陳夢(mèng)悅

摘要：由于人工智能系統(tǒng)對(duì)于數(shù)據(jù)的依賴以及深度學(xué)習(xí)算法的不可解釋性，導(dǎo)致目前的人工智能系統(tǒng)面臨嚴(yán)重的安全風(fēng)險(xiǎn)。其中，對(duì)抗樣本是目前深度學(xué)習(xí)面臨的主要威脅之一。為了更好地應(yīng)對(duì)對(duì)抗樣本攻擊帶來(lái)的安全威脅，需要對(duì)對(duì)抗樣本的構(gòu)造機(jī)制有充分的了解。因此，深度學(xué)習(xí)領(lǐng)域中關(guān)于對(duì)抗樣本的構(gòu)造方法有了大量的研究。該文提出了一種基于自編碼器的對(duì)抗樣本生成方法，不需要強(qiáng)大的背景知識(shí)，降低計(jì)算成本，實(shí)驗(yàn)結(jié)果證實(shí)所提出的方法的先進(jìn)性和可用性。

關(guān)鍵詞：深度學(xué)習(xí);對(duì)抗樣本;自編碼器

Absrtact：Due to the dependence of artificial intelligence system on data and the unexplainability of deep learning algorithm， the current artificial intelligence system is facing serious security risks. Among them， counter sample is one of the main threats to deep learning. In order to better deal with the security threats brought by counter sample attacks， we need to have a full understanding of the construction mechanism of counter sample. Therefore， in the field of deep learning， there has been a lot of research on the construction method of confrontation samples. This paper proposes a method of generating a countermeasure sample based on selfencoding. It does not require strong background knowledge and reduces computation cost. Experimental results confirm the advanced and usability of the proposed method.

Key words： deep learning; adversarial examples; autoencoder

1背景知識(shí)

日益增多的社會(huì)信息交流系統(tǒng)和軟件中，幾乎連接著人們的方方面面，改變著人們的學(xué)習(xí)，工作方式以及日常生活，在豐富精神文化生活的同時(shí)，也帶來(lái)了風(fēng)險(xiǎn)。網(wǎng)絡(luò)與信息安全問題是世界各國(guó)信息時(shí)代所面臨的主要難題，作為信息保護(hù)的主要環(huán)節(jié)，這個(gè)風(fēng)險(xiǎn)和問題需要一直被重視。人們的生活成本需求在信息化、科技化、人性化、智能化驅(qū)動(dòng)下，精準(zhǔn)定位智能需求，多元擴(kuò)展智能來(lái)源，彈性發(fā)揮智能能效，個(gè)性化定制智能服務(wù)等多機(jī)制入手，把握信息時(shí)代之魂，關(guān)注信息時(shí)代之需，聚焦信息時(shí)代之變，引領(lǐng)信息時(shí)代之風(fēng)。以及新理論新技術(shù)和經(jīng)濟(jì)社會(huì)發(fā)展的強(qiáng)烈需求的共同推動(dòng)下，人工智能科學(xué)持續(xù)創(chuàng)新，逐步走向工業(yè)世界。雖然深度學(xué)習(xí)[1]技術(shù)有著廣泛的應(yīng)用前景，但是對(duì)于現(xiàn)階段的研究水平而言，以深度學(xué)習(xí)為基礎(chǔ)的人工智能應(yīng)用面臨嚴(yán)重的安全風(fēng)險(xiǎn)。2018年3月26日，由全球最大的網(wǎng)絡(luò)預(yù)約汽車服務(wù)公司Uber研發(fā)的L4自動(dòng)駕駛汽車在亞利桑那州的公共道路上撞上行人，這是世界上首次自動(dòng)駕駛造成的死亡。今年5月，Uber事故的初步報(bào)告顯示，Uber的自動(dòng)操作軟件無(wú)法準(zhǔn)確識(shí)別受害者何時(shí)過馬路。目前深度學(xué)習(xí)在隱私保護(hù)和安全領(lǐng)域面臨諸多問題，其中最為突出的安全問題是對(duì)抗樣本[2]，上述兩個(gè)案例背后的始作俑者正是對(duì)抗樣本。對(duì)抗樣本[3-5]是目前深度學(xué)習(xí)面臨的主要威脅之一， 對(duì)抗樣本是指通過對(duì)原始樣本進(jìn)行一些細(xì)微的擾動(dòng)來(lái)使得目標(biāo)模型以高置信度給出一個(gè)截然不同的預(yù)測(cè)結(jié)果。為了更好地應(yīng)對(duì)對(duì)抗樣本攻擊帶來(lái)的安全威脅，針對(duì)當(dāng)前對(duì)抗樣本構(gòu)造方法存在的缺陷，本文提出了一種基于自編碼器的對(duì)抗樣本生成方法，主要貢獻(xiàn)包括：本文是通過在原始樣本經(jīng)過降維之后，對(duì)其低維的特征表示進(jìn)行擾動(dòng)，從而構(gòu)造對(duì)抗樣本。通過大量的實(shí)驗(yàn)，我們證明了該構(gòu)造方法的有效性。

2自編碼器

自編碼器是深度學(xué)習(xí)中比較著名的無(wú)監(jiān)督學(xué)習(xí)方法，最早的概念來(lái)自Rumelhart等人在《Nature》上發(fā)表的論文。后來(lái)，Burlard等人做出了詳細(xì)的闡述。自編碼器的輸入層和輸出層分別代表神經(jīng)網(wǎng)絡(luò)的輸入層和輸出層，隱層承擔(dān)編碼器和解碼器的工作，編碼過程是從高緯度輸入層到低緯度隱層的轉(zhuǎn)換。另一方面，解碼過程是從低維層到高階輸出層的轉(zhuǎn)換過程。轉(zhuǎn)換過程通過比較輸入和輸出之間的差異來(lái)定義損失函數(shù)。在轉(zhuǎn)換過程中，不需要標(biāo)記數(shù)據(jù)。整個(gè)過程就是求解損失函數(shù)最小化的過程。這也是編碼器名稱的來(lái)源。自編碼器是一種人工神經(jīng)網(wǎng)絡(luò)，通過無(wú)監(jiān)督學(xué)習(xí)有效地顯示輸入數(shù)據(jù)。自動(dòng)編碼器是一種數(shù)據(jù)壓縮算法，數(shù)據(jù)壓縮和解壓功能與數(shù)據(jù)、丟失相關(guān)，并從樣本中自動(dòng)學(xué)習(xí)。如果提到大多數(shù)自動(dòng)編碼器，壓縮和解壓縮功能是通過神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)的。自編碼器是一種自監(jiān)督算法，不是無(wú)監(jiān)督算法。自監(jiān)督學(xué)習(xí)是監(jiān)督學(xué)習(xí)的一個(gè)例子，標(biāo)簽生成自輸入數(shù)據(jù)。為了獲得一個(gè)自監(jiān)督模型，需要一個(gè)可靠的目標(biāo)和損失函數(shù)。設(shè)定重新配置輸入的目標(biāo)可能不是正確的選擇?；旧?，模型需要在像素級(jí)重新配置。輸入不是機(jī)器學(xué)習(xí)的興趣，而是學(xué)習(xí)高級(jí)抽象特征。在實(shí)踐中，如果主任務(wù)是分類定位等任務(wù)，則這些任務(wù)的最佳特征基本上是重構(gòu)輸入的最差特征。這種輸入數(shù)據(jù)的有效表示稱為編碼，它比輸入數(shù)據(jù)的維數(shù)更小，允許使用自編碼器降維。更重要的是，自編碼器可以作為一個(gè)強(qiáng)大的特征檢測(cè)器用于深度神經(jīng)網(wǎng)絡(luò)的先驗(yàn)訓(xùn)練。此外，自編碼器可以隨機(jī)生成與訓(xùn)練數(shù)據(jù)相似的數(shù)據(jù)，這稱為生成模型。一般來(lái)說，常見的自編碼器包括編碼和解碼兩個(gè)階段。編碼器和解碼器的結(jié)構(gòu)一般來(lái)說是對(duì)稱的。