一種針對對抗攻擊的協(xié)同防御策略和系統(tǒng) 技術(shù)領(lǐng)域 [0001] 本發(fā)明涉及人工智能安全技術(shù)領(lǐng)域，尤其涉及一種針對對抗攻擊的協(xié)同防御策略和系統(tǒng)。 背景技術(shù) [0002] 近十幾年來，人工智能技術(shù)在各個領(lǐng)域的應(yīng)用近年來發(fā)展迅速，已經(jīng)深入到每一個人的生活當中。而深度神經(jīng)網(wǎng)絡(luò)作為人工智能領(lǐng)域的重要分支，也在許多領(lǐng)域取得了巨大成功。深度神經(jīng)網(wǎng)絡(luò)已經(jīng)被廣泛應(yīng)用到許多重要系統(tǒng)中，例如計算機視覺、語音識別、自然語言處理、生物信息學、自動駕駛、人臉識別、交通監(jiān)控、醫(yī)學圖像處理和專家系統(tǒng)等。 [0003] 深度學習在各個領(lǐng)域中有著令人深刻的表現(xiàn)，然而，研究人員發(fā)現(xiàn)，深度神經(jīng)網(wǎng)絡(luò)極易受到對抗樣本的攻擊。對抗樣本是對原始數(shù)據(jù)進行精心設(shè)計的微小修改，使得基于深度神經(jīng)網(wǎng)絡(luò)的模型對其輸出錯誤的結(jié)果，從而可能產(chǎn)生潛在的災(zāi)難性后果。這些擾動通常是人類肉眼無法察覺的，但是分類模型會以一個高置信度輸出一個錯誤結(jié)果。 [0004] 在對抗樣本的防御研究中，主要包括魯棒性防御和檢測性防御兩種方法。魯棒性防御的目的是使得模型正確分類對抗樣本，然而，魯棒性防御方法大多時間消耗較高、分類性能較差，難以同時防御多種攻擊算法，并且在防御時還會降低推理模型對干凈樣本的分類準確率。檢測性防御致力于將真實樣本和對抗樣本區(qū)分開，雖然時間消耗較低，但是，在很多應(yīng)用場景中，僅僅檢測出對抗樣本是不夠的，還需要知道對抗樣本的真實分類。例如，在智能駕駛中，如果安全系統(tǒng)只是檢測出路邊的限速標志為對抗樣本，盲目停車是很危險的，此時如果能識別出對抗樣本真實的分類，則可以避免很多事故的發(fā)生。 [0005] 針對現(xiàn)有對抗樣本防御方法防御能力不足、時間消耗過高等問題，迫切需要提出一種適用于實際應(yīng)用場景的具有較低時間消耗且能有效防御多種類型對抗樣本的防御方法。 發(fā)明內(nèi)容 [0006] （一）解決的技術(shù)問題 [0007] 為解決背景技術(shù)中存在的技術(shù)問題，本發(fā)明提出一種針對對抗攻擊的協(xié)同防御策略和系統(tǒng)。該方法結(jié)合了檢測性防御和魯棒性防御的優(yōu)點，時間消耗低，能使模型正確分類對抗樣本且?guī)缀醪粫绊懜蓛魳颖镜姆诸惥龋m合部署在實際應(yīng)用場景中。 [0008] （二）技術(shù)方案 [0009] 本發(fā)明提供了一種針對對抗攻擊的協(xié)同防御策略和系統(tǒng)。 [0010] 具體地，本發(fā)明是通過如下技術(shù)方案實現(xiàn)的。 [0011] 根據(jù)本發(fā)明實施例的第一方面，提供一種針對對抗攻擊的協(xié)同防御策略，包括： [0012] 訓練對抗樣本檢測器；其中，在所述對抗樣本檢測器的訓練過程中，依據(jù)二分類判別網(wǎng)絡(luò)與原始數(shù)據(jù)、噪聲數(shù)據(jù)進行聯(lián)合訓練；所述二分類判別網(wǎng)絡(luò)的基礎(chǔ)部分是一個二分類的判別網(wǎng)絡(luò)，在判別網(wǎng)絡(luò)上，使用原始數(shù)據(jù)、噪聲數(shù)據(jù)共同訓練網(wǎng)絡(luò)模型；所述噪聲數(shù)據(jù)包括帶有隨機噪聲的數(shù)據(jù)和不同對抗攻擊算法所生成的對抗樣本； [0013] 獲取待處理圖像； [0014] 依據(jù)訓練好的對抗樣本檢測器，對所述待處理圖像進行對抗樣本檢測，得到檢測結(jié)果； [0015] 依據(jù)所述的檢測結(jié)果，若檢測結(jié)果為“否”，則直接將所述待處理圖像交給目標深度神經(jīng)網(wǎng)絡(luò)進行圖像分類； [0016] 依據(jù)所述的檢測結(jié)果，若檢測結(jié)果為“是”，對所述待處理圖像進行神經(jīng)網(wǎng)絡(luò)關(guān)注區(qū)域的獲??；其中，在所述關(guān)注區(qū)域的獲取過程中，依據(jù)魯棒類激活映射技術(shù)的可視化結(jié)果； [0017] 依據(jù)所述的關(guān)注區(qū)域進行去噪處理，得到去噪圖像； [0018] 依據(jù)所述去噪圖像進行超分辨率重建，得到恢復(fù)圖像； [0019] 依據(jù)所述恢復(fù)圖像送入目標深度神經(jīng)網(wǎng)絡(luò)進行圖像分類。 [0020] 根據(jù)本發(fā)明實施例的第二方面，提供一種針對對抗攻擊的協(xié)同防御系統(tǒng)，包括：前端采集設(shè)備和后端處理設(shè)備；其中： [0021] 所述前端采集設(shè)備用于進行圖像采集； [0022] 所述后端處理設(shè)備包括檢測性防御設(shè)備，魯棒性防御設(shè)備和目標深度神經(jīng)網(wǎng)絡(luò)； [0023] 所述檢測性防御設(shè)備，用于獲取所述前端采集設(shè)備采集的圖像； [0024] 所述檢測性防御設(shè)備，還用于依據(jù)訓練好的對抗樣本檢測器對所述采集的圖像進行對抗樣本檢測，得到檢測結(jié)果；其中，在所述對抗樣本檢測器的訓練過程中，依據(jù)二分類判別網(wǎng)絡(luò)與原始數(shù)據(jù)、噪聲數(shù)據(jù)進行聯(lián)合訓練;所述二分類判別網(wǎng)絡(luò)的基礎(chǔ)部分是一個二分類的判別網(wǎng)絡(luò)，在判別網(wǎng)絡(luò)上，使用原始數(shù)據(jù)、噪聲數(shù)據(jù)共同訓練網(wǎng)絡(luò)模型；所述噪聲數(shù)據(jù)包括帶有隨機噪聲的數(shù)據(jù)和不同對抗攻擊算法所生成的對抗樣本； [0025] 所述魯棒性設(shè)備，用于獲取所述檢測性設(shè)備對所述采集的圖像的檢測結(jié)果；

1.一種針對對抗攻擊的協(xié)同防御策略，其特征在于：包括以下步驟： S1：預(yù)訓練魯棒性較好的對抗樣本檢測器；其中，在所述對抗樣本檢測器的訓練過程中，依據(jù)二分類判別網(wǎng)絡(luò)與原始數(shù)據(jù)、噪聲數(shù)據(jù)進行聯(lián)合訓練；所述二分類判別網(wǎng)絡(luò)的基礎(chǔ)部分是一個二分類的判別網(wǎng)絡(luò)，在判別網(wǎng)絡(luò)上，使用原始數(shù)據(jù)、噪聲數(shù)據(jù)共同訓練網(wǎng)絡(luò)模型；所述噪聲數(shù)據(jù)包括帶有隨機噪聲的數(shù)據(jù)和不同對抗攻擊算法所生成的對抗樣本； S2：獲取待處理圖像； S3：依據(jù)所述魯棒性較好的對抗樣本檢測器，對所述待處理圖像進行對抗樣本檢測，得到檢測結(jié)果； S4：依據(jù)所述的檢測結(jié)果，若檢測結(jié)果為“否”，則直接將所述待處理圖像交給目標深度神經(jīng)網(wǎng)絡(luò)進行圖像分類； S5：依據(jù)所述的檢測結(jié)果，若檢測結(jié)果為“是”，對所述待處理圖像進行神經(jīng)網(wǎng)絡(luò)關(guān)注區(qū)域的獲?。黄渲兴鲫P(guān)注區(qū)域的獲取過程參照了類激活映射技術(shù)；所述類激活映射技術(shù)，是一個可以可視化神經(jīng)網(wǎng)絡(luò)對分類圖片關(guān)注區(qū)域的工具，通常，類激活映射技術(shù)獲得的是模型為其分配最高概率的類的映射，然而，在輸入存在對抗性擾動的情況下，得到最高概率的類別可能不正確，考慮到成功改變最有可能的類的對抗樣本往往會保持前k類的其他類不變，因此所述關(guān)注區(qū)域的計算過程如下： 對于某張輸入圖片，令 表示最后一個卷積層在空間坐標 中第k個單元的激活值；對于第k個單元，全局池化的結(jié)果 為 ；對于每個類別，Softmax層的輸入為 ，其中 是第k個單元對于類別c的權(quán)重， 表示的是 對類別c的重要程度，將代入 得：? = ，定義 為類別c的類激活映射，則空間的每個元素為 = ，為了獲得對最可能類的波動具有魯棒性的映射，對前k個類的映射 進行指數(shù)加權(quán)平均，?得： = ,k的類別取決于類別總值，使用非極大值抑制來避免近乎重疊的觀測結(jié)果，再將得到的局部極大值進二值化處理，最后通過閾值化技術(shù)得到所述關(guān)注區(qū)域； S6：依據(jù)所述的關(guān)注區(qū)域進行去噪處理，得到去噪圖像； S7：依據(jù)所述去噪圖像進行超分辨率重建，得到恢復(fù)圖像； S8：依據(jù)所述恢復(fù)圖像送入目標深度神經(jīng)網(wǎng)絡(luò)進行圖像分類。 2.根據(jù)權(quán)利要求1所述的一種針對對抗攻擊的協(xié)同防御策略，其特征在于，所述步驟S1在所述檢測器的訓練過程中，使用原始數(shù)據(jù)和噪聲數(shù)據(jù)共同訓練網(wǎng)絡(luò)模型，通過設(shè)置的判別目標函數(shù)持續(xù)對網(wǎng)絡(luò)進行優(yōu)化訓練，提高判別網(wǎng)絡(luò)的檢測能力。