一种防御对抗攻击的图像分类方法、装置和计算机设备制造方法及图纸

技术编号:35492060 阅读:27 留言:0更新日期:2022-11-05 16:48
本申请涉及一种种防御对抗攻击的图像分类方法、装置和计算机设备,首先获取预先构建的图像分类模型以及图像分类模型的最后一层特征提取器的权重,向权重中引入随机噪声,其中随机噪声满足多变量高斯分布;然后将原始图像输入图像分类模型,获取最后一层特征提取器提取的原始图像特征;再根据原始图像特征和随机噪声的分布方差构建基于权重的损失函数,根据基于权重的损失函数构建图像分类模型的损失函数;最后优化图像分类模型的损失函数得到训练好的防御对抗攻击的图像分类模型,采用防御对抗攻击的图像分类模型进行图像分类。本发明专利技术可以大大减少训练时间和计算负担,同时确保对原始图像分类的准确性和鲁棒性。对原始图像分类的准确性和鲁棒性。对原始图像分类的准确性和鲁棒性。

【技术实现步骤摘要】
一种防御对抗攻击的图像分类方法、装置和计算机设备


[0001]本申请涉及计算机设觉
,特别是涉及一种防御对抗攻击的图像分类方法、装置和计算机设备。

技术介绍

[0002]深度神经网络已被广泛用于各个领域,并凭借其强大的表示能力取得了卓越的性能。然而,深度神经网络对不易察觉的故意扰动(又称对抗性攻击)容易出错,这对将深度神经网络应用于安全关键场景构成了重大挑战。近年来,人们提出了许多防御方法来提高深度神经网络的抗攻击能力,即对抗性鲁棒性,进而保证图像分类结果的稳定性。
[0003]现有的随机防御方法大多依赖于对抗性训练,对抗训练首先通过对抗性攻击生成对抗性图像样本,然后利用生成的对抗图像样本重新训练模型,它以牺牲干净图像的准确性为代价提高模型的对抗性鲁棒性。因此,依靠对抗性训练的方法是一个低效的训练过程,并阻碍了在现实世界中的应用,特别是在需要快速决策的场景。总而言之,为了提高模型的防御对抗攻击能力以确保图像分类结果的稳定性,迫切需要一种不需要对抗性训练的图像分类方法。

技术实现思路

[0004]基于此,提供一种无需本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防御对抗攻击的图像分类方法,其特征在于,所述方法包括:获取预先构建的图像分类模型以及所述图像分类模型的最后一层特征提取器的权重,向所述权重中引入随机噪声;所述随机噪声满足多变量高斯分布;将原始图像输入所述图像分类模型,获取所述最后一层特征提取器提取的原始图像特征;根据所述原始图像特征和所述随机噪声的分布方差构建基于权重的损失函数,根据所述基于权重的损失函数构建所述图像分类模型的损失函数;优化所述图像分类模型的损失函数得到训练好的防御对抗攻击的图像分类模型,采用所述防御对抗攻击的图像分类模型进行图像分类。2.根据权利要求1所述的方法,其特征在于,向所述权重中引入随机噪声,包括:在多变量高斯分布中进行采样,获取一个零均值单位方差向量;所述多变量高斯分布的均值C表示图像分类模型的输出类别数,D表示最后一层特征提取器提取的原始图像特征的维度;根据所述零均值单位方差向量和下三角矩阵的乘积得到随机噪声的各向异性高斯分布的协方差矩阵:∑=L
·
L
T
其中,∑表示协方差矩阵,即随机噪声的分布方差,表示零均值单位方差向量和下三角矩阵的乘积;从所述各向异性高斯分布中进行采样,向所述权重中引入各向异性的随机噪声。3.根据权利要求1所述的方法,其特征在于,根据所述原始图像特征和所述随机噪声的分布方差构建基于权重的损失函数,包括:根据所述原始图像特征和所述随机噪声的分布方差构建基于权重的损失函数为:其中,表示基于权重的损失函数,表示原始图像,表示最后一层特征提取器提取...

【专利技术属性】
技术研发人员:周鋆杨昊朱先强朱承张维明
申请(专利权)人:中国人民解放军国防科技大学
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1