基于DCT变换的对抗样本防御方法研究

发布时间：2020-07-27 18:33

【摘要】：对抗样本是被恶意设计来攻击机器学习模型的添加了扰动或者噪声的样本,它们与真实样本看上去几乎是一模一样的,但是机器学习模型会给出完全不同于真实样本的错误结果。这种攻击可能会严重破坏深度学习模型支持的系统的安全,尤其是对安全性敏感的应用。在本文的工作中,本文首先表明基于DCT的图像表示对对抗性样本具有一定的鲁棒性。从这个发现出发,本文提出了基于DCT编码器和对抗训练的对抗性样本防御模型。通过在模型中添加DCT编码层,并由防御者人为地产生对抗性样本加入到训练数据中,可以有效地提高模型的对抗性鲁棒性。实验证明,与单纯使用对抗训练相比,结合DCT编码器和对抗训练的模型对基于FGSM、BIM和PGD的对抗性样本的防御效果都有一定的提升。尤其是结合DCT编码器和FGSM对抗训练的模型在计算效率和防御效果上产生了很好地平衡。这使得将这一模型运用在大规模数据集上来抵御对抗性样本成为可能。本文的主要贡献为:1、使用快速梯度符号法、基本迭代法和投影梯度下降法对数据集MNIST、CIFAR-10以及ImageNet进行攻击,研究了同一算法生成的对抗样本在相同数据集的不同模型中的泛化性。2、开发了一套针对对抗样本的实验展示平台,使用Django后端框架和vue.js前端框架使得前后端完全分离,通过直接上传或画板作画在线生成对抗样本并识别结果。3、通过对抗训练的防御性机制提高了模型抵御对抗样本的能力。并进一步提出了基于DCT变换的对抗样本防御方法。4、验证了基于DCT变换的对抗训练模型的较强对抗鲁棒性,提升了对基于快速梯度符号法、基本迭代法和投影梯度下降法的对抗样本的防御效果。制作了具有对抗鲁棒性的图像识别系统来直观地展示模型防御对抗样本的效果。
【学位授予单位】：哈尔滨工业大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP181;TP311.52
【图文】：

如图1-1 在熊猫的图片中加入一个微小的噪声，在人眼不易察觉的情况下使神经网络以高置信度分类为长臂猿。这对基于深度学习的应用领域安全性构成一定威胁，如对于人脸识别系统，攻击者通过对人脸图像做精心设计的扰动，使系统误认为是攻击者想要的用户身份；或者对于无人驾驶系统，稍微改动 STOP 标志使得深度神经网络识别为别的标志而不及时停车，造成交通事故。研究对抗样本的生成过程，分析基于深度学习的系统存在的安全漏洞，有助于建立针对此类攻击的更好的防范机制。图 1-1 左图被 57.7%地认为是大熊猫，加入扰动，右图被 99.3%地认为是长臂猿

哈尔滨工业大学工学硕士学位论文藏层都要选择一个激活函数 σ。激活函数负责值压缩到一个更小范围，即一个 Sigmoid 范围d 这三个激活函数比较常用 。应用激活函数让神经网络能够应用到众多的非线在物理意义上最为接近生物神经元。Sigmoid 而被人熟知，值域在 0 到 1 之间。Sigmoid 激念。它的导数是非零的，并且很容易计算。Sigm以看到其两侧导数趋近于 0，容易导致过拟合

导数是非零的，并且很容易计算。Si其两侧导数趋近于 0，容易导致过拟图 2-1 Sigmoid 激活函数坐标图完全可微分的奇函数。收敛速度要比可以看到两侧导数趋近于 0，从而造 ′ 1 2

【参考文献】

相关期刊论文 前1条

1 武瑛;;DCT变换在图像压缩中的应用[J];计算机与现代化;2013年04期

相关硕士学位论文 前1条

1 邹晓艺;基于变换域特征与深度学习的图像分类研究[D];华南理工大学;2015年

本文编号：2772211