CN112884069A - 一种对抗网络样本检测的方法 - Google Patents

一种对抗网络样本检测的方法 Download PDF

Info

Publication number
CN112884069A
CN112884069A CN202110282280.XA CN202110282280A CN112884069A CN 112884069 A CN112884069 A CN 112884069A CN 202110282280 A CN202110282280 A CN 202110282280A CN 112884069 A CN112884069 A CN 112884069A
Authority
CN
China
Prior art keywords
sample
detection
features
unit
reconstruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110282280.XA
Other languages
English (en)
Inventor
陈晋音
徐慧玲
宣琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University of Technology ZJUT
Original Assignee
Zhejiang University of Technology ZJUT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University of Technology ZJUT filed Critical Zhejiang University of Technology ZJUT
Priority to CN202110282280.XA priority Critical patent/CN112884069A/zh
Publication of CN112884069A publication Critical patent/CN112884069A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/40Extraction of image or video features
    • G06V10/46Descriptors for shape, contour or point-related descriptors, e.g. scale invariant feature transform [SIFT] or bags of words [BoW]; Salient regional features
    • G06V10/462Salient features, e.g. scale invariant feature transforms [SIFT]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computational Linguistics (AREA)
  • Computing Systems (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种对抗网络样本检测的方法,包括:构建用于检测对抗样本的检测模型,所述检测模型包括特征提取单元、特征重构单元、图分类器、差异计算单元以及判别单元,其中,特征提取单元用于生成输入图像样本的提取特征,特征重构单元用于生成输入图像样本的重构特征,图分类器用于对输入的提取特征和重构特征进行处理,得到对应的概率分布,差异计算单元用于对输入提取特征对应的概率分布与重构特征对应的概率分布的差异值,判别单元用于依据差异值和预设阈值判别图像样本是否为对抗样本;将待检测图像样本输入至所述检测模型中,以实现对待检测图像样本的检测。

Description

一种对抗网络样本检测的方法
技术领域
本发明属于网络图像检测技术领域,具体涉及一种对抗网络样本检测的方法。
背景技术
虽然深度学习在许多实际任务(譬如节点分类、图分类、链路预测等)中都有了很广泛的应用,但最新的研究表明,深度学习模型极易受到恶意攻击的影响,它们常常会被对抗样本(通过在自然样本中添加微小而有目的的扰动而产生的样本)所轻易愚弄,这对深度学习在现实世界中的实际应用提出了巨大的挑战,如何增强其鲁棒性仍是有待解决的开放性问题。
目前在图像和网络领域,大多数防对抗样本的方法都主要集中在完善修改模型结构,具体包括对抗训练法以及掩饰梯度法,这些方法要么效果有限,要么成本高昂,二者很难兼顾。但还有另一类对抗检测方法是通过改变输入样本,但保持模型不变来构建检测模型从而识别对抗样本,这类方法相较而言更为简单并且成本更低。网络领域中有关对抗检测的研究工作,相较于图像领域还处于不太成熟的阶段。而在图像领域常见的检测方法主要分为三类,分别是基于样本统计、训练检测器以及预测不一致性的对抗检测方法;其中基于样本统计和训练检测器的方法都需要大量的对抗样本支撑,反之,基于预测不一致性的方法尤其是特征预处理的方法,其训练成本更低。
现有的图像对抗检测方法大多是通过特征压缩器对原始输入进行降噪等操作来构建检测模型,这是因为正常的图片降噪后和真实图片降噪后的结果基本一致,而对抗样本的结果会相差较大。即当模型对压缩输入的预测与对原始输入的预测之间的差异超过了阈值,则认为该输入是对抗样本,反之为合法样本;这种基于预测不一致性的检测方法目前在图像领域应用较多,但是不能直接迁移到网络领域,无法实现对网络对抗样本的检测。并且该技术对输入的数据进行特征压缩等操作,这些操作在很大程度上会牺牲掉一些原有样本的特征信息。
回归到网络领域,目前只有对异常节点的相关检测方法,这些检测方法主要是通过探索对抗样本和合法样本之间的内在差异来构造检测模型,从而提高图神经网络的鲁棒性。虽然这些检测方法能够有效地检测异常节点,但在面对异常图的对抗性攻击(即通过增删连边或节点使得图的类别发生改变的相关攻击)时,它们具有很强地不兼容性,目前在基于图分类任务的对抗网络样本检测并没有相关研究。
发明内容
鉴于上述,本发明的目的是提供一种对抗网络样本检测的方法,以实现对图像数据是否为对抗样本的检测。
为实现上述发明目的,本发明提供以下技术方案:
一种对抗网络样本检测的方法,包括以下步骤:
构建用于检测对抗样本的检测模型,所述检测模型包括特征提取单元、特征重构单元、图分类器、差异计算单元以及判别单元,其中,特征提取单元用于生成输入图像样本的提取特征,特征重构单元用于生成输入图像样本的重构特征,图分类器用于对输入的提取特征和重构特征进行处理,得到对应的概率分布,差异计算单元用于对输入提取特征对应的概率分布与重构特征对应的概率分布的差异值,判别单元用于依据差异值和预设阈值判别图像样本是否为对抗样本;
将待检测图像样本输入至所述检测模型中,以实现对待检测图像样本的检测。
与现有技术相比,本发明具有的有益效果至少包括:
本发明提供的对抗网络样本检测的方法,通过对输入图像样本提取其子图网络SGN作为样本的潜在表示,进而揭示合法样本和对抗样本的本质差异,从而有效提高深度学***,则认为输入是对抗性的,反之为合法样本,本检测模型结构简单,计算成本很低,时间复杂度低,同时可以达到很好的对抗样本检测效果;此外本检测方法不仅仅适用于图分类,还可以应用于节点分类、链路预测等实际场景中;并且该检测模型还可以通过机器学习模型来拟合动态阈值T,从而可以达到更好的区分对抗样本和合法样本的效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动前提下,还可以根据这些附图获得其他附图。
图1是本发明实施例提供的对抗网络样本检测的方法的流程图;
图2是本发明实施例提供的检测模型的工作流程图;
图3是本发明实施例提供的检测模型的训练和验证过程;
图4是本发明实施例提供的检测模型的训练和验证过程。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
图1是本发明实施例提供的对抗网络样本检测的方法的流程图。如图1所示,实施例提供的对抗网络样本检测包括以下步骤:
步骤1,获取图像样本,并对图像样本进行预处理。
实施例中,在获得图像样本之后,将图样样本划分成训练样本集和测试样本集,其中,训练样本集中的图像样本用于优化检测模型参数,测试样本集中的图像样本用于测试和评估检测模型的检测效果。
步骤2,构建并训练用于检测对抗样本的检测模型。
实施例中,构建的检测模型包含包括特征提取单元、特征重构单元、图分类器、差异计算单元以及判别单元,其中,特征提取单元用于生成输入图像样本的提取特征,特征重构单元用于生成输入图像样本的重构特征,图分类器用于对输入的提取特征和重构特征进行处理,得到对应的概率分布,差异计算单元用于对输入提取特征对应的概率分布与重构特征对应的概率分布的差异值,判别单元用于依据差异值和预设阈值判别图像样本是否为对抗样本。
检测模型的工作原理:通过对输入网络样本提取其子图网络(SubgraphNetworks,SGN)作为样本的潜在表示,进而发现合法样本和对抗样本的本质差异。如果模型对子图扩充输入的预测与对原始输入的预测之间的差异超过了一定阈值水平,则认为该输入是对抗性的,反之为合法样本。
其中,特征提取单元可以采用Struc2vec实现结构相似性的特征向量的提取,以获得提取向量。特征重构单元采用子图网络(Sequential Grouping Networks,SGN)对图像样本进行特征重构,生成重构特征。图分类器可以采用多层感知机MLP。
在其中一个实施方式中,特征重构单元包含至少2个不同阶数的子图网络,用于生成多组重构特征,每组重构特征均输入至图分类器来生成概率分布,差异计算单元计算每组重构特征的概率分布与提取特征的概率分布的差异值,判断单元依据多个差异值与预设阈值判别图像样本是否为对抗样本。
如图2所示,具体地,特征重构单元包含1阶子图网络和2阶子图网络,用于生成2组重构特征,2组重构特征均输入至图分类器来生成2个概率分布,差异计算单元分别计算2组重构特征的概率分布与提取特征的概率分布的2个差异值,判断单元依据2个差异值与预设阈值判别图像样本是否为对抗样本。
其中,采用表示两者之间距离的范数进行计算差异值,即可以计算重构特征的概率分布与提取特征的概率分布的范数值以获得两者的差异值。
检测模型在检测对抗样本时会依据计算差异值的情况来采用不同的策略判别对抗样本,具体地,判断单元在对抗样本判别时,
当每个图像样本对应1个差异值时,则比较差异值与预设阈值的大小关系,当差异值大于预设阈值时,则认为图像样本为对抗样本,否则为合法样本;
当每个图像样本对应至少2个差异值时,则选择最大的差异值与预设阈值进行比较,当最大差异值大于预设阈值时,则认为图像样本为对抗样本,否则为合法样本。
实施例中,预设阈值是根据合法图像样本的特征情况确定,具体地,预测阈值的确定方法为:
将大量合法图像样本输入至检测模型,以所有合法图像样本的所有差异值的平均数作为阈值基础值,以不超过该阈值基础值的4~5%作为预设阈值。
在构建上述检测模型时,需要对特征提取单元、特征重构单元以及图分类器进行参数优化。参数化过程中采用样本数据的预测置信度与真实标签的交叉熵作为损失函数,来更新模型参数。
为了验证检测模型的训练的情况,还需要对检测模型进行验证评估,具体地,在对检测模型中特征提取单元、特征重构单元以及图分类器进行参数优化的过程中,利用对抗样本检测模型的检测效果,具体过程包括:
对测试用的正常图像样本进行攻击,得到对抗样本,将对抗样本输入至检测模型中,若对抗样本的差异值大于预设阈值,则对抗样本检测成功,统计并分析对抗样本的检测率,以确定检测模型的检测效果。
其中,对正常图像样本采用随机攻击、梯度攻击以及强化学习攻击进行攻击,得到对抗样本。
为了验证上述对抗网络样本检测的方法的检测效果,实施例对MUTAG数据集上的梯度攻击对抗检测,如图3所示,包括以下步骤:
首先,对样本数据进行数据划分,训练样本集和测试样本集的比例为4:1;
然后,对训练样本集采用struc2vec的方法来生成提取特征,进而训练图分类器。
其次,对原始训练集进行一阶、二阶子图网络特征重构,后再经struc2vec后输入至图分类器中,以训练图分类器和一阶、二阶子图网络,训练好模型之后,将原始训练集通过模型的概率分布记录下来,然后用样提取特征在图分类器中的概率分布和经一阶、2阶SGN子图网络特征重构后模型的概率分布之差的范数来计算差异值s1、差异值s2,并选取其中的最大值作为样本的分数值,最后以不超过原始训练样本分数值的5%(即FP率不超过5%)来设置区分阈值T的大小。
在对测试模型训练前,假设攻击者可以完全访问一个训练过的测试模型,但是没有能力影响测试模型,也不知道检测模型的任何相关信息(即逃逸攻击),现采用梯度攻击的方法来生成对抗样本,根据损失函数对模型参数的梯度信息,通过对每个MUTAG样本网络重连3条边的方式,生成对抗样本。
最后,将产生的MUTAG数据集对抗样本输入到检测模型中,若样本的分数值大于选取的阈值,则检测成功。记录并分析成功攻击的对抗样本检测率、以及失败攻击的对抗样本检测率。
为了验证上述对抗网络样本检测的方法的检测效果,实施例对BZR数据集上的强化学习攻击对抗检测,如图4所示,包括以下步骤:
首先,对样本数据进行数据划分,训练样本集和测试样本集的比例为4:1;
然后,对训练样本集采用struc2vec的方法来生成提取特征,训练多层感知机模型。
其次,对原始训练集进行一阶、二阶子图网络特征重构,后再经struc2vec后输入至图分类器中,以训练图分类器和一阶、二阶子图网络,训练好模型之后。训练好模型之后,计算样本的分数值,最后以不超过原始训练样本分数值的5%(即FP率不超过5%)来设置区分阈值T的大小。
在对测试模型训练前,前提假设为逃逸攻击,现采用的是强化学习攻击的方法来生成对抗样本,基于马尔可夫决策过程和Q-Learning的强化学习方法来学习最有效的攻击策略,从而生成对抗样本。
最后,将产生的BZR数据集对抗样本输入到检测模型中进行测试,若样本的分数值大于选取的阈值,则检测成功。记录并分析成功攻击的对抗样本检测率、以及失败攻击的对抗样本检测率。
以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明,应理解的是以上所述仅为本发明的最优选实施例,并不用于限制本发明,凡在本发明的原则范围内所做的任何修改、补充和等同替换等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种对抗网络样本检测的方法,其特征在于,包括以下步骤:
构建用于检测对抗样本的检测模型,所述检测模型包括特征提取单元、特征重构单元、图分类器、差异计算单元以及判别单元,其中,特征提取单元用于生成输入图像样本的提取特征,特征重构单元用于生成输入图像样本的重构特征,图分类器用于对输入的提取特征和重构特征进行处理,得到对应的概率分布,差异计算单元用于对输入提取特征对应的概率分布与重构特征对应的概率分布的差异值,判别单元用于依据差异值和预设阈值判别图像样本是否为对抗样本;
将待检测图像样本输入至所述检测模型中,以实现对待检测图像样本的检测。
2.如权利要求1所述的对抗网络样本检测的方法,其特征在于,所述特征提取单元采用Struc2vec实现结构相似性的特征向量的提取,以获得提取向量。
3.如权利要求1所述的对抗网络样本检测的方法,其特征在于,所述特征重构单元采用子图网络对图像样本进行特征重构,生成重构特征。
4.如权利要求3所述的对抗网络样本检测的方法,其特征在于,所述特征重构单元包含至少2个不同阶数的子图网络,用于生成多组重构特征,每组重构特征均输入至图分类器来生成概率分布,差异计算单元计算每组重构特征的概率分布与提取特征的概率分布的差异值,判断单元依据多个差异值与预设阈值判别图像样本是否为对抗样本。
5.如权利要求4所述的对抗网络样本检测的方法,其特征在于,所述特征重构单元包含1阶子图网络和2阶子图网络,用于生成2组重构特征,2组重构特征均输入至图分类器来生成2个概率分布,差异计算单元分别计算2组重构特征的概率分布与提取特征的概率分布的2个差异值,判断单元依据2个差异值与预设阈值判别图像样本是否为对抗样本。
6.如权利要求1所述的对抗网络样本检测的方法,其特征在于,判断单元在对抗样本判别时,
当每个图像样本对应1个差异值时,则比较差异值与预设阈值的大小关系,当差异值大于预设阈值时,则认为图像样本为对抗样本,否则为合法样本;
当每个图像样本对应至少2个差异值时,则选择最大的差异值与预设阈值进行比较,当最大差异值大于预设阈值时,则认为图像样本为对抗样本,否则为合法样本。
7.如权利要求1所述的对抗网络样本检测的方法,其特征在于,所述预设阈值的确定方法为:
将大量合法图像样本输入至检测模型,以所有合法图像样本的所有差异值的平均数作为阈值基础值,以不超过该阈值基础值的4~5%作为预设阈值。
8.如权利要求1所述的对抗网络样本检测的方法,其特征在于,在构建检测模型时,需要对特征提取单元、特征重构单元以及图分类器进行参数优化。
9.如权利要求1所述的对抗网络样本检测的方法,其特征在于,在对检测模型中特征提取单元、特征重构单元以及图分类器进行参数优化的过程中,利用对抗样本检测模型的检测效果,具体过程包括:
对测试用的正常图像样本进行攻击,得到对抗样本,将对抗样本输入至检测模型中,若对抗样本的差异值大于预设阈值,则对抗样本检测成功,统计并分析对抗样本的检测率,以确定检测模型的检测效果。
10.如权利要求9所述的对抗网络样本检测的方法,其特征在于,对正常图像样本采用随机攻击、梯度攻击以及强化学习攻击进行攻击,得到对抗样本。
CN202110282280.XA 2021-03-16 2021-03-16 一种对抗网络样本检测的方法 Pending CN112884069A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110282280.XA CN112884069A (zh) 2021-03-16 2021-03-16 一种对抗网络样本检测的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110282280.XA CN112884069A (zh) 2021-03-16 2021-03-16 一种对抗网络样本检测的方法

Publications (1)

Publication Number Publication Date
CN112884069A true CN112884069A (zh) 2021-06-01

Family

ID=76042648

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110282280.XA Pending CN112884069A (zh) 2021-03-16 2021-03-16 一种对抗网络样本检测的方法

Country Status (1)

Country Link
CN (1) CN112884069A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114596277A (zh) * 2022-03-03 2022-06-07 北京百度网讯科技有限公司 检测对抗样本的方法、装置、设备以及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111814148A (zh) * 2020-07-15 2020-10-23 电子科技大学 一种基于方法调用图的安卓恶意软件家族聚类方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111814148A (zh) * 2020-07-15 2020-10-23 电子科技大学 一种基于方法调用图的安卓恶意软件家族聚类方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JINYIN CHEN等: "Adversarial Detection on Graph Structured Data", 《ACM》, pages 1 - 5 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114596277A (zh) * 2022-03-03 2022-06-07 北京百度网讯科技有限公司 检测对抗样本的方法、装置、设备以及存储介质

Similar Documents

Publication Publication Date Title
CN112491796B (zh) 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法
CN113554089A (zh) 一种图像分类对抗样本防御方法、***及数据处理终端
CN111652290B (zh) 一种对抗样本的检测方法及装置
CN111107102A (zh) 基于大数据实时网络流量异常检测方法
CN111600919B (zh) 智能网络应用防护***模型的构建方法和装置
CN111931179B (zh) 基于深度学习的云端恶意程序检测***及方法
CN111598179B (zh) 电力监控***用户异常行为分析方法、存储介质和设备
CN102420723A (zh) 一种面向多类入侵的异常检测方法
CN113556319B (zh) 物联网下基于长短期记忆自编码分类器的入侵检测方法
CN108282460B (zh) 一种面向网络安全事件的证据链生成方法及装置
CN112560596B (zh) 一种雷达干扰类别识别方法及***
CN116957049B (zh) 基于对抗自编码器的无监督内部威胁检测方法
CN112738014A (zh) 一种基于卷积时序网络的工控流量异常检测方法及***
CN117113262A (zh) 网络流量识别方法及其***
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
CN110008987B (zh) 分类器鲁棒性的测试方法、装置、终端及存储介质
CN112884069A (zh) 一种对抗网络样本检测的方法
CN116074092B (zh) 一种基于异构图注意力网络的攻击场景重构***
CN116260565A (zh) 芯片电磁侧信道分析方法、***及存储介质
CN115659135A (zh) 一种面向多源异构工业传感器数据的异常检测方法
CN111343205B (zh) 工控网络安全检测方法、装置、电子设备以及存储介质
CN115292701A (zh) 一种基于主动与被动相结合的恶意代码检测方法及***
CN111209567B (zh) 提高检测模型鲁棒性的可知性判断方法及装置
Kumari et al. Deep learning-powered multiclass classification of DDoS attacks on 6G-connected IoT devices
CN116155626B (zh) 一种基于跨主机异常行为识别的复杂网络攻击检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination