本发明涉及量子机器学习,模糊集理论以及网络对抗领域,尤其涉及一种量子模糊机器学习对抗防御模型。
背景技术:
近些年来,机器学习领域取得了许多研究成果,并在众多领域取得了成功的应用,但是机器学习也面临着许多安全隐患。例如机器学习系统很容易被对抗样本所欺骗,从而导致错误的分类;使用在线机器学习系统进行分类的用户不得不向服务器公开他们的数据,这会导致隐私泄露,更糟糕的是机器学习的广泛使用正在加剧这些安全风险。目前,许多研究人员正在探索和研究针对深度学习潜在攻击以及相应的防御技术。在过去3年里,有关机器学习系统安全的研究2018年比2017年增长了61.5%,2019年比2018年增长了56.2%,这也说明了机器学习乃至人工智能领域的安全问题越来越引起人们的重视。
在经典的机器学习中,对抗攻击与对抗防御已取得了一些成果。szegdy等人首先提出了对抗样本的概念,并提出了l-bfgs攻击方法,该方法对要预测或分类的样本里加入精心构造的扰动,输入给已训练好的模型,导致模型以很高的置信度给出错误的输出。同时,作者提出利用对抗样本进行对抗训练,可以提高深度神经网络的鲁棒性。goodfellow等人提出深度神经网络在高维空间中的线性特性是导致对抗攻击产生的根本原因,并利用fgsm生成对抗样本,来攻击分类模型。papernot等人针对机器学习的安全性和隐私性,提出了一种机器学习的威胁模型;carlini等人提出了文本对抗攻击模型(deepsearch),该模型可以通过添加小扰动将任意给定的波形转换成任意期望的目标短语;庞天宇等人提出了一种反向交叉熵对抗防御方法,可以有效地抵御对抗攻击;谢慈航等人提出在预测过程使用对输入的随机化来防御对抗攻击并减轻影响。samangouei等人利用gan来保护分类器,以防御对抗样本的攻击。
在量子机器学习中,要研究量子分类器的安全性和鲁棒性,首先将经典的对抗攻击和对抗防御方法引入量子分类器,并利用量子力学的性质,探索量子对抗攻击与对抗防御方法。2018年,wiebe等人利用量子信息来保护量子分类器,使得量子分类器更安全、更隐私。2019年,liu等人提出量子分类容易受到对抗干扰的攻击,并证明引起错误分类所需要的扰动量与希尔伯特空间的维数成反比,并提出量子对抗攻击所需要的防御资源,至少与系统的希尔伯特空间的维数呈多项式增长。2019年,jiang等人发现基于深度神经网络的典型的相变分类器极易受到对抗性样本的攻击,揭示了机器学习技术应用于凝聚态物理的脆弱性。2019年,casares等人提出一种量子主动学习算法来防御对抗样本的攻击,并实现了指数级加速效率。2019年,lu等人利用白盒攻击和黑盒攻击,构造对抗样本来攻击量子分类器,揭示了qml系统在对抗扰动方面的脆弱性,同时利用对抗训练来防御对抗样本的攻击,验证了量子对抗训练能够增强变分量子分类器的鲁棒性。2020年,du等人利用量子噪声来保护量子分类器,成功防御了对抗样本的攻击。
目前,针对机器学习的安全性分析与研究已取得了一些成果,但针对量子模糊机器学习算法的安全性(比如潜在防御技术)研究还没有,量子模糊机器学习算法还具有脆弱性及很多的不足,安全性和鲁棒性均需要提升,同时,为了抵御恶意攻击者的攻击,亟需一种针对量子模糊机器学习的对抗防御模型方法。
技术实现要素:
为了解决以上问题,本发明的目的是提供一种量子模糊机器学习对抗防御模型方法,该模型方法可有效抵御恶意攻击者的攻击,提升量子模糊机器学习系统的安全性和鲁棒性,确保量子模糊机器学习算法安全、可靠地运行,同时能够高效、安全、准确处理大数据所具有的复杂性和不确定性问题以及丰富“量子计算 人工智能”理论与技术和研究方法。
为了实现以上目的,本发明采用的技术方案:
一种量子模糊机器学习对抗防御模型方法,其特征在于,包括:
s1、构造合法用户的量子模糊数据样本;
s2、模拟恶意攻击者构建攻击策略,将构造好的扰动添加到合法用户的量子模糊数据样本中,形成恶意攻击者的量子模糊对抗样本;
s3、将合法用户量子模糊数据样本与恶意攻击者的量子模糊对抗样本提交给量子模糊机器学习系统训练和学习,量子模糊机器学习系统做出正确决策;
其中,所述量子模糊机器学习系统包括对抗防御模块,所述对抗防御模块为防御恶意攻击者的对抗样本,使量子模糊机器学习系统做出正确决策。
进一步的是,所述对抗防御模块为第一类防御策略;所述第一类防御策略为量子模糊机器学习对抗样本识别器,阻止恶意攻击者提交的量子模糊对抗样本。
进一步的是,所述对抗防御模块为第二类防御策略,所述第二类防御策略为量子模糊机器学习对抗样本校正器,将恶意攻击者的量子模糊对抗样本进行校正。
进一步的是,所述对抗防御模块为第三类防御策略,所述第三类防御策略为高鲁棒性的量子模糊机器学习系统,能够有效抵御恶意攻击者的量子模糊对抗样本。
进一步的是,所述量子模糊机器学习对抗样本识别器采用二分类法进行训练、测试,并识别合法用户所提交的量子模糊数据样本,从而做出正确决策;识别恶意攻击者所提交的量子模糊对抗样本,阻止该样本的攻击。
进一步的是,所述二分类法包括:
将量子模糊数据样本分为量子模糊数据样本的测试集和量子模糊数据样本的训练集;
对所述测试集和训练集中所有样本快速梯度符号法(fgsm)进行构造,得到量子模糊对抗样本的测试集和量子模糊对抗样本的训练集;
对量子模糊数据样本的训练集与量子模糊对抗样本的训练集进行识别,进而拟合模型。
再对量子模糊数据样本的测试集与量子模糊对抗样本的测试集进行识别,进而验证模型的准确率。
进一步的是,所述量子模糊机器学习对抗样本校正器的防御方法包括:
输入量子模糊混合样本,所述量子模糊混合样本为合法用户的量子模糊数据样本与恶意攻击者的量子模糊对抗样本的总和;
对量子模糊混合样本采用重构法进行校正,进而使量子模糊机器学习系统做出正确决策。
进一步的是,所述重构法为采用自编码的方法进行重构,包括:
对量子模糊数据样本进行训练与建模,得到一个自编码器;
通过自编码器将量子模糊对抗样本映射为原始的量子模糊数据样本;
最后,对量子模糊混合样本计算重构误差,进而判断校正是否成功;
校正成功后的样本交给量子模糊机器学习系统进行处理,做出正确的决策。
进一步的是,所述高鲁棒性的量子模糊机器学习系统防御方法包括:
将合法的量子模糊数据样本的训练集和量子模糊对抗样本合并;
将合并样本放入量子模糊机器学习系统进行训练,完成拟合模型;
找到最佳模型参数,将量子模糊对抗样本的攻击风险最小化;
最后,量子模糊机器学习系统做出正确的决策。
本发明的有益效果:
本发明将“量子模糊信息管理数学模型 机器学习对抗防御模型”交叉融合,针对如何提升量子模糊机器学习算法的安全性和鲁棒性问题,在对抗攻击模型的基础上,设计量子模糊机器学习对抗防御模型。该模型确保量子模糊机器学习算法安全、可靠地运行,同时能够高效、安全、准确处理大数据所具有的复杂性和不确定性问题以及丰富“量子计算 人工智能”理论与技术和研究方法。
本发明的三种防御策略目的是针对量子模糊机器学习算法的脆弱性及不足等问题,借鉴传统的机器学习算法的对抗防御研究方案,提出量子模糊机器学习的对抗防御模型,达到有效遏制恶意攻击者的对抗攻击,提升量子模糊机器学习算法的安全性和鲁棒性。相当于传统的机器学习算法的对抗防御研究而言,本发明旨在提升量子模糊机器学习算法的安全性和鲁棒。
本发明的第一类防御模型,通过对大量的数据进行训练和测试,即可准确识别出量子模糊对抗样本,从而阻断量子模糊对抗样本的攻击,达到防御目的;第二类防御模型将量子模糊对抗样本映射为原始的量子模糊数据样本,达到对量子模糊对抗样本校正的目的,从而使量子模糊机器学习系统能够做出正确决策;第三类防御模型,将对抗训练引入量子模糊机器学习系统,进而提高量子模糊机器学习系统的鲁棒性,防御用途广,鲁棒性高。
附图说明
图1为本发明一种量子模糊机器学习对抗防御模型方法的流程示意图;
图2为本发明对抗防御模型方法的第一类防御策略的流程示意图;
图3为本发明对抗防御模型方法的第二类防御策略的流程示意图;
图4为本发明对抗防御模型方法的第三类防御策略的流程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步阐述。
实施例1
一种量子模糊机器学习对抗防御模型方法,其流程图如图1所示,具体如下:
s1、构造合法用户的量子模糊数据样本;
首先,根据量子模糊数学管理模型,引入模糊集合,经典的模糊数据样本集为:d={<xi,yi,μi(xi)>|xi∈x},yi∈{-1, 1},
其中,μi(xi)为xi隶属于模糊集合{<xi,μa(xi)>|xi∈x}的隶属度函数,每一个xi=(xi1,xi2,...,xim)的m个特征向量编码到量子概率幅,形成量子概率幅编码,该过程可表示为:
其次,制备量子模糊数据样本,量子模糊数据样本表示为:
s2、模拟恶意攻击者构建攻击策略,将构造好的扰动添加到合法用户的量子模糊数据样本中,形成恶意攻击者的量子模糊数据对抗样本;
恶意攻击者采用的攻击策略为使用迭代计算的快速梯度符号法。
首先构造量子模糊对抗样本并不需要优化参数空间,而是将模型参数
其中,
因此,在构造量子模糊对抗样本的过程中,需要固定模型参数
s3、将合法用户量子模糊数据样本与恶意攻击者的量子模糊对抗样本均提交给量子模糊机器学习系统训练和学习,量子模糊机器学习系统做出正确决策;
其中,恶意攻击者提交的量子模糊对抗样本会干扰量子模糊机器学习系统做出正确的决策,量子模糊机器学习系统包括对抗防御模块,对抗防御模块为防御恶意攻击者的量子模糊数据对抗样本,使量子模糊机器学习系统做出正确决策。
实施例2
基于以上实施例1,其流程图如图1和2所示,当对抗防御模块采用第一类防御策略时;即量子模糊机器学习对抗样本识别器,可阻止恶意攻击者提交的样本,达到防御目的。
其中,量子模糊机器学习对抗样本识别器防御方法如下:
所述量子模糊机器学习对抗样本识别器采用二分类法进行训练、测试,并识别合法用户所提交的量子模糊数据样本
其中,二分类法包括:
将量子模糊数据样本分为量子模糊数据样本的测试集
对所述测试集
对量子模糊数据样本的训练集
实施例3
基于以上实施例1,其流程图如图1和3所示,对抗防御模块采用第二类防御策略时,第二类防御策略为对输入的量子模糊混合样本(包括量子模糊数据样本和量子模糊对抗样本)进行重构,使得量子模糊机器学习系统做出正确的决策,达到防御目的。
量子模糊机器学习对抗样本校正器的防御方法包括:
输入量子模糊混合样本,量子模糊混合样本为合法用户的量子模糊数据样本与恶意攻击者的量子模糊对抗样本的总和;
对量子模糊混合样本采用重构法进行校正,进而使量子模糊机器学习系统做出正确决策。
其中,重构法为采用自编码的方法进行重构,包括:
对量子模糊数据样本进行训练与建模,得到一个自编码器;
通过自编码器将量子模糊对抗样本映射为原始的量子模糊数据样本;
最后,对量子模糊混合样本计算重构误差,进而判断校正是否成功;
校正成功后的样本交给量子模糊机器学习系统进行处理,做出正确的决策。
具体实施方式如下:
重构法为采用训练一个自编码器的方法进行重构,包括:
对量子模糊数据样本
自编码器需使训练的量子模糊数据样本
其中,损失函数为:
为了测试自编码器的泛化能力,需要使用训练集中的量子模糊对抗样本
对所有的样本(包括量子模糊数据样本和量子模糊对抗样本)计算重构误差,重构误差的计算公式如下;
实施例4
基于以上实施例1,其流程图如图1和4所示,当对抗防御模块采用第三类防御策略时,即高鲁棒性的量子模糊机器学习系统,能够有效抵御恶意攻击者的量子模糊对抗样本的攻击,达到防御目的。
其中,高鲁棒性的量子模糊机器学习系统防御方法如下:
将合法的量子模糊数据样本的训练集和量子模糊对抗样本合并;
将合并样本放入量子模糊机器学习系统进行训练,完成模型拟合,以增强量子模糊机器学习系统的鲁棒性。
找到最佳模型参数,将量子模糊对抗样本的攻击风险最小化;
为了最小化量子模糊对抗样本的攻击风险,需要重新优化损失函数,对损失函数关于参数
其中
其中β是量子模糊对抗样本占整个用于训练的量子模糊数据样本的比例。
最后,经过对量子模糊机器学习系统的训练,就能够达到最小化量子模糊对抗样本攻击的目的,从而使得量子模糊机器学习系统做出正确的决策。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
1.一种量子模糊机器学习对抗防御模型方法,其特征在于,包括:
s1、构造合法用户的量子模糊数据样本;
s2、模拟恶意攻击者构建攻击策略,将构造好的扰动添加到合法用户的量子模糊数据样本中,形成恶意攻击者的量子模糊对抗样本;
s3、将合法用户量子模糊数据样本与恶意攻击者的量子模糊对抗样本提交给量子模糊机器学习系统训练和学习,量子模糊机器学习系统做出正确决策;
其中,所述量子模糊机器学习系统包括对抗防御模块,所述对抗防御模块为防御恶意攻击者的对抗样本,使量子模糊机器学习系统做出正确决策。
2.根据权利要求1所述的对抗防御模型方法,其特征在于,所述对抗防御模块为第一类防御策略;所述第一类防御策略为量子模糊机器学习对抗样本识别器,阻止恶意攻击者提交的量子模糊对抗样本。
3.根据权利要求1所述的对抗防御模型方法,其特征在于,所述对抗防御模块为第二类防御策略,所述第二类防御策略为量子模糊机器学习对抗样本校正器,将恶意攻击者的量子模糊对抗样本进行校正。
4.根据权利要求1所述的对抗防御模型方法,其特征在于,所述对抗防御模块为第三类防御策略,所述第三类防御策略为高鲁棒性的量子模糊机器学习系统,能够有效抵御恶意攻击者的量子模糊对抗样本。
5.根据权利要求2所述的对抗防御模型方法,其特征在于,所述量子模糊机器学习对抗样本识别器采用二分类法进行训练、测试,并识别合法用户所提交的量子模糊数据样本,从而做出正确决策;识别恶意攻击者所提交的量子模糊对抗样本,阻止该样本的攻击。
6.根据权利要求5所述的对抗防御模型方法,其特征在于,所述二分类法包括:
将量子模糊数据样本分为量子模糊数据样本的测试集和量子模糊数据样本的训练集;
对所述测试集和训练集中所有样本采用快速梯度符号法(fgsm)进行构造,得到量子模糊对抗样本的测试集和量子模糊对抗样本的训练集;
对量子模糊数据样本的训练集与量子模糊对抗样本的训练集进行识别,进而拟合模型;
再对量子模糊数据样本的测试集与量子模糊对抗样本的测试集进行识别,进而验证模型的准确率。
7.根据权利要求3所述的对抗防御模型方法,其特征在于,所述量子模糊机器学习对抗样本校正器的防御方法包括:
输入量子模糊混合样本,所述量子模糊混合样本为合法用户的量子模糊数据样本与恶意攻击者的量子模糊对抗样本的总和;
对量子模糊混合样本采用重构法进行校正,进而使量子模糊机器学习系统做出正确决策。
8.根据权利要求7所述的对抗防御模型方法,其特征在于,所述重构法为采用自编码的方法进行重构,包括:
对量子模糊数据样本进行训练与建模,得到一个自编码器;
通过自编码器将量子模糊对抗样本映射为原始的量子模糊数据样本;
最后,对量子模糊混合样本计算重构误差,进而判断校正是否成功;
校正成功后的样本交给量子模糊机器学习系统进行处理,做出正确的决策。
9.根据权利要求4所述的对抗防御模型方法,其特征在于,所述高鲁棒性的量子模糊机器学习系统防御方法包括:
将合法的量子模糊数据样本的训练集和量子模糊对抗样本合并;
将合并样本放入量子模糊机器学习系统进行训练,完成拟合模型;
找到最佳模型参数,将量子模糊对抗样本的攻击风险最小化;
最后,量子模糊机器学习系统做出正确的决策。
技术总结