基于Bit位修改的对抗样本防御算法研究

摘要

随着卷积神经网络的高速发展，卷积神经网络在人脸识别、图像分类、医疗分割等多个人工智能领域取得巨大成功，其应用也越来越广泛。然而，近期研究表明卷积神经网络易受到对抗样本的攻击。攻击者通过向样本中添加一些人眼难以识别的微小扰动，就能使卷积神经网络做出错误的识别。对抗样本的存在严重威胁到卷积神经网络类应用的安全，因此研究如何防御对抗样本是很有必要的。　　目前防御对抗样本的方法面临着两个问题：1)使用对抗训练的方法进行防御，增大了对训练数据的需求量，且对新攻击算法鲁棒性差；2)使用模型修改的方法，操作复杂度高，防御性能低。针对上述问题，以防御对抗样本为目标，提出基于Bit位修改的对抗样本防御算法，本文主要工作如下：　　1)提出了一种基于全局与局部Bit位修改的防御算法。为降低操作复杂度，采用样本修改的方法进行防御。针对对抗样本中扰动特点的不同，设计全局与局部的Bit位修改方法进行防御。在全局Bit位修改算法中对输入图像的全局像素进行Bit位修改；在局部Bit位修改算法中，首先利用图像局部像素之间的相关性确定添加扰动的像素，然后对该像素进行Bit位修改。本文将以卷积神经网络中分类模型为载体，使用FGSM、BIM、DeepFool、JSMA、C&W这5种常见的攻击算法，在mnist和cifar10数据集中对本文算法的防御效果进行验证。实验结果表明通过全局或局部的Bit位修改方式能够有效防御特点不同的对抗样本，对部分攻击的防御成功率可以达到98%。　　2)为了降低选择Bit位修改方式时人为因素的影响，本文设计了一种基于自适应Bit位修改的防御算法。该算法能够自动选择Bit位修改的修改参数以及修改方式，实现对具有不同特点的对抗样本的防御。实验结果表明，对mnist数据集上生成对抗样本的综合防御成功率达到87%，对cifar10数据集上生成对抗样本综合防御成功率达到71%，有效地提高了卷积神经网络对对抗样本的分类准确率。　　3)最后开发了针对对抗样本攻击与防御的展示系统。用户可以通过直接上传或作画图像，选择攻击方法生成各种参数下的对抗样本并查看识别结果，选择防御方法查看针对已生成对抗样本的防御效果，整个过程简单易用。

目录

声明

第1 章 绪论

1.1 研究背景和意义

1.2 国内外研究现状

1.2.1 对抗样本的生成研究现状

1.2.2 对抗样本的防御研究现状

1.3 论文内容与组织结构

第2 章相关技术概述

2.1 基于卷积神经网络的图像分类

2.1.1 卷积神经网络分类模型

2.1.2 数据集与评价指标

2.1.3 分类网络模型实验

2.2 基于对抗样本的攻击技术

2.2.1 对抗样本概述

2.2.2 基于对抗样本的攻击算法概述

2.2.3 基于对抗样本的攻击算法分析

2.3 基于对抗样本的防御技术

2.4 本章小结

第3 章基于全局与局部Bit 位修改的防御算法

3.1 Bit 位修改防御算法

3.1.1 基本原理

3.1.2 全局Bit位修改

3.1.3 局部Bit位修改

3.2 现有五种攻击生成的对抗样本

3.2.1 对抗样本的评价指标

3.2.2 Mnist数据集对抗样本的生成

3.2.3 Cifar10数据集对抗样本的生成

3.3实验与结果分析

3.3.1 Bit位修改参数讨论

3.3.2 Mnist数据集的防御分析

3.3.3 Cifar10数据集防御实验与结果分析

3.3.4 ImageNet数据攻击与防御测试

3.4 本章小结

第4 章 基于自适应Bit 位修改的防御算法

4.1 自适应Bit位修改算法描述

4.1.1 自适应全局Bit位修改

4.1.2 自适应联合防御Bit位修改

4.2自适应Bit位修改防御实验分析

4.2.1 自适应Bit位修改的参数讨论

4.2.2 Mnist数据集实验与分析

4.2.3 Cifar10数据集实验与分析

4.3 本章小结

第5 章对抗样本展示系统设计

5.1 相关说明与操作逻辑

5.2 功能模块与使用方法

5.3 本章小结

结论与展望

致谢

参考文献

攻读硕士学位期间发表的论文及参与的科研项目