本發(fā)明涉及對(duì)抗攻擊，具體涉及一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法。

背景技術(shù)：

1、近年來(lái)，深度學(xué)習(xí)模型在計(jì)算機(jī)視覺(jué)領(lǐng)域取得了令人矚目的成就，涵蓋了圖像分類、目標(biāo)檢測(cè)、人臉識(shí)別、自動(dòng)駕駛、醫(yī)學(xué)影像分析等多個(gè)應(yīng)用場(chǎng)景。這些技術(shù)不僅大幅提升了計(jì)算機(jī)對(duì)視覺(jué)任務(wù)的理解能力，也推動(dòng)了人工智能在各行各業(yè)的廣泛應(yīng)用。

2、然而，盡管深度學(xué)習(xí)模型在多個(gè)任務(wù)上表現(xiàn)出色，其對(duì)輸入數(shù)據(jù)的高度依賴也使得它們?cè)诿鎸?duì)對(duì)抗攻擊時(shí)顯得格外脆弱。攻擊者可以通過(guò)向輸入數(shù)據(jù)加入進(jìn)行精心設(shè)計(jì)的、人眼難以察覺(jué)的微小擾動(dòng)，使得基于深度學(xué)習(xí)的分類模型產(chǎn)生錯(cuò)誤的預(yù)測(cè)。隨著深度學(xué)習(xí)技術(shù)的不斷發(fā)展，人們?cè)絹?lái)越關(guān)注這種安全性問(wèn)題，尤其是當(dāng)這些模型被應(yīng)用于關(guān)鍵領(lǐng)域，如金融、醫(yī)療、自動(dòng)駕駛等，對(duì)抗攻擊可能導(dǎo)致嚴(yán)重的后果。

3、現(xiàn)有的對(duì)抗防御方法主要可以分為兩大類：

4、1)對(duì)抗訓(xùn)練：核心思想是將對(duì)抗樣本引入訓(xùn)練數(shù)據(jù)集，在目標(biāo)模型上繼續(xù)訓(xùn)練，使其學(xué)習(xí)對(duì)抗樣本的特征，從而提高目標(biāo)模型的魯棒性。對(duì)抗訓(xùn)練方法的不足主要有三方面：一是制作對(duì)抗樣本和訓(xùn)練對(duì)抗樣本都需要大量的算力和時(shí)間成本；二是利用對(duì)抗訓(xùn)練更改目標(biāo)模型的參數(shù)，可能會(huì)使模型對(duì)非對(duì)抗樣本的分類精度下降；三是大多數(shù)對(duì)抗訓(xùn)練方法只能防御已知類別的攻擊，而無(wú)法處理未知的威脅。

5、2)對(duì)抗凈化：該方法是在對(duì)抗樣本輸入目標(biāo)模型前，將其中的對(duì)抗擾動(dòng)去除，所以無(wú)需引入額外的數(shù)據(jù)，也無(wú)需重新訓(xùn)練目標(biāo)模型。且該方法使用的凈化模型是獨(dú)立于攻擊模型和目標(biāo)模型進(jìn)行訓(xùn)練的，所以具有防止未知類型對(duì)抗攻擊的能力。然而，如何獲得性能優(yōu)秀的凈化模型依然是一項(xiàng)具有研究意義的任務(wù)。

6、通過(guò)對(duì)現(xiàn)有防御對(duì)抗攻擊工作的分析可以看出，盡管目前針對(duì)特定攻擊方法的防御措施取得了顯著效果，能夠在一定程度上緩解對(duì)抗攻擊對(duì)深度神經(jīng)網(wǎng)絡(luò)模型安全構(gòu)成的威脅，但由于不同對(duì)抗攻擊的實(shí)施方式各異，無(wú)論是在數(shù)據(jù)層面還是模型層面，攻擊方法的多樣性使得同時(shí)應(yīng)對(duì)多種對(duì)抗攻擊仍然面臨巨大的挑戰(zhàn)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明提出了一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，以解決現(xiàn)有的對(duì)抗凈化方法難以對(duì)不確定的攻擊方式進(jìn)行凈化的技術(shù)問(wèn)題。

2、為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，包括以下步驟：

3、步驟s1：在去噪擴(kuò)散概率模型的前向過(guò)程中，將噪聲按t步逐漸加入到輸入的圖像中；

4、步驟s2：利用去噪擴(kuò)散概率模型的反向過(guò)程，采用與加入噪聲過(guò)程的反向步驟相匹配的方法逐步去除噪聲，得到凈化后的圖像。

5、優(yōu)選地，步驟s1中所述噪聲為高斯混合噪聲。

6、優(yōu)選地，步驟s1中，所述高斯混合噪聲通過(guò)若干個(gè)不同均值和方差的高斯分布的線性組合生成。

7、優(yōu)選地，步驟s1中，將噪聲按t步逐漸加入到輸入的圖像中，直到圖像變成符合高斯正態(tài)分布的純隨機(jī)噪聲圖像。

8、優(yōu)選地，去噪擴(kuò)散概率模型為基于深度神經(jīng)網(wǎng)絡(luò)的概率模型。

9、優(yōu)選地，所述深度神經(jīng)網(wǎng)絡(luò)包括卷積層、反卷積層和全連接層。

10、優(yōu)選地，所述深度神經(jīng)網(wǎng)絡(luò)通過(guò)監(jiān)督學(xué)習(xí)或無(wú)監(jiān)督學(xué)習(xí)方式對(duì)圖像進(jìn)行加噪操作和去噪操作。

11、優(yōu)選地，步驟s1中，輸入的圖像包括干凈圖像和/或帶有擾動(dòng)的對(duì)抗圖像。

12、優(yōu)選地，所述對(duì)抗圖像的來(lái)源包括：基于梯度信息的白盒攻擊、黑盒攻擊、快速梯度符號(hào)攻擊fgsm、投影梯度下降pgd和對(duì)抗樣本生成算法deepfool。

13、優(yōu)選地，將步驟s2凈化后的圖像輸出分類器進(jìn)行分類，以判斷對(duì)抗凈化效果。

14、本發(fā)明的有益效果至少包括：本發(fā)明是一種即插即用的對(duì)抗凈化方法，可以與現(xiàn)有的深度學(xué)習(xí)模型直接集成。在實(shí)際應(yīng)用中，本發(fā)明作為預(yù)處理模塊，在數(shù)據(jù)輸入階段對(duì)圖像進(jìn)行凈化處理，幫助深度學(xué)習(xí)模型更好地應(yīng)對(duì)對(duì)抗攻擊。該方案的實(shí)現(xiàn)不需要對(duì)目標(biāo)模型結(jié)構(gòu)進(jìn)行改動(dòng)，因此在實(shí)際部署中具有較高的可操作性；本發(fā)明的技術(shù)方案具有良好的可擴(kuò)展性，可以根據(jù)不同的應(yīng)用需求進(jìn)行調(diào)整和優(yōu)化，如與其他防御機(jī)制(如對(duì)抗訓(xùn)練、模型正則化等)結(jié)合使用，進(jìn)一步提升整體防御能力；作為附加技術(shù)特征，本發(fā)明結(jié)合了高斯混合噪聲模型與擴(kuò)散模型的優(yōu)勢(shì)，能夠更精確地模擬和去除圖像中的多種復(fù)雜噪聲。通過(guò)采用多種高斯分布的混合噪聲，本發(fā)明在處理多種對(duì)抗威脅時(shí)展現(xiàn)出更強(qiáng)的適應(yīng)性和魯棒性。

技術(shù)特征：

1.一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：包括以下步驟：

2.根據(jù)權(quán)利要求1所述的一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：步驟s1中所述噪聲為高斯混合噪聲。

3.根據(jù)權(quán)利要求2所述的一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：步驟s1中，所述高斯混合噪聲通過(guò)若干個(gè)不同均值和方差的高斯分布的線性組合生成。

4.根據(jù)權(quán)利要求3所述的一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：步驟s1中，將噪聲按t步逐漸加入到輸入的圖像中，直到圖像變成符合高斯正態(tài)分布的純隨機(jī)噪聲圖像。

5.根據(jù)權(quán)利要求1所述的一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：去噪擴(kuò)散概率模型為基于深度神經(jīng)網(wǎng)絡(luò)的概率模型。

6.根據(jù)權(quán)利要求5所述的一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：所述深度神經(jīng)網(wǎng)絡(luò)包括卷積層、反卷積層和全連接層。

7.根據(jù)權(quán)利要求6所述的一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：所述深度神經(jīng)網(wǎng)絡(luò)通過(guò)監(jiān)督學(xué)習(xí)或無(wú)監(jiān)督學(xué)習(xí)方式對(duì)圖像進(jìn)行加噪操作和去噪操作。

8.根據(jù)權(quán)利要求1所述的一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：步驟s1中，輸入的圖像包括干凈圖像和/或帶有擾動(dòng)的對(duì)抗圖像。

9.根據(jù)權(quán)利要求8所述的一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：所述對(duì)抗圖像的來(lái)源包括：基于梯度信息的白盒攻擊、黑盒攻擊、快速梯度符號(hào)攻擊fgsm、投影梯度下降pgd和對(duì)抗樣本生成算法deepfool。

10.根據(jù)權(quán)利要求1所述的一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，其特征在于：將步驟s2凈化后的圖像輸出分類器進(jìn)行分類，以判斷對(duì)抗凈化效果。

技術(shù)總結(jié)
本發(fā)明提供了一種基于去噪擴(kuò)散概率模型的對(duì)抗凈化方法，包括以下步驟：在去噪擴(kuò)散概率模型的前向過(guò)程中，將噪聲按T步逐漸加入到輸入的圖像中；利用去噪擴(kuò)散概率模型的反向過(guò)程，采用與加入噪聲過(guò)程的反向步驟相匹配的方法逐步去除噪聲，得到凈化后的圖像。是一種即插即用的對(duì)抗凈化方法，可以與現(xiàn)有的深度學(xué)習(xí)模型直接集成。在實(shí)際應(yīng)用中，本發(fā)明作為預(yù)處理模塊，在數(shù)據(jù)輸入階段對(duì)圖像進(jìn)行凈化處理，幫助深度學(xué)習(xí)模型更好地應(yīng)對(duì)對(duì)抗攻擊。該方案的實(shí)現(xiàn)不需要對(duì)目標(biāo)模型結(jié)構(gòu)進(jìn)行改動(dòng)，因此在實(shí)際部署中具有較高的可操作性。

技術(shù)研發(fā)人員：胡文華,李永波,向劍文,王夢(mèng)杰,周俊偉,田璟
受保護(hù)的技術(shù)使用者：武漢理工大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/15