基于图像预处理的对抗样本防御方法技术

本发明专利技术属于人工智能安全技术领域，公开了一种基于图像预处理的对抗样本防御方法，包括步骤1：构建防御模型AGD；所述防御模型AGD共有17层网络，由三大模块构成，其中，前12层网络为扩张卷积模块，中间四层网络为特征增强模块，最后一层网络为注意力模块；步骤2：构建图像重建模型；基于超分辨率设计图像重建模型，对AGD防御模型处理后的样本进行重建；步骤3：构建防御框架SR

【技术实现步骤摘要】
基于图像预处理的对抗样本防御方法


[0001]本专利技术属于人工智能安全
，尤其涉及一种基于图像预处理的对抗样本防御方法。

技术介绍

[0002]随着对抗样本研究的深入，研究者们针对不断涌现的对抗攻击，提出了许多防御方法。虽然这些防御方法在一定程度上起到了防御作用，但仍存在许多问题。例如，梯度遮蔽方法无法防御无需模型梯度信息的对抗攻击；对抗训练防御方法训练成本高、模型的准确性与鲁棒性难以权衡、自适应性差等等。而图像预处理作为一种高效的防御手段，不但防御效果好，而且具备兼容性，能与其他类型的防御方法结合来进一步提高模型的防御能力。因此，我们从图像预处理的角度入手，通过去除对抗样本上的对抗扰动，来使对抗样本重新被分类正确。
[0003]而在已有的类似防御方法中，目前也存在一些问题。例如，利用滤波器去除对抗扰动时，只能去除少部分的扰动；在像素上去除对抗扰动时，存在残余扰动放大现象；HGD防御方法虽具备更好的防御效果，但对抗扰动去除效果仍有待提升。由此可见，对抗扰动与图像上的自然噪声有所不同，更难提取与去除。

技术实现思路

[0004]本专利技术目的在于提供一种基于图像预处理的对抗样本防御方法,以解决上述的技术问题。
[0005]为了提高防御效果，增强去除对抗扰动的能力，本专利技术基于注意力机制以及超分辨率的防御技术SR
‑
AGD：利用注意力机制的特性提出防御模型AGD，增强模型对对抗扰动的特征提取能力，提高对抗扰动去除效果；利用超分辨率提出图像重建模型，对经AGD模型处理后的图像进行重建，重构图像细节信息与结构。具体技术方案如下：
[0006]一种基于图像预处理的对抗样本防御方法，包括如下步骤：
[0007]步骤1：构建防御模型AGD；所述防御模型AGD共有17层网络，由三大模块构成，其中，前12层网络为扩张卷积模块，中间四层网络为特征增强模块，最后一层网络为注意力模块；
[0008]步骤2：构建图像重建模型；基于超分辨率设计图像重建模型，对AGD防御模型处理后的样本进行重建，减轻AGD对正常样本产生的影响；
[0009]步骤3：构建防御框架SR
‑
AGD；结合AGD防御模型和图像重建模型的特点，构建防御框架SR
‑
AGD，实现对对抗攻击的防御效果。
[0010]进一步地，所述步骤1在扩张卷积模块中，通过将第2层、第5层、第9层以及第12层的卷积层由普通卷积改为扩张卷积，达到增大感受野来映射图像中更多的上下文信息，从而有助于获取到更多的对抗扰动特征，公式(1)对扩张卷积模块的过程进行了表示，其中x
*
代表输入的对抗样本，f
DC
代表扩张卷积模块实现的作用，O
DC
代表扩张卷积模块的输出，
[0011]O
DC
＝f
DC
(x
*
)。
ꢀꢀ
(1)
[0012]进一步地，所述步骤1在特征增强模块中，将输入的对抗样本特征与第16层网络所输出的特征进行融合，公式(2)对特征增强模块的过程进行了表示，其中x
*
代表输入的对抗样本，O
DC
代表扩张卷积模块的输出，f
FE
代表特征增强模块实现的作用，O
FE
代表扩张卷积模块的输出，
[0013]O
FE
＝f
FE
(x
*
，O
DC
)。
ꢀꢀ
(2)
[0014]进一步地，所述步骤1在最后一层网络上加入了CBAM注意力模块来进行注意力机制的实现；CBAM注意力机制主要包括两部分，分别为通道注意力和空间注意力，注意力模块利用通道与空间这两个维度，对AGD防御模型中的中间特征图分别采用两个独立的注意力机制来得到权重系数，公式(3)表示了注意力模块的处理过程，其中O
FE
代表特征增强模块的输出，也是注意力模块的输入，f
AB
代表注意力模块实现的作用，代表注意力模块的输出，即对抗扰动信息的残差图像，
[0015][0016]进一步地，所述步骤1在AGD防御模型损失函数的设计中，将扰动去除前后图像在目标模型高层网络中输出结果之间的差异作为损失函数，如公式(4)所示，其中，代表经AGD处理去除了对抗扰动的图像，x代表原始图像，F
l
代表目标模型中第l层网络的输出结果，||
·
||代表L1范数，
[0017][0018]进一步地，所述步骤2的图像重建模型由三个模块组成，分别是特征提取模块、多尺度特征融合模块以及亚像素重建模块。
[0019]进一步地，所述步骤2在特征提取模块，对AGD处理后的图像进行初始特征的提取，作为后续模块的输入，利用了一个1
×
1的卷积提取AGD防御模型处理后图像的初始特征，该过程用公式(5)表示，
[0020][0021]其中，代表输入的低分辨率图像，即AGD防御模型处理后得到的图像，F
E
代表卷积核大小为1
×
1的卷积层对特征的提取过程，O
E
代表提取初始特征后得到的特征图。
[0022]进一步地，所述步骤2在多尺度特征融合模块，采用多个大小不同的卷积核对初始特征进行卷积操作，以提取不同维度的特征信息，并利用特征级联实现对多尺度特征的融合，提高模型获取到的图像特征的丰富度，多尺度特征融合模块增加了网络的宽度，能够提取到不同维度的特征信息，并使这些特征信息得到充分利用，该过程可用公式(6)表示，
[0023]O
M
＝F
M
(O
E
)，(6)
[0024]其中，O
E
代表特征提取模块提取的初始特征，F
M
代表多尺度特征融合模块的作用，O
M
代表经过多尺度特征融合后得到的新特征信息，在多尺度特征融合模块，包含三种不同尺度的卷积核，卷积核的大小分别为3
×
3、5
×
5和7
×
7，使用不同尺寸的卷积核，获取输入图像不同区域大小的特征信息，来提高特征的丰富度，同时，利用残差融合的方式，避免特征信息在网络传递中的丢失，保证每层网络提取到的特征信息都能被充分利用，此外，将不同尺度卷积核所提取的多个特征进行级联融合后，采用一个大小为1
×
1的卷积进行降维处理。
[0025]进一步地，所述步骤2的亚像素重建模块，在亚像素重建前，将多尺度特征融合模块所得到的高级特征与低分辨率图像中的低级特征进行残差融合，之后，亚像素重建模块对融合后的特征进行亚像素卷积操作，重建高分辨率图像，该模块可用公式(7)表示，其中x
′
代表经图像重建模型重建后的图像，
[0026]x
′
＝F
S本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于图像预处理的对抗样本防御方法，其特征在于，包括如下步骤：步骤1：构建防御模型AGD；所述防御模型AGD共有17层网络，由三大模块构成，其中，前12层网络为扩张卷积模块，中间四层网络为特征增强模块，最后一层网络为注意力模块；步骤2：构建图像重建模型；基于超分辨率设计图像重建模型，对AGD防御模型处理后的样本进行重建，减轻AGD对正常样本产生的影响；步骤3：构建防御框架SR
‑
AGD；结合AGD防御模型和图像重建模型的特点，构建防御框架SR
‑
AGD，实现对对抗攻击的防御效果。2.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤1在扩张卷积模块中，通过将第2层、第5层、第9层以及第12层的卷积层由普通卷积改为扩张卷积，达到增大感受野来映射图像中更多的上下文信息，从而有助于获取到更多的对抗扰动特征，公式(1)对扩张卷积模块的过程进行了表示，其中x
*
代表输入的对抗样本，f
DC
代表扩张卷积模块实现的作用，O
DC
代表扩张卷积模块的输出，O
DC
＝f
DC
(x
*
)。
ꢀꢀꢀꢀ
(1)3.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤1在特征增强模块中，将输入的对抗样本特征与第16层网络所输出的特征进行融合，公式(2)对特征增强模块的过程进行了表示，其中x
*
代表输入的对抗样本，O
DC
代表扩张卷积模块的输出，f
FE
代表特征增强模块实现的作用，O
FE
代表扩张卷积模块的输出，O
FE
＝f
FE
(x
*
，O
DC
)。
ꢀꢀꢀꢀ
(2)4.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤1在最后一层网络上加入了CBAM注意力模块来进行注意力机制的实现；CBAM注意力机制主要包括两部分，分别为通道注意力和空间注意力，注意力模块利用通道与空间这两个维度，对AGD防御模型中的中间特征图分别采用两个独立的注意力机制来得到权重系数，公式(3)表示了注意力模块的处理过程，其中O
FE
代表特征增强模块的输出，也是注意力模块的输入，f
AB
代表注意力模块实现的作用，代表注意力模块的输出，即对抗扰动信息的残差图像，5.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤1在AGD防御模型损失函数的设计中，将扰动去除前后图像在目标模型高层网络中输出结果之间的差异作为损失函数，如公式(4)所示，其中，代表经AGD处理去除了对抗扰动的图像，x代表原始图像，F
l
代表目标模型中第l层网络的输出结果，||
·
||代表L1范数，6.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤2的图像重建模型由三个模块组成，分别是特征提取模块、多尺度特征融合模块以及亚像素重建模块。7.根据权利要求6所述的基于图像预处理的对抗样本防御方法，其特征...

【专利技术属性】
技术研发人员：陈梦轩，邵俊，
申请(专利权)人：浙江工商大学，
类型：发明
国别省市：