攻击无依赖的可迁移对抗样本检测方法技术

本发明专利技术公开了一种攻击无依赖的可迁移对抗样本检测方法，构造自编码网络模型、全局互信息估计模型、局部互信息估计模型和先验分布匹配判别模型，采用训练样本图像集对以上模型进行联合训练，在联合训练时，先固定先验分布匹配判别模型的参数，对其他三个模型进行参数更新，然后固定自编码网络模型的参数，对先验分布匹配判别模型进行参数更新，训练完毕后提取自编码器网络模型中的编码器，将其和另外构建的分类器构成对抗样本检测模型并采用训练样本集进行训练，将待检测样本图像分别输入至目标模型和对抗样本检测模型，如果得到的分类结果不一致，则该样本图像是对抗样本。本发明专利技术具有强迁移能力和泛化能力，能够应对复杂多变的真实应用场景。的真实应用场景。的真实应用场景。

【技术实现步骤摘要】
攻击无依赖的可迁移对抗样本检测方法


[0001]本专利技术属于人工智能
，更为具体地讲，涉及一种攻击无依赖的可迁移对抗样本检测方法。

技术介绍

[0002]随着高效深度学习软件库的开放及硬件设备的持续升级，深度学习技术被广泛应用于计算机视觉、人机交互、智能决策等多个领域，正逐渐渗透并改变着人们的日常生活。然而，对抗样本严重阻碍了深度学习技术在安全相关领域中的应用。
[0003]对抗样本是一类通过在输入数据中添加难以察觉的细微扰动所生成的恶意样本，可以轻而易举地让表现良好的神经网络模型以高置信度输出错误结果。例如，攻击者通过在路标中添加精心设计的涂鸦，可以致使无人驾驶系统错误识别路标，威胁交通参与者的人身安全。
[0004]对抗样本检测技术作为一种有效的防御方法，因其无需更改输入数据和目标模型而受到了广泛青睐。然而，已有的相关工作通常需要目标模型或者攻击方法的先验知识，可迁移能力和泛化能力不足，难以应对复杂的开放环境。

技术实现思路

[0005]本专利技术的目的在于克服现有技术的不足，提供一种攻击无依赖的可迁本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击无依赖的可迁移对抗样本检测方法，其特征在于，包括以下步骤：S1：根据实际需要获取若干训练样本图像及其对应的分类标签，构成训练样本图像集；S2：构造自编码网络模型、全局互信息估计模型、局部互信息估计模型和先验分布匹配判别模型，其中：自编码网络模型包括编码器和解码器，其中编码器用于对输入样本图像提取特征，解码器用于根据特征进行重构得到重构样本图像；全局互信息估计模型用于估计输入样本图像和其高维特征表示向量间的全局互信息值，具体方法如下：将输入样本图像x输入自编码网络模型，编码器提取得到高维特征表示向量z，然后将编码器最后一层卷积层所输出的特征图f1一维化之后与高维特征表示向量z进行拼接，得到特征向量h1；然后将另一个参考输入样本图像x
′
输入自编码网络模型，将编码器最后一层卷积层所输出的特征图f2一维化后与原输入样本图像的高维特征表示向量z进行拼接，得到另一个特征向量h2；将上述两个特征向量h1和h2分别输入预设的全局互信息判别模型得到判别值T1和T2，采用如下公式估计得到输入样本图像和其高维特征表示向量间的全局互信息估计值l
g
：l
g
＝log(T1)+log(1
‑
T2)局部互信息用于估计输入样本图像和其高维特征表示向量间的局部互信息值，具体方法如下：将输入样本图像x输入自编码网络模型，编码器提取得到高维特征表示向量z，在编码器最后一层卷积层所输出的特征图f1的每个位置拼接一个高维特征表示向量z，得到特征图像I1；然后将另一个输入样本图像x
′
输入自编码网络模型，将编码器最后一层卷积层所输出的特征图f2的每个位置拼接一个原输入样本图像的高维特征表示向量z，得到另一个特征图像I2；将上述两个特征向量I1和I2分别输入预设的全局互信息判别模型得到判别矩阵R1和R2，采用如下公式估计得到输入样本图像和其高维特征表示向量间的局部互信息估计值l
m
：其中，R1(i,j)、R2(i,j)分别表示判别矩阵R1和R2中坐标(i,j)的元素值，i＝1,2,
…
,M，j＝1,2,
…
,H，M
×
H表示判别矩阵的大小；先验分布匹配判别模型用于对输入样本图像的高维特征表示向量进行判别，得到判别值；S3：采用训练样本图像对步骤S2中所构建的4个模型进行联合训练，具体包括以下步骤：S3.1：初始化自编码网络模型、全局互信息估计模型、局部互信息估计模型和先验分布匹配判别模型的参数，设置迭代次数t＝1；S3.2：将训练样本图像集随机划分为若干批次，记得到的训练样本图像的批次数量为K，每个批次中训练样本图像的数量为N；S3.3：令批次序号k＝1；
S3.4：将第k个批次的训练样本图像{x1,x2,
…
,x
n
,
…
,x
N
}输入自编码网络模型中，x
n
表示本批次中第n张训练样本图像，n＝1,2,
…
,N，由编码器中获取该批次训练样本图像的高维特征表示向量{z1,z2,
…
,z
n
,
…
,z
N
}，记编码器中最后一层卷积层输出的特征图为解码器基于图像的高维特征表示向量对图像进行重构，得到第k个批次训练样本图像的重构样本图像{G(z1),G(z2),
…
,G(z
n
),
…
,G(z
N
)}；对每个训练样本图像的高维特征表示向量进行加噪处理，得到加噪后的高维特征表示向量{z1+ξ,z2+ξ,
…
,z
n
+ξ,
…
,z
N
+ξ}，其中ξ表示噪声，解码器基于加噪后的高维特征表示向量对图像进行重构，得到第k个批次中训练样本图像的加噪重构样本图像{G(z1+ξ),G(z2+ξ),
…
,G(z
n
+ξ),
…
,G(z
N
+ξ)}；然后将第k个批次的训练样本图像重新随机排序，记得到的训练样本图像为{x
′1,x
′2,
…
,x
′
n
,
…
,x
′
N
}，将重新随机排序后的训练样本图像输入自编码网络模型中，记编码器中最后一层卷积层输出的特征图为S3.5：对于第k个批次的每个训练样本图像x
n
，将重新随机排序后的训练样本图像x
′
n
作为参考输入样本图像，将训练样本图像x
n
的高维特征表示向量z
n
、特征图以及训练样本图像x
′
n
的特征图输入全局互信息估计模型中，得到训练样本图像x
n
和其高维特征表示向量z
n
的全局互信息估计值L
n,g
；将第k个批次中各个训练样本图像和其高维特征表示向量的全局互信息估计值进行平均，得到该批次的全局互信息估计值L
g
；S3.6：对于第k个批次的每个训练样本图像x
n
，将重新随机排序后的训练样本图像x
′
n

【专利技术属性】
技术研发人员：高嵩，周维，王晓璇，董云云，武丽雯，姚绍文，
申请(专利权)人：云南大学，
类型：发明
国别省市：