【摘要】：對抗樣本是被惡意設(shè)計來攻擊機器學習模型的添加了擾動或者噪聲的樣本,它們與真實樣本看上去幾乎是一模一樣的,但是機器學習模型會給出完全不同于真實樣本的錯誤結(jié)果。這種攻擊可能會嚴重破壞深度學習模型支持的系統(tǒng)的安全,尤其是對安全性敏感的應(yīng)用。在本文的工作中,本文首先表明基于DCT的圖像表示對對抗性樣本具有一定的魯棒性。從這個發(fā)現(xiàn)出發(fā),本文提出了基于DCT編碼器和對抗訓練的對抗性樣本防御模型。通過在模型中添加DCT編碼層,并由防御者人為地產(chǎn)生對抗性樣本加入到訓練數(shù)據(jù)中,可以有效地提高模型的對抗性魯棒性。實驗證明,與單純使用對抗訓練相比,結(jié)合DCT編碼器和對抗訓練的模型對基于FGSM、BIM和PGD的對抗性樣本的防御效果都有一定的提升。尤其是結(jié)合DCT編碼器和FGSM對抗訓練的模型在計算效率和防御效果上產(chǎn)生了很好地平衡。這使得將這一模型運用在大規(guī)模數(shù)據(jù)集上來抵御對抗性樣本成為可能。本文的主要貢獻為:1、使用快速梯度符號法、基本迭代法和投影梯度下降法對數(shù)據(jù)集MNIST、CIFAR-10以及ImageNet進行攻擊,研究了同一算法生成的對抗樣本在相同數(shù)據(jù)集的不同模型中的泛化性。2、開發(fā)了一套針對對抗樣本的實驗展示平臺,使用Django后端框架和vue.js前端框架使得前后端完全分離,通過直接上傳或畫板作畫在線生成對抗樣本并識別結(jié)果。3、通過對抗訓練的防御性機制提高了模型抵御對抗樣本的能力。并進一步提出了基于DCT變換的對抗樣本防御方法。4、驗證了基于DCT變換的對抗訓練模型的較強對抗魯棒性,提升了對基于快速梯度符號法、基本迭代法和投影梯度下降法的對抗樣本的防御效果。制作了具有對抗魯棒性的圖像識別系統(tǒng)來直觀地展示模型防御對抗樣本的效果。
【學位授予單位】：哈爾濱工業(yè)大學
【學位級別】：碩士
【學位授予年份】：2018
【分類號】：TP181;TP311.52
【圖文】：

如圖1-1 在熊貓的圖片中加入一個微小的噪聲，在人眼不易察覺的情況下使神經(jīng)網(wǎng)絡(luò)以高置信度分類為長臂猿。這對基于深度學習的應(yīng)用領(lǐng)域安全性構(gòu)成一定威脅，如對于人臉識別系統(tǒng)，攻擊者通過對人臉圖像做精心設(shè)計的擾動，使系統(tǒng)誤認為是攻擊者想要的用戶身份；或者對于無人駕駛系統(tǒng)，稍微改動 STOP 標志使得深度神經(jīng)網(wǎng)絡(luò)識別為別的標志而不及時停車，造成交通事故。研究對抗樣本的生成過程，分析基于深度學習的系統(tǒng)存在的安全漏洞，有助于建立針對此類攻擊的更好的防范機制。圖 1-1 左圖被 57.7%地認為是大熊貓，加入擾動，右圖被 99.3%地認為是長臂猿

哈爾濱工業(yè)大學工學碩士學位論文藏層都要選擇一個激活函數(shù) σ。激活函數(shù)負責值壓縮到一個更小范圍，即一個 Sigmoid 范圍d 這三個激活函數(shù)比較常用 。應(yīng)用激活函數(shù)讓神經(jīng)網(wǎng)絡(luò)能夠應(yīng)用到眾多的非線在物理意義上最為接近生物神經(jīng)元。Sigmoid 而被人熟知，值域在 0 到 1 之間。Sigmoid 激念。它的導數(shù)是非零的，并且很容易計算。Sigm以看到其兩側(cè)導數(shù)趨近于 0，容易導致過擬合

導數(shù)是非零的，并且很容易計算。Si其兩側(cè)導數(shù)趨近于 0，容易導致過擬圖 2-1 Sigmoid 激活函數(shù)坐標圖完全可微分的奇函數(shù)。收斂速度要比可以看到兩側(cè)導數(shù)趨近于 0，從而造 ′ 1 2

【參考文獻】

相關(guān)期刊論文 前1條

1 武瑛;;DCT變換在圖像壓縮中的應(yīng)用[J];計算機與現(xiàn)代化;2013年04期

相關(guān)碩士學位論文 前1條

1 鄒曉藝;基于變換域特征與深度學習的圖像分類研究[D];華南理工大學;2015年

本文編號：2772211