基于平滑神经网络模型权重损失地形的鲁棒性提升方法

技术领域

本发明属于网络空间安全中的人工智能安全领域，具体涉及一种基于平滑神经网络模型权重损失地形的对抗鲁棒性提升方法。

背景技术

深度神经网络模型作为人工智能的核心技术被广泛应用在现实世界的场景和应用中，它在许多任务中取得的先进的性能，但是Szegedy C等人研究发现，深度神经网络模型在对抗样本面前非常的脆弱，这给它在安全敏感的系统中的应用带来了巨大挑战。因此，在对抗环境下，构建更可信、更鲁棒的深度神经网络模型势在必行。

先前的一系列的工作已经提出了许多防御方法来抵御对抗攻击，但是许多的防御方法要么提供了很少的鲁棒性改善，要么已经被新的攻击方法所攻破。迄今为止，对抗机器学习社区公认的最强的一阶防御方法是对抗训练(adversarial training,AT)。

Aleksander Madry等人提出使用投影梯度下降(projected gradient descent,PGD)攻击来进行对抗训练，并将对抗训练形式化成一个min-max优化问题取得了相对杰出对抗鲁棒性，但是它的对抗鲁棒性由于巨大的鲁棒泛化差距远远不能令人满意。除此之外，近来的Eric Wong等人的研究表明，深度神经网络模型的对抗训练有一个性质，那就是“鲁棒过拟合”是一个占主导地位的现象。鲁棒过拟合现象是导致对抗鲁棒性不尽如人意一个重要因素。因此，如何解决鲁棒泛化差距大和鲁棒过拟合是当前需要解决的首要问题，是进一步提升对抗训练方法对抗鲁棒性的关键途径。

发明内容

本发明的目的在于提供一种基于平滑神经网络模型权重损失地形的鲁棒性提升方法，在对抗的环境下提升神经网络模型的对于对抗样本的鲁棒性。本发明将平滑深度神经网络模型权重损失地形的策略引入到对抗训练框架中，注入输入样本和模型权重参数最坏情况下的扰动，形成输入样本和模型权重参数都被扰动的双扰动机制，该双扰动机制直接约束权重损失地形的平坦度，使得深度神经网络模型在对抗训练过程中更容易收敛到平坦的极小值，在对抗训练框架下平坦的极小值对应的模型鲁棒泛化的更好，不容易出现鲁棒过拟合现象，因此本发明改善了对抗训练框架下的鲁棒泛化差距大和鲁棒过拟合的问题，进一步提升了神经网络模型的对抗鲁棒性。

本发明的技术方案是：

一种基于平滑神经网络模型权重损失地形的鲁棒性提升方法，通过将平滑深度神经网络模型权重损失地形的策略引入到对抗训练框架中，注入输入样本和模型权重参数最坏情况下的扰动，形成输入样本和模型权重参数均被扰动的双扰动机制，包括如下步骤：

步骤1、利用PGD攻击方法生成对抗样本；

步骤2、生成模型权重参数θ的扰动向量Δ

步骤3、最小化对抗损失来更新模型的权重参数θ；

步骤4、迭代步骤1、2、3直到模型权重参数θ收敛或者达到预定的训练迭代次数，返回保存模型的权重参数θ；

步骤5、使用步骤4获得的模型权重参数θ对模型进行鲁棒性测试。

具体地：

步骤1、从训练数据集D采样小批量

其中x

步骤2、初始化模型f的权重参数θ的扰动向量

步骤3、计算神经网络模型f的损失函数对于模型的权重参数θ的梯度，最小化对抗损失进行梯度下降来更新模型的权重参数θ，具体如公式(3)所示：

计算梯度：

更新模型的权重参数：θ

步骤4、迭代步骤1、2、3直到模型权重参数θ收敛或者达到预定的训练迭代次数，返回保存模型的权重参数θ，以上三个步骤的过程可以形成输入样本和模型权重参数都被扰动的双扰动机制，该双扰动机制直接约束权重损失地形的平坦度，使得深度神经网络模型在训练过程中更容易收敛到平坦的极小值，具体的概括形式如公式(4)所示：

其中

步骤5、使用步骤4获得的模型权重参数对模型进行鲁棒性测试。

进一步地，步骤2，如果||Δ

计算梯度：

更新扰动向量：

如果||Δ

本发明具有以下特点：

1、本发明通过将平滑深度神经网络模型权重损失地形的策略引入到对抗训练框架中，形成输入样本和模型权重参数都被扰动的双扰动机制，该双扰动机制直接约束权重损失地形的平坦度，使得深度神经网络模型在对抗训练过程中更容易收敛到平坦的极小值。

2、相较于原生对抗训练方法，本发明平滑深度神经网络模型权重损失地形使得模型在对抗训练过程中更容易收敛到平坦的极小值，进一步改善了原生对抗训练的鲁棒泛化差距大和鲁棒过拟合问题，提升了模型对于对抗样本的鲁棒性。

3、本发明在对抗训练框架中注入输入样本和模型权重参数最坏情况下的扰动，建立双扰动机制的策略提升模型的鲁棒性是通用的，跨不同的数据集，不同的神经网络架构，不同的对抗样本的威胁模型，不同的对抗攻击算法。

附图说明

图1是本发明实施例的流程图；

图2是原生PGD对抗训练测试鲁棒泛化差距柱状图；

图3是加入双扰动机制的PGD对抗训练测试鲁棒泛化差距柱状图；

图4是SVHN数据集上的测试鲁棒精确度曲线图；

图5是CIFAR-10数据集上的测试鲁棒精确度曲线图；

图6是CIFAR-100数据集上的测试鲁棒精确度曲线图。

具体实施方式

下面通过附图和实施例对本发明作进一步描述。

一种基于平滑神经网络模型权重损失地形的鲁棒性提升方法，图1展示了本发明实施例的流程图，通过将平滑深度神经网络模型权重损失地形的策略引入到对抗训练框架中，注入输入样本和模型权重参数最坏情况下的扰动，形成输入样本和模型权重参数均被扰动的双扰动机制，该双扰动机制直接约束权重损失地形的平坦度，使得深度神经网络模型在对抗训练过程中更容易收敛到平坦的极小值，在对抗训练框架下平坦的极小值对应的模型具有更好的对抗鲁棒性，使用SVHN、CIFAR-10和CIFAR-100三个基准数据集，ResNet-18和WideResNet34-10两种神经网络模型，L

步骤1、利用PGD攻击方法生成对抗样本；

步骤2、生成模型权重参数θ的扰动向量Δ

步骤3、最小化对抗损失来更新模型的权重参数θ；

步骤4、迭代步骤1、2、3直到模型权重参数θ收敛或者达到预定的训练迭代次数，返回保存模型的权重参数θ；

步骤5、使用步骤4获得的模型权重参数θ对模型进行鲁棒性测试。

具体地：

步骤1、从训练数据集D采样小批量

其中x

步骤2、初始化模型f的权重参数θ的扰动向量

计算梯度：

更新扰动向量：

如果||Δ

步骤3、计算神经网络模型f的损失函数对于模型的权重参数θ的梯度，最小化对抗损失进行梯度下降来更新模型的权重参数θ，具体如公式(3)所示：

计算梯度：

更新模型的权重参数：θ

步骤4、迭代步骤1、2、3直到模型权重参数θ收敛或者达到预定的训练迭代次数，返回保存模型的权重参数θ，以上三个步骤的过程可以形成输入样本和模型权重参数都被扰动的双扰动机制，该双扰动机制直接约束权重损失地形的平坦度，使得深度神经网络模型在训练过程中更容易收敛到平坦的极小值，具体的概括形式如公式(4)所示：

其中

步骤5、使用步骤4获得的模型权重参数θ对模型进行鲁棒性测试。

本发明通过将平滑深度神经网络模型权重损失地形的策略引入到对抗训练框架中，注入输入样本和模型权重参数最坏情况下的扰动，形成输入样本和模型权重参数均被扰动的双扰动机制，该双扰动机制直接约束权重损失地形的平坦度，使得深度神经网络模型在对抗训练过程中更容易收敛到平坦的极小值，在对抗训练框架下平坦的极小值对应的模型具有更好的对抗鲁棒性。

表1为原生的PGD对抗训练和加入双扰动机制的PGD对抗训练使用ResNet-18神经网络模型在SVHN、CIFAR-10、CIFAR-100三个基准数据集的L

图2是原生PGD对抗训练测试鲁棒泛化差距柱状图，图3是加入双扰动机制的PGD对抗训练测试鲁棒泛化差距柱状图，对比图2和图3可以看出双扰动机制的加入很好的缩小了对抗训练中的鲁棒泛化差距大的问题，使得模型取得了更高的鲁棒精确度。图4、图5、图6分别是SVHN、CIFAR-10、CIFAR-100数据集上的测试鲁棒精确度曲线图，观察三者可以明显的发现在三个不同的基准数据集上，对抗训练中双扰动机制的加入一致地改善了原生对抗训练中学习率衰减后出现的鲁棒过拟合现象，使得原生对抗训练随着迭代次数地增加，鲁棒精确度进一步得到提升。

表2为原生的PDG对抗训练防御和基于对抗训练框架的改进防御方法在加入双扰动机制后的实验结果，其中的各种防御方法使用WideResNet34-10神经网络模型在CIFAR-10基准数据集的L

表1

表2

综上，本发明提出了一种基于平滑神经网络模型权重损失地形的鲁棒性提升方法，通过将平滑深度神经网络模型权重损失地形的策略引入到对抗训练框架中，注入输入样本和模型权重参数最坏情况下的扰动，形成输入样本和模型权重参数均被扰动的双扰动机制，该双扰动机制直接约束权重损失地形的平坦度，使得深度神经网络模型在对抗训练过程中更容易收敛到平坦的极小值，进一步改善了对抗训练框架中的鲁棒泛化差距大和鲁棒过拟合问题，在保持神经网络模型在正常样本上精确度不降低的情况下，提升了神经网络模型的对抗鲁棒精确度。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，任何未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。