壓縮方法也有同樣的缺點(diǎn)。第三種是基于中央凹機(jī)制的防御可以防御L-BFGS和FGSM生成的對(duì)抗擾動(dòng)，其假設(shè)是圖像分布對(duì)于轉(zhuǎn)換變動(dòng)是魯棒的，而擾動(dòng)不具備這種特性。但這種方法的普遍性尚未得到證明。最后一類是數(shù)據(jù)隨機(jī)化方法，對(duì)訓(xùn)練圖像引入隨機(jī)重縮放可

【參考文獻(xiàn)】：
期刊論文
[1]圖像壓縮感知的目標(biāo)跟蹤多特征提取算法[J]. 徐華偉,顏晶晶.  計(jì)算機(jī)與數(shù)字工程. 2019(09)
[2]局部自適應(yīng)的灰度圖像彩色化[J]. 曹麗琴,商永星,劉婷婷,李治江,馬愛龍.  中國圖象圖形學(xué)報(bào). 2019(08)
[3]SVM參數(shù)優(yōu)化及其在儲(chǔ)集層評(píng)價(jià)中的應(yīng)用研究[J]. 任義麗,米蘭,馮周.  信息系統(tǒng)工程. 2019(07)
[4]基于LeNet-5卷積神經(jīng)網(wǎng)絡(luò)的車牌字符識(shí)別[J]. 趙艷芹,童朝娣,張恒.  黑龍江科技大學(xué)學(xué)報(bào). 2019(03)
[5]基于交叉驗(yàn)證的模型選擇中投票和平均方法的對(duì)照[J]. 侯利君.  數(shù)學(xué)的實(shí)踐與認(rèn)識(shí). 2019(09)
[6]基于雙線性插值的印刷圖像旋轉(zhuǎn)算法實(shí)現(xiàn)[J]. 李承軒,舒忠.  現(xiàn)代計(jì)算機(jī)(專業(yè)版). 2019(11)
[7]人工智能在汽車自動(dòng)駕駛系統(tǒng)中的應(yīng)用分析[J]. 晏欣煒,朱政澤,周奎,彭彬.  湖北汽車工業(yè)學(xué)院學(xué)報(bào). 2018(01)
[8]基本圖像處理算法的優(yōu)化過程研究[J]. 徐啟航,游安清,馬社,崔云俊.  計(jì)算機(jī)科學(xué). 2017(S1)

碩士論文
[1]基于DCT變換的對(duì)抗樣本防御方法研究[D]. 閆明.哈爾濱工業(yè)大學(xué) 2018
[2]基于特征抽取和分步回歸算法的資金流入流出預(yù)測(cè)模型[D]. 曹璨.中國科學(xué)技術(shù)大學(xué) 2017



本文編號(hào)：2901164