一种基于不变特征提取的高光谱对抗样本防御方法

本发明属于图像处理，具体涉及一种基于不变特征提取的高光谱对抗样本防御方法。

背景技术：

1、深度神经网络在图像分类任务中取得了突出的成就，但已被发现非常容易受到对抗样本的攻击，使分类模型错分。对抗样本是在一个干净的原始样本上添加一个人类肉眼难以察觉的扰动，导致深度神经分类网络以较高置信度产生不正确的预测类标签。

2、许多研究表明，除了自然图像领域的深度神经网络受到对抗样本的威胁，遥感领域中也发现了深度神经网络对于对抗样本的脆弱性。随着大量高光谱遥感卫星的成功发射，高光谱遥感影像的数据量进一步呈现出爆炸性式增长的趋势。而面对如此海量的高光谱遥感数据，由于高光谱图像具有冗余的光谱和纹理信息，且存在光谱数量多的特点，这使得扰动信息更容易隐藏，允许的扰动范围也更大。因此，高光谱图像的分类网络相比自然图像的更容易受到攻击。

3、近年来，有研究表明，对抗样本会造成深度神经网络分类性能急剧下降。为了提高深度神经网络模型的鲁棒性，现有的对抗防御方法可分为四类：一是对抗性检测，是输入图像在被发送到分类器之前检测是该图像是合法图像或对抗样本，将检测出的对抗样本进行扰动去除或其它处理操作后，再重新送入分类器；二是梯度掩蔽，通过训练一个具有小梯度的模型，使得模型对输入空间上小的变化具有鲁棒性，其中典型的梯度掩蔽方法是对抗性训练和防御蒸馏。对抗训练主要目的是通过在包含干净和对抗图像的数据集上训练，增强模型鲁棒性。但缺点是对抗训练生成的模型与使用的攻击算法具有强耦合性，即使用对抗训练对模型进行再训练后无法产生一个通用模型。防御蒸馏是一种主动性防御，在学习蒸馏中，复杂模型所获得的知识在使用确定的数据集进行训练后，被转移到更简单的模型上；三是预处理技术，主要强调对抗性防御的预处理技术，是将对抗样本在分类前转化为合法样本，例如通过对输入图像采取特征压缩或图像转换方法；四是改变目标模型以削弱攻击能力，如构建分类器集合，是由两个或多个分类模型组成的对抗措施，每个模型在对给定输入图像进行分类时，都会相互补偿其他模型最终可能存在的弱点。

4、目前典型的预处理方法是通过生成对抗网络来重构输入图像，但由于高光谱图像中训练样本有限，导致生成对抗网络中可能存在训练不稳定，则分类精度低；另一方面，现有的防御方法大多对特定类型的攻击防御效果好，但是对未知类型的攻击防御效果差。因此，设计一种高光谱图像鲁棒性的防御方法来抵御未知类型的对抗攻击仍然是一个具有挑战性的问题。

技术实现思路

1、本发明的目的是提供一种基于不变特征的高光谱图像对抗防御方法，实现了增强卷积神经网络的鲁棒性和提高高光谱分类模型对对抗攻击的分类精度。

2、本发明采用以下技术方案：一种基于不变特征提取的高光谱对抗样本防御方法，该方法包括如下：

3、步骤一、构建样本集合：

4、对高光谱图像的样本集中的每个类别随机选取多个样本组成初始训练样本集合，其余样本组成测试样本集合；

5、步骤二、预训练深度卷积神经网络分类模型：

6、步骤三、搭建对抗防御模型：

7、对抗防御模型由扰动解耦网络和重建网络组成，且扰动解耦网络的输出作为重建网络的输入；

8、步骤四、构造对抗防御模型的损失函数：

9、对抗防御模型的损失函数为：l＝lpixel+βlattention+γlaiaf+κlhsic  (f)；

10、其中：β、γ和κ是调节参数，α和β的值均设为0.01，k值是0.0001；

11、lpixel为像素引导的重建网络损失；lattention为注意力引导的重建网络损失；laiaf为不变特征的相似性损失；lhsic为共同特征和特定扰动特征之间的独立性；

12、步骤五、迭代训练对抗防御模型：

13、用两种不同类型的对抗攻击方法攻击步骤一中的初始训练样本集合，得到对抗样本，形成新的训练样本集合；将新的训练样本集合中的对抗样本同时输入到步骤三中的扰动解耦网络，被分解为攻击不变特征xaiaf和特定扰动特征xspf两部分，将得到的攻击不变特征xaiaf输入到重建网络的解码网络，生成和对抗防御模型输入大小相同的重构样本，迭代训练对抗防御模型，直到达到设定的迭代次数，得到训练好的对抗防御模型；

14、步骤六、测试训练好的对抗防御模型：

15、将经对抗攻击产生的对抗样本测试集合输入步骤五中训练好的对抗防御模型，生成重构样本；将重构样本输入到步骤二中得到的预训练后的深度卷积神经网络分类模型，前向计算，得到测试样本集合中每一个样本的预测分类结果。

16、进一步地，该扰动解耦网络包括一个不变特征提取分支和两个特定扰动提取分支，且三个提取分支具有相同的卷积神经网络结构；

17、进一步地，该重建网络包括解码网络和鉴别器网络，解码网络是扰动解耦网络子分支的反卷积结构，鉴别器网络由四个卷积层和两个全连接层组成。

18、进一步地，在步骤五中，扰动解耦网络的三个子分支的工作过程如下：一个不变特征提取分支通过参数共享策略学习两种不同类型的对抗样本输入空间中的攻击不变特征，两个特定扰动提取分支通过学习两种不同类型的对抗样本输入空间中独立于攻击不变特征的特定扰动特征。

19、进一步地，构造扰动解耦网络的损失函数：利用相似性度量损失实现不变特征的相似性损失laiaf，相似性度量损失采用均方误差，如公式(a)所示：

20、

21、评估共同特征和特定扰动特征之间的独立性，如公式(b)所示：

22、lhsic＝(hsic(fspf1，faif1）+hsic（fspf2，faiaf2))/2  (b)；

23、像素引导的重建网络损失，如公式(c)所示：

24、

25、鉴别器损失函数如公式(d)所示：

26、

27、注意力引导的重建网络损失如公式(e)所示：

28、

29、其中：faiaf1和faiaf2指两种不同类型的对抗样本输入经过不变特征提取分支后的输出，faiaf1t和ftaiaf2是其对应的转置向量；

30、hsic(fspf1,faiaf1)＝(n-1)-2tr(rkspf1rkaiaf1)，kspf1是革兰氏矩阵，和r＝i-(1/n)eet，e表示一个全为1的列向量，kaiaf1、kaiaf2、kspf2与kspf1具有相似的表示；

31、x′re是经过重建网络后的重构样本，x是干净样本，为初始训练样本集合中的样本；式(c)中的第一项是均方根误差约束；第二项是鉴别器约束，d(·)是带有二值分类器的鉴别器；

32、h是注意力提取函数，其中yc为目标模型输出概率中真类的概率；ak为第k个特征映射，选择ak作为预训练好的深度卷积神经网络分类模型的最后一个卷积层特征；g是一个全局平均池化函数。

33、进一步地，该高光谱图像的样本集由以下所得：对原始高光谱图像利用pca主成分分析将其维度降低，以降维后的高光谱图像中的每个有标签像素为中心，划定空间窗，将每个空间窗内所有的像素组成一个数据立方体，所有的数据立方体组成高光谱图像的样本集。

34、进一步地，该在步骤一中，数据集中的每个类别随机选取900个样本组成初始训练样本集合，其余样本组成测试样本集合，类别样本数不够900个样本的选取该类别总数的50％作为初始训练样本集合；对于休斯顿2018数据集，每个类别随机选取400个样本组成初始训练样本集合，其余样本组成测试样本集合，类别样本数不够400个样本的选取该类别总数的50％。

35、本发明的有益效果是：1.通过扰动解耦网络来分解对抗样本中的不变特征和扰动特征，进而消除对抗样本中的扰动信息，设计了一种注意力引导的优化策略，以减少扰动引起的注意力转移，进一步提高重构样本的分类精度。2.从对抗样本中提取不变特征以抵御已知类型和未知类型的攻击，增强卷积神经网络的鲁棒性和提高高光谱分类模型对对抗攻击的分类精度。