基于插值法的對抗攻擊防御算法

范宇豪 張銘凱 夏仕冰

摘 ? 要：深度神經網絡（DNN）在預測過程中會受到對抗攻擊而輸出錯誤的結果，因此研究具有防御能力的新型深度學習算法， 對于提高神經網絡的魯棒性和安全性有重要的價值。文章主要研究應對對抗樣本攻擊的被動防御方法，提出基于插值法的對抗攻擊防御算法（Interpolation Defense Algorithm，IDA），實驗結果表明，本算法可以提高神經網絡對于對抗樣本的識別率。

關鍵詞：對抗樣本;防御算法;插值算法;機器學習

中圖分類號： TP309 ? ? ? ? ?文獻標識碼：A

Abstract： The deep neural network （DNN） will output wrong results in the process of prediction due to the adversarial attack. Therefore， it is of great value to study a new deep learning algorithm with defense capability to improve the robustness and security of the neural network. This paper mainly studies the passive defense method against adversarial attack， and proposes the Interpolation defense algorithm （hereinafter referred to as IDA） based on the Interpolation method. Experimental results show that the algorithm can improve the recognition rate of neural network against adversarial examples.

Key words： counter sample; defense algorithm; interpolation algorithm; machine learning

1 引言

近年來，深度學習在圖像識別領域發展迅速，神經網絡對一些特定數據集的識別能力已經超過了人類的水平，并且深度學習的快速學習能力可以給大數據領域的研究提供幫助。然而，近期研究表明，深度學習給人們生活帶來方便的同時也存在一定的安全問題。對抗樣本（Adversarial Examples）概念是Szegedy[1]等人在2014年首次提出，這一問題在神經網絡內部普遍存在。例如，在人臉識別系統中，通過有目標的攻擊來偽造面部信息，攻擊者能夠騙過識別系統，進行非法身份認證。在自動駕駛領域，如果交通指示牌被人為惡意篡改，會導致汽車的識別系統做出錯誤的判斷從而造成交通事故。因此，如何提高深度神經網絡的安全性成為我們迫切需要解決的問題。

面對毫無準備措施的神經網絡，對抗樣本的攻擊效果顯著，Szegedy[1]等人的文章表明只需要對樣本進行細微的調整就導致模型以高置信度給出一個錯誤的輸出，并且這種變化通常是像素級別，人工無法檢查出這種差別，使得對抗攻擊可以在人類不知不覺中完成。……