用于增强防破解能力的神经网络后门攻击防御方法及装置与流程

本技术涉及图像识别，尤其涉及用于增强防破解能力的神经网络后门攻击防御方法及装置。

背景技术：

1、在如人脸识别、遥测图像识别等图像识别领域中，通常会用到神经网络来实现自动化及智能化识别。而当前随着人工智能技术的广泛应用，其安全问题也日渐凸显。针对人工智能技术的攻击会导致输出错误结果、甚至系统崩溃等严重后果，这其中的神经网络后门攻击具备相当的危害性和隐蔽性。会给采用神经网络进行图像识别的智能应用等带来的极大安全隐患，因此需要有效的方法来增强模型后门攻击防御能力，防止后门攻击发生。

2、目前，现有的用于增强防破解能力的神经网络后门攻击防御方式之一是通过对抗训练来调整决策边界，使不同样本类间的距离最大化来实现减弱模型中后门作用，但在对抗训练过程中，模型会学习到大量额外后门触发器特征，对模型性能会产生很大影响，同时改变了模型决策边界，对模型的准确性带来不良影响。现有方式之二通过后门触发器逆向工程，找到攻击者可能实施后门攻击的触发器模式，再确定该触发器所激活的神经元，然后通过剪枝方式对模型中的部分神经元进行裁剪，使得后门触发器失去触发效果，但这种剪枝方式会误裁剪模型中的正常且重要的神经元，对模型的结果准确度有较大影响。现有方式之三在后门样本自过滤阶段，以交替方式进行多次“后门样本过滤”和“模型学习”，并且在模型学习过程中，需每训练k轮次后更新一次模型，其计算过程较为繁琐；另外，在交替计算过程中，前期过滤后门样本的准确度低，无法避免后门样本进入模型训练集，影响该方法的准确性。

3、也就是说，无论是上述哪一种用于增强防破解能力的神经网络后门攻击防御方式，均存在无法同时保证训练得到的神经网络进行图像识别的准确性和神经网络对后门攻击的防御能力的问题。

技术实现思路

1、鉴于此，本技术实施例提供了用于增强防破解能力的神经网络后门攻击防御方法及装置，以消除或改善现有技术中存在的一个或更多个缺陷。

2、本技术的一个方面提供了一种用于增强防破解能力的神经网络后门攻击防御方法，包括：

3、根据初始训练集中的各个图像训练数据各自所属的标签类型，生成各类标签各自对应的标签特征组，其中，每个所述标签特征组分别用于存储属于各自唯一对应的标签类型的各个图像训练数据各自对应的特征向量；

4、获取各个所述标签特征组中的各个所述特征向量分别与同组中其他特征向量之间的关联度值，若基于各个所述特征向量各自对应的所述关联度值判定各个所述特征向量中存在异常特征向量，则将该异常特征向量对应的图像训练数据确定为后门数据；

5、自所述初始训练集中过滤掉所述后门数据以形成对应的后门攻击防御训练集，并采用该后门攻击防御训练集训练目标神经网络以训练得到用于进行图像识别的后门攻击防御神经网络。

6、在本技术的一些实施例中，所述获取各个所述标签特征组中的各个所述特征向量分别与同组中其他特征向量之间的关联度值，包括：

7、获取各个所述标签特征分组中的各个所述特征向量之间的相异矩阵；

8、根据各个所述相异矩阵分别确定各个所述标签特征分组中的各个所述特征向量之间的关联概率矩阵；

9、基于各个所述关联概率矩阵分别确定各个所述标签特征分组中的各个所述特征向量分别与同组中其他特征向量之间的关联度值。

10、在本技术的一些实施例中，在所述基于各个所述关联概率矩阵分别确定各个所述标签特征分组中的各个所述特征向量分别与同组中其他特征向量之间的关联度值之前，还包括：

11、基于预设的平滑度量值对所述关联概率矩阵进行修正。

12、在本技术的一些实施例中，所述若基于各个所述特征向量各自对应的所述关联度值判定各个所述特征向量中存在异常特征向量，则将该异常特征向量对应的图像训练数据确定为后门数据，包括：

13、判断各个所述标签特征分组中的各个所述特征向量各自对应的所述关联度值是否小于各个所述标签特征分组各自对应的阈值，其中，所述阈值预先基于贝叶斯风险标准设定；

14、若存在小于其所在的标签特征分组对应的阈值的特征向量，则将该特征向量判定为异常特征向量；

15、将所述异常特征向量对应的图像训练数据确定为后门数据。

16、在本技术的一些实施例中，在所述根据初始训练集中的各个图像训练数据各自所属的标签类型，生成各类标签各自对应的标签特征组之前，还包括：

17、将初始训练集中的各个图像训练数据依次输入预训练的卷积神经网络，以使该卷积神经网络输出各个所述图像训练数据各自对应的特征向量。

18、在本技术的一些实施例中，在所述将初始训练集中的各个图像训练数据依次输入预训练的卷积神经网络之前，还包括：

19、获取多个历史图像数据及各个所述历史图像数据各自对应的标签；

20、对各个所述历史图像数据进行数据预处理，以得到各个所述历史图像数据各自对应的图像训练数据，并生成包含有各个所述图像训练数据的初始训练集。

21、在本技术的一些实施例中，所述对各个所述历史图像数据进行数据预处理，以得到各个所述历史图像数据各自对应的图像训练数据，包括：

22、对各个所述历史图像数据进行超分处理以得到对应的高频历史图像数据和低频历史图像数据，并提取所述高频历史图像数据的边缘信息；

23、基于双三次插值法对所述低频历史图像数据进行插值处理，并采用双线性插值法根据所述高频历史图像数据和所述边缘信息对所述高频历史图像数据进行插值处理，并将经插值处理的低频历史图像数据和高频历史图像数据均确定为图像训练数据。

24、本技术的另一个方面提供了一种用于增强防破解能力的神经网络后门攻击防御装置，包括：

25、标签特征分组模块，用于根据初始训练集中的各个图像训练数据各自所属的标签类型，生成各类标签各自对应的标签特征组，其中，每个所述标签特征组分别用于存储属于各自唯一对应的标签类型的各个图像训练数据各自对应的特征向量；

26、后门数据查找模块，用于获取各个所述标签特征组中的各个所述特征向量分别与同组中其他特征向量之间的关联度值，若基于各个所述特征向量各自对应的所述关联度值判定各个所述特征向量中存在异常特征向量，则将该异常特征向量对应的图像训练数据确定为后门数据；

27、后门过滤及模型训练模块，用于自所述初始训练集中过滤掉所述后门数据以形成对应的后门攻击防御训练集，并采用该后门攻击防御训练集训练目标神经网络以训练得到用于进行图像识别的后门攻击防御神经网络。

28、本技术的第三个方面提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述的用于增强防破解能力的神经网络后门攻击防御方法。

29、本技术的第四个方面提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现所述的用于增强防破解能力的神经网络后门攻击防御方法。

30、本技术提供的用于增强防破解能力的神经网络后门攻击防御方法，通过根据初始训练集中的各个图像训练数据各自所属的标签类型，生成各类标签各自对应的标签特征组，其中，每个所述标签特征组分别用于存储属于各自唯一对应的标签类型的各个图像训练数据各自对应的特征向量；获取各个所述标签特征组中的各个所述特征向量分别与同组中其他特征向量之间的关联度值，若基于各个所述特征向量各自对应的所述关联度值判定各个所述特征向量中存在异常特征向量，则将该异常特征向量对应的图像训练数据确定为后门数据；自所述初始训练集中过滤掉所述后门数据以形成对应的后门攻击防御训练集，并采用该后门攻击防御训练集训练目标神经网络以训练得到用于进行图像识别的后门攻击防御神经网络，能够在保证训练得到的神经网络进行图像识别的准确性的基础上，有效降低防御计算复杂度，还能够有效增强神经网络在高强度决策对抗中对后门攻击的防御能力，进而能够提高神经网络的应用安全性和其决策输出的图像识别结果的可靠性。

31、本技术的附加优点、目的，以及特征将在下面的描述中将部分地加以阐述，且将对于本领域普通技术人员在研究下文后部分地变得明显，或者可以根据本技术的实践而获知。本技术的目的和其它优点可以通过在说明书以及附图中具体指出的结构实现到并获得。

32、本领域技术人员将会理解的是，能够用本技术实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本技术能够实现的上述和其他目的。