123,123,123

基于图像降噪的集成对抗防御模型研究

网络安全与数据治理 8期

薛晨浩，杜金浩，刘泳锐，杨婧

（1. 国家计算机网络应急技术处理协调中心山西分中心，山西太原030002； 2.国家计算机网络应急技术处理协调中心，北京100083）

摘要： 深度学习的快速发展使其在图像识别、自然语言处理等诸多领域广泛应用。但是，学者发现深度神经网络容易受到对抗样本的欺骗，使其以较高置信度输出错误结果。对抗样本的出现给对安全性要求严格的系统带来很大威胁。研究了在低层特征（LowLevel Feature）和高层特征（HighLevel Feature）对图像进行降噪以提升模型防御性能。在低层训练一个降噪自动编码器，并采用集成学习的思路将自动编码器、高斯扰动和图像掩码重构等多种方式结合；高层对ResNet18作微小改动加入均值滤波。实验显示，所提出的方法在多个数据集的分类任务上有较好的防御性能。

關(guān)鍵詞： 对抗样本集成学习降噪自动编码器高层特征

中圖分類號：TP391
文獻標識碼：A
DOI:10.19358/j.issn.2097-1788.2023.08.011
引用格式：薛晨浩，杜金浩，劉泳銳，等.基于圖像降噪的集成對抗防御模型研究［J］.網(wǎng)絡安全與數(shù)據(jù)治理，2023，42（8）：66-71.

Research on integrated adversarial defense model based on image noise reduction

Xue Chenhao1，Du Jinhao2，Liu Yongrui1，Yang Jing1

(1National Computer Network Emergency Response Technical Team/Coordination Center of China（Shanxi）, Taiyuan 030002, China; 2National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100083, China)

Abstract： The rapid development of deep learning makes it widely used in many fields such as image recognition and natural language processing. However, scholars have found that deep neural networks are easily deceived by adversarial examples, making them output wrong results with a high degree of confidence. The emergence of adversarial examples poses a great threat to systems with strict security requirements. This paper denoises the image at the lowlevel (LowLevel Feature) and highlevel features (HighLevel Feature) to improve the defense performance of the model. At the lower layer, a denoising autoencoder is trained, and the idea of integrated learning is used to combine autoencoder, Gaussian perturbation, and image mask reconstruction; the upper layer makes minor changes to ResNet18 and adds mean filtering. Experimental results show that the method proposed in this paper has better performance on the classification task of multiple data sets.

Key words : adversarial examples; integrated learning; denoising autoencoders; highlevel features

0 引言

近年來隨著計算機硬件發(fā)展帶來的算力提升和數(shù)據(jù)量的爆炸性增長，深度學習在很多任務中如圖像分類、自然語言處理等方面表現(xiàn)十分出色。深度學習正以前所未有的規(guī)模被用于解決一些棘手的科學問題，例如DNA分析、腦回路重建、自動駕駛、藥物分析等。

但是隨著對深度學習研究的不斷深入，學者發(fā)現(xiàn)在深度學習強大的表現(xiàn)下也隱藏著巨大的安全隱患。2014年，Szegedy等人在研究中發(fā)現(xiàn)，通過添加微小的擾動，在人眼難以察覺到的情況下，可使深度學習模型以高置信度做出錯誤判斷。如圖1所示在給“山脈”加上擾動之后，DNN分類器以9439%的置信度將其識別為“狗”，給“河豚”添加擾動后，DNN分類器以100%置信度將其識別為“螃蟹”。這種通過在原始圖像上增加一些人眼難以察覺的輕微擾動使得深度學習模型產(chǎn)生錯誤判斷的樣本，稱為對抗樣本。

本文詳細內(nèi)容請下載：http://ihrv.cn/resource/share/2000005469

作者信息：

薛晨浩1，杜金浩2，劉泳銳1，楊婧1

（1. 國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心山西分中心，山西太原030002；2.國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心，北京100083）

微信圖片_20210517164139.jpg

原創(chuàng)聲明：此內(nèi)容為AET網(wǎng)站原創(chuàng)，未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容