基于注意力排序的对抗样本防御系统及方法与流程

1.本发明涉及计算机攻防技术领域，尤其是涉及一种基于注意力排序的对抗样本防御系统及方法。


背景技术：

2.在现实生活中，图像经常被噪声所污染。噪声有许多来源，比如图像在传输过程中信道不稳定，系统设备不完善等。深度神经网络容易受到对抗性噪声的攻击，通过在输入中添加人类无法区分的细微扰动，产生对抗样本，从而欺骗神经网络以产生具有高概率的错误输出，这种威胁到深度学习应用的安全。
3.生成深度神经网络的对抗攻击有两种主要方法：基于符号梯度的方法和基于优化的方法，面对这些强大的攻击，如何防御攻击是至关重要的。
4.但是，现有对抗防御方法从数据预处理角度来看，在模型的训练过程中，需要较多的硬件资源和较长的时间消耗，也给测试环节带来了更多的时间消耗。


技术实现要素：

5.本发明的目的在于提供一种基于注意力排序的对抗样本防御系统及方法，该基于注意力排序的对抗样本防御系统能够解决现有技术中模型的训练过程中需要较多的硬件资源和较长的时间的消耗的问题，且针对攻击特点考虑了关键点的问题。
6.为了实现上述目的，本发明提供如下技术方案：
7.一种基于注意力排序的对抗样本防御方法，所述方法具体包括：
8.s101，预训练分类模型，得到对抗样本；
9.s102，对抗样本经过对抗样本防御模型的第一个模块离散余弦变换层进行预处理，消除部分攻击；
10.s103，特征图经过注意力模块，得到注意力权重；
11.s104，根据注意力权重，重新得到具有全局特征的特征向量。
12.s105，根据损失函数，训练网络，保存模型。
13.在上述技术方案的基础上，本发明还可以做如下改进：
14.进一步地，所述s101具体包括：
15.s1011，输入训练集的原始图像，通过预训练得到权重；
16.s1012，利用所述权重产生对抗样本。
17.进一步地，所述s102具体包括：
18.s1021,对抗样本经过第一个卷积层后，使用离散余弦变换(dct)；
19.s1022,在频域内使用设计的激活函数η(x)，消除部分攻击，η(x)如下：
[0020][0021]
s1023，利用逆离散余弦变换重新恢复到空间域，得到消除部分攻击的特征图。
[0022]
进一步地，所述s103具体包括：
[0023]
s1031，特征图依次经过四个残差块分别得到特征向量集合
[0024]
s1032，l4经过平均池化得到全局向量g，同时将ls,s∈{1，2，3}的维度映射为g的维度n；
[0025]
s1033，局部特征l
si
和全局特征g使用逐项相加的方式连接，通过学习一个fc映射将得到的特征映射为注意力权重c，计算注意力权重c定义为公式2；
[0026][0027]
其中，表示在每个残差块后提取的特征向量集合，其中 s∈{1,2,3}，表示特征向量集合ls中n个特征向量的第i个；g表示图7中全连接层输出的全局特征向量，和g的维度均为n。
[0028]
进一步地，所述s104具体包括：
[0029]
s1041，将特征图ls和预测的注意力图cs重塑为一维数组，分别由{ls(n)} 和{cs(n)}表示；其中，n＝h
×
w，{ls(n)}为通道大小为c的特征向量；
[0030]
s1042，从注意力图{cs(n)}中选择前k个值{cs(k)}，记录它们的点位置，从特征图{ls(n)}的这些位置提取特征点{ls(k)}；
[0031]
s1043，通过公式2计算基于关键点的全局向量gs；
[0032]gs
＝cs(k)e ls(k)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
公式3；
[0033]
其中e表示关键点{cs(k)}与特征图{ls(k)}的每个通道之间的内积。
[0034]
进一步地，所述s105具体包括：
[0035]
s1051，根据所述分类类别计算损失，反向传播更新模型权重，对所述模型进行微调，损失函数使用交叉熵损失函数定义为公式4；
[0036][0037]
s1052，加载测试集通过训练好的模型产生对抗样本，计算准确率对模型性能进行判评估，保存最优的模型权重。
[0038]
一种基于注意力排序的对抗样本防御系统，包括：
[0039]
该对抗样本防御系统对基础模型resnet18进行修改。整个系统分为三个模块：离散余弦变换激活模块、注意力模块和关键点排序模块。在第一层卷积层后引入了离散余弦变换(dct)激活层，以有效抑制基于梯度攻击的噪声模式。同时注意力模块和关键点排序模块中，基于注意力机制在特征图上动态地选择关键点进行分类，以减少其他被攻击像素点的影响。
[0040]
进一步地，所述离散余弦变换激活模块用于：
[0041]
对抗样本经过第一个卷积层后，使用离散余弦变换(dct)；
[0042]
在频域内使用设计的激活函数η(x)，消除部分攻击，η(x)如下：
[0043][0044]
利用逆离散余弦变换重新恢复到空间域，得到消除部分攻击的特征图。进一步地，
所述注意力模块用于：
[0045]
计算注意力权重之前将ls的维度映射为g的维度n；
[0046]
局部特征和全局特征g使用逐项相加的方式连接，通过学习一个fc 映射将得到的特征映射为注意力权重c，计算注意力权重c定义为公式2；
[0047][0048]
其中，表示在每个残差块后提取的特征向量集合，其中 s∈{1,2,3}，表示特征向量集合ls中n个特征向量的第i个；g表示图7中全连接层输出的全局特征向量，和g的维度均为n；计算注意力权重之前会将ls的维度映射为g的维度n。
[0049]
进一步地，所述关键点排序模块进一步用于：
[0050]
将特征图ls和预测的注意力图cs重塑为一维数组，分别由{ls(n)}和 {cs(n)}表示；其中，n＝h
×
w，{ls(n)}为通道大小为c的特征向量；
[0051]
从注意力图{cs(n)}中选择前k个值{cs(k)}，记录它们的点位置，从特征图{ls(n)}的这些位置提取特征点{ls(k)}；
[0052]
通过公式3计算基于关键点的全局向量gs；
[0053]gs
＝cs(k)e ls(k)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
公式3；
[0054]
其中e表示关键点{cs(k)}与特征图{ls(k)}的每个通道之间的内积。
[0055]
本发明具有如下优点：
[0056]
本发明中的基于注意力排序的对抗样本防御方法，引入的离散余弦变换激活层，一定程度上消除了部分对抗攻击，同时在白盒攻击者中有效抑制了梯度的反向传播。而残余的部分对抗性噪声通过注意力机制的动态关键点选择来消除，获得正确的分类结果。本发明提出的新的resnet18网络架构具有很好地防御对抗攻击的效果，解决了现有防御模型的训练过程中需要较多的硬件资源和较长的时间的消耗的问题，且在修改网络时考虑关键点的影响。
附图说明
[0057]
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0058]
图1为本发明实施例中对抗样本防御方法的流程图；
[0059]
图2为本发明实施例中s101的具体流程图；
[0060]
图3为本发明实施例中s102的具体流程图；
[0061]
图4为本发明实施例中s103的具体流程图；
[0062]
图5为本发明实施例中s104的具体流程图；
[0063]
图6为本发明实施例中s105的具体流程图；
[0064]
图7为本发明实施例中注意力排序的对抗样本防御网络框架示意图。
具体实施方式
[0065]
下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0066]
如图1所示，基于注意力排序的对抗样本防御方法，所述方法具体包括：
[0067]
s101，得到对抗样本；
[0068]
本步骤中，预训练分类模型，得到对抗样本；
[0069]
s102，将对抗样本进行预处理；
[0070]
本步骤中，对抗样本经过对抗样本防御模型的第一个模块离散余弦变换层进行预处理，消除部分攻击；
[0071]
s103，得到注意力权重；
[0072]
本步骤中，特征图经过注意力模块，得到注意力权重；
[0073]
s104，得到具有全局特征的特征向量；
[0074]
本步骤中，根据注意力权重，重新得到具有全局特征的特征向量。
[0075]
s105,根据损失函数，训练网络，保存模型。
[0076]
在卷积层引入离散余弦变换激活层，一定程度上消除了部分对抗攻击，同时在白盒攻击者中有效抑制了梯度的反向传播。而残余的部分对抗性噪声通过注意力机制的动态关键点选择来消除，获得正确的分类结果。本发明提出的新的resnet18网络架构具有很好地防御对抗攻击的效果。
[0077]
本发明提到的对抗攻击指的是：利用深度学习弊端破坏识别系统的方法可以统称为对抗攻击，即针对识别对象做出特殊改动，人的肉眼看不出来任何异样，但是会导致识别模型失灵。
[0078]
本发明提到的对抗样本指的是：在原始样本添加一些人眼无法察觉的扰动(这样的扰动不会影响人类的识别，但是却很容易愚弄模型)，致使机器做出错误的判断。
[0079]
本发明提到的对抗防御指的是：为了防御对抗攻击产生的一系列防御策略。
[0080]
本发明提到的注意力模型指的是：深度学习中的注意力模型从本质上讲和人类的选择性视觉注意力机制类似，核心目标是从众多信息中选择出对当前任务目标更关键的信息而抑制其他无用信息，提高信息处理的效率和准确性。
[0081]
本发明提到的离散余弦变换(dct)指的是：离散余弦变换是对实信号定义的一种变换，变换后在频域中得到的也是一个实信号。dct还有一个很重要的性质(能量集中特性)：大多书自然信号(声音、图像)的能量都集中在离散余弦变换后的低频部分，因而dct在(声音、图像)数据压缩中得到了广泛的使用。
[0082]
本发明提到的resnet18指的是：是深度学习中的一种神经网络结构。也叫深度残差网络，可以解决随着网络深度增加而出现的退化问题。其中的网络结构称为残差块。
[0083]
本发明提供了一种基于注意力关键点排序的对抗样本防御的方法，用于防御攻击，提高深度神经网络的鲁棒性。现有的方法加入外部模型对输入图像进行预处理，为更好防御攻击外部模型越来越复杂。而本发明通过修改网络的形式，采用在注意力图上选择关键点，以提高深度神经网络的鲁棒性，同时在网络中引入了离散余弦变换及激活函数，以有
效抑制基于梯度攻击的噪声模式。
[0084]
本发明受人眼分类图像和识别物体的启发，他们不会基于网格结构逐个像素地分析图像。相反，他们能够从图像中快速检测有判别力的关键点 (或对象部分)，从这些关键点中提取特征，以推断出图像分类或目标检测的决策。因此，本发明采用在注意力图上提取关键点，设计了一个新的网络架构来支持注意力机制的动态关键点选择，以提高深度学习网络的鲁棒性。同时，网络中引入了离散余弦变换及激活函数，以有效抑制基于梯度攻击的噪声模式。
[0085]
在上述技术方案的基础上，本发明还可以做如下改进：
[0086]
如图2所示，进一步地，所述s101具体包括：
[0087]
s1011，得到权重；
[0088]
本步骤中，输入训练集的原始图像，通过预训练得到权重；
[0089]
s1012，产生对抗样本；
[0090]
本步骤中，利用所述权重产生对抗样本用以训练鲁棒性网络。
[0091]
如图3所示，所述s102具体包括：
[0092]
s1021,对抗样本经过第一个卷积层后，使用离散余弦变换(dct)；
[0093]
s1022,在频域内使用设计的激活函数η(x)，消除部分攻击，η(x)如下：
[0094][0095]
s1023，利用逆离散余弦变换重新恢复到空间域，得到消除部分攻击的特征图。
[0096]
如图4所示，所述s103具体包括：
[0097]
s1031，特征图依次经过四个残差块分别得到特征向量集合
[0098]
s1032，l4经过平均池化得到全局向量g，同时将ls,s∈{1，2，3}的维度映射为g的维度n；
[0099]
s1033，局部特征和全局特征g使用逐项相加的方式连接，通过学习一个fc映射将得到的特征映射为注意力权重c，计算注意力权重c定义为公式2；
[0100][0101]
其中，表示在每个残差块后提取的特征向量集合，其中s∈{1,2,3}，表示特征向量集合ls中n个特征向量的第i个；g表示图7中全连接层输出的全局特征向量，和g的维度均为n。
[0102]
如图5所示，进一步地，所述s104具体包括：
[0103]
s1041，将特征图ls和预测的注意力图cs重塑为一维数组，分别由{ls(n)} 和{cs(n)}表示；其中，n＝h
×
w，{ls(n)}为通道大小为c的特征向量；
[0104]
s1042，从注意力图{cs(n)}中选择前k个值{cs(k)}，记录它们的点位置，从特征图{ls(n)}的这些位置提取特征点{ls(k)}；
[0105]
s1043，通过公式2计算基于关键点的全局向量gs；
[0106]gs
＝cs(k)e ls(k)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
公式3；
[0107]
其中e表示关键点{cs(k)}与特征图{ls(k)}的每个通道之间的内积。
[0108]
如图6所示，所述s105具体包括：s1051，根据所述分类类别计算损失，反向传播更新模型权重，对所述模型进行微调，损失函数使用交叉熵损失函数定义为公式4；
[0109][0110]
s1052，加载测试集通过训练好的模型产生对抗样本，计算准确率对模型性能进行判评估，保存最优的模型权重。
[0111]
本发明提出了一种新的模型算法，基于注意力排序的对抗样本防御方法，如图7所示。我们提出的基于注意力图上关键点排序的对抗防御网络带主要有两个主要思想：(1)在第一层卷积层后引入了离散余弦变换(dct) 激活层，以有效抑制基于梯度攻击的噪声模式。这一设计的动机是对抗性噪声卷积过程中被逐渐放大并导致错误的分类，也就是所说的误差放大效应，所以我们没有直接在原始图像进行dct变换。(2)为消除残余的对抗性噪声的干扰，我们基于注意力机制在特征图上动态地选择关键点进行分类，以减少其他被攻击像素点的影响。
[0112]
整个流程如下所述：图像x
*
首先由卷积层预处理，传递到离散余弦变换(dct)激活层，在此层中绝大部分对抗性噪声被破坏，然后通过逆离散余弦变换(idct)重新得到特征图x％。x％会继续进入resnet18的主干网络，如图中所示的4个残差层，令每个残差层的分别输出为l1,l2,l3,l4。l4经过平均池化后得到n维的特征向量g，它具有整个图像的全局信息。接下来，我们没有遵循resnet18的网络将全局向量g进行全连接，得到其分类类别。而是采用全局向量g分别与l1,l2,l3融合，得到判别权重c1,c2,c3，也就是注意力图。然后c1,c2,c3和l1,l2,l3分别进行关键点检测和排序，将其对应相乘得到了对应每个不同尺度的层的新的特征向量g1,g2,g3，g1,g2,g3拼接后进行全连接便可得到其分类类别。
[0113]
一种基于注意力排序的对抗样本防御系统，包括：
[0114]
该对抗样本防御系统对基础模型resnet18进行修改。整个系统分为三个模块：离散余弦变换激活模块、注意力模块和关键点排序模块。在第一层卷积层后引入了离散余弦变换(dct)激活层，以有效抑制基于梯度攻击的噪声模式。同时注意力模块和关键点排序模块中，基于注意力机制在特征图上动态地选择关键点进行分类，以减少其他被攻击像素点的影响。
[0115]
进一步地，所述离散余弦变换激活模块用于：
[0116]
对抗样本经过第一个卷积层后，使用离散余弦变换(dct)；
[0117]
在频域内使用设计的激活函数η(x)，消除部分攻击，η(x)如下：
[0118][0119]
利用逆离散余弦变换重新恢复到空间域，得到消除部分攻击的特征图。
[0120]
进一步地，所述注意力模块用于：
[0121]
计算注意力权重之前将ls的维度映射为g的维度n；
[0122]
局部特征和全局特征g使用逐项相加的方式连接，通过学习一个fc 映射将得到的特征映射为注意力权重c，计算注意力权重c定义为公式2；
[0123]
[0124]
其中，表示在每个残差块后提取的特征向量集合，其中 s∈{1,2,3}，表示特征向量集合ls中n个特征向量的第i个；g表示图7中全连接层输出的全局特征向量，和g的维度均为n；计算注意力权重之前会将ls的维度映射为g的维度n。
[0125]
所述关键点排序模块进一步用于：
[0126]
将特征图ls和预测的注意力图cs重塑为一维数组，分别由{ls(n)}和 {cs(n)}表示；其中，n＝h
×
w，{ls(n)}为通道大小为c的特征向量；
[0127]
从注意力图{cs(n)}中选择前k个值{cs(k)}，记录它们的点位置，从特征图{ls(n)}的这些位置提取特征点{ls(k)}；
[0128]
通过公式3计算基于关键点的全局向量；
[0129]gs
＝cs(k)e ls(k)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
公式3；
[0130]
其中e表示关键点{cs(k)}与特征图{ls(k)}的每个通道之间的内积。
[0131]
针对这些本发明所设计和使用的离散余弦变换(dct)激活层，注意力模块和关键点排序三部分详细介绍。
[0132]
1.离散余弦变换(dct)激活层
[0133]
在空间域中，对抗样本和原始图像在视觉上是非常相似的，所以将对抗性噪声与原始图像分离是非常困难的，传统的图像去噪通常将其转换为频域上来解决。因此，我们选择使用逐块的二维离散余弦变换(dct)[34]，其中二维离散余弦变换(dct)定义如下：
[0134][0135]
在此变换之后，图像的噪声在离散余弦变换结果中处在其高频部分，而高频部分的幅值一般很小。因此，设计了如下激活函数η(x)：
[0136][0137]
dct变换的图像传递激活函数η(x)后，一方面，对抗性噪声被部分去除；另一方面，它不容易被现有的白盒攻击方法攻击。这是因为大多数现有的白盒攻击都基于梯度反向传播，梯度无法通过离散余弦变换(dct) 激活层轻松传播。
[0138]
2.注意力模块
[0139]
记表示在每个残差块后提取的特征向量集合，其中 s∈{1,2,3}。表示特征向量集合ls中n个特征向量的第i个，g表示图7中全连接层输出的全局特征向量。局部特征和全局特征g使用逐项相加的方式连接，通过学习一个fc映射(即权重为u的fc层)将得到的特征映射为注意力权重c，则计算注意力权重c定义为
[0140][0141]
这里和g的维度均为n，因为对应不同的s特征向量的通道数不同，所以在计算注意力权重之前会将ls的维度映射为为g的维度n.
[0142]
因此，经过注意力模块会得到注意力权重注意力权重识别了显着
图像区域并放大其影响，同时抑制其他区域中不相关和可能混淆的信息。因此，此得分承担注意值的作用。
[0143]
3.关键点排序
[0144]
从生成的特征图中动态选择最具辨别力的特征点。选择过程是动态的，受输入条件的影响。对于不同的图像，选择的特征点会有所不同。
[0145]
经过网络注意力模块学习的注意力权重代表每个特征点的判别权重。具体来说，从大小为[w,h,c]的输入特征图ls中，它会通过注意力模块预测出一个相同空间大小[w,h]的注意力图cs，其中cs(i,j)表示特征ls(i,j)的注意力点。从特征图ls中，我们的目标是选择具有最高注意力 cs(i,j)的前k个特征点，重新得到新的全局向量。
[0146]
这个关键点检测和排序包括以下主要步骤：
[0147]
将特征图ls和预测的注意力图cs重塑为一维数组，分别由{ls(n)}和 {cs(n)}表示。这里，n＝h
×
w,{ls(n)}是通道大小为c的特征向量。
[0148]
从注意力图{cs(n)}中选择前k个值{cs(k)}，记录它们的点位置，从特征图{ls(n)}的这些位置提取特征点{ls(k)}。
[0149]
计算基于关键点的全局向量gs。
[0150]gs
＝cs(k)e ls(k).
[0151]
其中e表示关键点{cs(k)}与特征图{ls(k)}的每个通道之间的内积(重构为一维数组)。
[0152]
最后，我们使用交叉熵损失函数来训练修改后的网络。分别计算原始图像和对抗样本的损失，然后加和。
[0153][0154]
本发明设计了一个新的网络架构来支持注意力机制的动态关键点选择，以提高深度学习网络的鲁棒性。在网络中引入了离散余弦变换及激活函数，以有效抑制基于梯度攻击的噪声模式。
[0155]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0156]
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书的一个或多个实施例，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0157]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例
的部分说明即可。
[0158]
以上所述仅为本文件的实施例而已，并不用于限制本文件。对于本领域技术人员来说，本文件可以有各种更改和变化。凡在本文件的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本文件的权利要求范围之内。