基于特征校正和多级对抗防御的遥感图像深度识别方法

本技术涉及遥感图像识别，特别是涉及一种基于特征校正和多级对抗防御的遥感图像深度识别方法。

背景技术：

1、近年来，随着深度神经网络的普及，高分辨率遥感图像的自动判读解译性能得到了极大的提升，与此同时，越来越多的现代无人飞行器配备了基于深度神经网络的视觉导航和识别系统，能够支持对实时拍摄的图像进行机上推理，并快速提供有用的图像解译分析，用于民用场。

2、尽管深度神经网络模型取得了诸多成功，但其在面对对抗样本时却表现出严重的脆弱性，这为反无人机提供了一种新的途径。攻击者获得原始输入后，可以在原始数据中添加精心设计且不易察觉的扰动，从而恶意降低机上深度识别模型的性能，造成巨大危害。例如，当智能无人机在任务中执行目标识别和跟踪任务时，敌方希望逃避对高价值目标的识别，使无人机跟踪另一目标，或者破坏无人机的视觉导航，诱使其紧急着陆，这也对基于深度神经网络模型的视觉导航系统对周围环境的感知提出了更高的要求。攻击者可以非法访问无人机与控制器之间传输图像的信道，并在执行目标识别任务时操纵来自传感器的实时遥感图像，从而造成错误预测。此外，先前的研究已经证明，由于特征表示的相似，针对代理模型生成的对抗样本能够高概率地误导目标模型。这种对抗迁移性可以大大降低发起攻击的难度，攻击者不需要了解目标模型的内部结构和参数等详细信息，通过黑盒攻击的形式进一步提升了对抗样本对人工智能应用的安全性威胁。因此，防御者需要设计具备更高鲁棒性的深度识别系统结合对抗性防御技术来抵抗对抗攻击。目前，研究人员针对自然图像提出的大量对抗防御方法主要可分为两类：主动防御和被动防御。主动防御的目的是提升目标网络对于对抗样本的鲁棒识别率，且对于原始样本仍保持较高的识别精度。然而，生成足够鲁棒的模型是不切实际的，有时鲁棒和非鲁棒分类器的决策不一致不一定是由对抗扰动引起的。因此，被动防御(即对抗检测)被视为一种替代方案，它解决了输入是否受到攻击的二元分类问题。对于这两类防御，现如今大多数策略都关注单个模型。然而，即便在对抗鲁棒性增强后，单个模型仍有可能再次成为更强和未知攻击的目标。于是，考虑使用集成多深度神经网络模型来寻求更高要求的对抗鲁棒性。当子模型的误差不相关且预测结果具备多样性，集成模型会比单个模型更加鲁棒。深度模型中各子模型的训练需完全独立，成员间的多样性依赖于初始化和学习过程的随机性。然而，仅仅组装多个完全独立训练的子模型并在输出层融合它们的预测并不是十分有效的，还需要充分利用深度神经网络对于遥感图像复杂的特征表示。已有一些学者提出了深度集成模型防御策略，如在被动防御中的集成对抗检测器，在主动防御中的集成对抗训练以及多种可以限制子模型间对抗迁移性的训练损失函数等。然而，这些方法相对较为独立，并没有很好地结合主被动防御相互补充的特点，目前在无人机进行场景或目标识别等安全性较高的任务时利用的对抗防御框架鲁棒性仍然很低。

技术实现思路

1、基于此，有必要针对上述技术问题，提供一种能够提高无人机视觉识别系统的对抗鲁棒性的基于特征校正和多级对抗防御的遥感图像深度识别方法。

2、一种基于特征校正和多级对抗防御的遥感图像深度识别方法，所述方法包括：

3、获取遥感数据集；根据pgd算法对遥感数据集进行对抗攻击并添加扰动制作对抗样本；对抗样本包括遥感图像和对抗攻击后的图像；

4、在多个卷积神经基础子网络中添加特征校正模块到每个卷积神经基础子网络的中间层构建集成模型；根据对抗样本和预先设置的对抗损失函数对集成模型进行对抗训练，得到深度集成网络模型；

5、对遥感数据集和对抗样本进行标注，在深度集成网络模型的每个子网络上根据标注后的样本训练多个对抗检测器，通过逻辑回归分类器对每个对抗检测器的输出进行整合构建被动防御模块；

6、将被动防御模块和深度集成网络模型按序连接构建遥感图像深度识别模型，根据遥感图像深度识别模型对待测遥感图像进行图像识别。

7、在其中一个实施例中，根据遥感图像深度识别模型对待测遥感图像进行图像识别，包括：

8、将待测遥感图像经过被动防御模块，得到待测遥感图像的多个置信度；

9、对待测遥感图像的多个置信度取平均值，得到总体置信度；

10、预先设置置信度阈值，若总体置信度大于置信度阈值，则判定待测遥感图像为对抗样本，拒绝待测遥感图像进行下一步；若总体置信度小于置信度阈值，则判定待测遥感图像为正常样本，通过待测遥感图像；

11、将通过被动防御模块的待测遥感图像传递给深度集成网络模型进行鲁棒识别，得到待测遥感图像的识别类别。

12、在其中一个实施例中，遥感数据集的获取过程包括：

13、获取多个遥感图像，对遥感图像进行剪切操作和归一化，得到归一化后的图像集；将归一化后的图像集随机划分为训练集和测试集，对训练集和测试集进行预处理，通过normalize操作将训练集和测试集中图像的数据线性的转换至均值为0、方差为1的数据集，得到遥感数据集。

14、在其中一个实施例中，根据pgd算法对遥感数据集进行对抗攻击并添加扰动制作对抗样本，包括：

15、根据pgd算法对遥感数据集进行对抗攻击并添加扰动制作对抗样本为

16、

17、

18、其中，为遥感数据集中的遥感图像x梯度迭代n次得到的对抗样本，s为随机球投影，ε为扰动限制，α为攻击步长，表示c&w攻击，z为softmax层输出，t为预测类别，i为除t外任意类别，-κ为噪声限制。

19、在其中一个实施例中，添加特征校正模块的过程包括：

20、添加特征校正模块的过程包括分离阶段和重新校准阶段；特征校正模块包括分离网络和全连接网络；全连接网络为集成模型的辅助层；

21、在分离阶段中，定义一个分离网络用于学习特征单元的鲁棒性，输出鲁棒性图谱；根据鲁棒性图谱设置软掩码，利用软掩码和预先设置的特征阈值来分解特征图，得到稳健特征和非稳健特征；

22、将稳健特征和非稳健特征加入全连接网络中，根据预先设置的第一损失函数引导分离网络为有助于辅助层做出正确决策的特征单元分配较高的鲁棒性得分帮助辅助层做出正确的预测；正确的预测包括正确的稳健特征和正确的非稳健特征；

23、根据校准网络对正确的非稳健特征进行校准，得到校准后的非稳健特征；

24、在重新校准阶段，根据辅助层对校准后的非稳健特征进行重新校准，得到重新校准后的非稳健特征；

25、根据稳健特征和重新校准后的非稳健特征输出特征图。

26、在其中一个实施例中，第一损失函数为其中，yc为真实标签，为相对应的置信度得分；yc′是置信度得分最高的错误标签，为置信度得分。

27、在其中一个实施例中，重新校准的校准损失函数为

28、

29、其中，是辅助层的输出预测得分，yc为真实标签。

30、在其中一个实施例中，对抗损失函数为

31、

32、其中，λsep和λrec是超参数，fi(·)表示深度集成网络模型中的单个子模型，和表示不同的权重，为任意形式对抗训练变体的损失函数。

33、在其中一个实施例中，对抗训练的目标函数为

34、

35、其中，θ表示深度集成网络模型的网络参数，x表示遥感数据集中的遥感图像，y表示遥感图像的真实标签，表示遥感图像的底层数据分布，δ表示生成的对抗扰动，表示对抗扰动的一般约束条件，表示训练基于参数为θ的深度神经网络模型f的损失函数。

36、在其中一个实施例中，对抗检测器包括局部固有维度、核密度估计和马氏距离；将待测遥感图像经过被动防御模块，得到待测遥感图像的多个置信度，包括：

37、将待测遥感图像经过被动防御模块，利用对抗检测器和逻辑回归分类器对待测遥感图像进行计算，得到待测遥感图像的置信度为

38、p(adv|v(x0))＝(1+exp(β0+βt·v(x0)))-1

39、v(x0)＝{d1(x0)，d2(x0)，d3(x0)}

40、di(x0)＝{di(a1)，di(a2)，...，di(al)}，i＝1,2,3

41、其中，d1表示局部固有维度，d2表示核密度估计，d3表示马氏距离，al表示第深度集成网络模型中的子模型l层提取的特征图，di(x0)表示对抗检测器统计到的分数，x0表示待测遥感图像实时遥感图像，βt是权重向量，β0表示权重偏置。

42、上述基于特征校正和多级对抗防御的遥感图像深度识别方法，本技术充分利用遥感图像中丰富且复杂的特征，引入特征校正模块，使更多的非稳健特征在对抗训练中被激活提高了深度集成网络模型的鲁棒性，连接被动防御模块与经过主动加固后的深度集成识别模型搭建多级对抗防御框架，实现了最高层次的对抗鲁棒性增强，降低智能无人机上的深度识别模型所带来的对抗脆弱性的威胁，被动防御中多个对抗检测统计特征集成和两模块前后连接，共同防御无人机在执行识别任务时可能遇到的对抗攻击图像的思想，实现了对于遥感对抗样本的防御，将该被动防御模块和主动加固后的深度集成神经网络部署于现代智能无人机视觉系统上，当遭遇敌方通过信道获取并恶意攻击无人机摄像头和传感器拍摄到的遥感图像时，将大大提高无人机视觉识别系统的对抗鲁棒性，降低系统识别错误进而导致执行任务失败的概率；此外，本技术还可使用较为轻量化的神经网络作为子网络架构，降低推理时间，适用于边缘端环境。