基于注意力图差异的对抗样本检测方法及系统技术方案

本发明专利技术公开了一种基于注意力图差异的对抗样本检测方法及系统，所述方法包括：获取原始样本，包括正常样本、对抗样本，为图像样本；采用基于梯度权重的类激活映射（grad

【技术实现步骤摘要】
基于注意力图差异的对抗样本检测方法及系统


[0001]本专利技术涉及人工智能
，特别涉及一种基于注意力图差异的对抗样本检测方法及系统。

技术介绍

[0002]深度学习是学习样本数据的内在规律和表示层次，它的最终目标是让机器能够像人一样具有分析学习能力，能够识别文本、图像和语音等多模态数据。目前，深度学习正引领着新一轮的人工智能浪潮，在图像分类、语音识别、自然语言理解和自动驾驶等许多领域都获得了巨大的成功。由于在设计时并未考虑攻击者的存在，深度学习的安全问题渐渐显现出来，面临来自多个方面的威胁：包括深度学习框架中的软件实现漏洞、对抗样本攻击、训练数据的污染（数据投毒）、模型窃取等。其中对抗样本攻击指在不改变目标深度学习系统的情况下，通过向正常样本中添加精心设计的、人类无法感知的噪音来构造对抗性样本，从而达到不干扰人类认知而促使深度学习模型对精心构造的对抗性样本做出错误判断的目的。
[0003]由于这种细微的扰动通常是人眼难以分辨的，因而使得攻击隐蔽性极强，但其足以改变模型的预测结果，危害性极大，从而给现实场景中，尤其是风险敏感场景中（如自动驾驶）实际部署应用的深度学习模型带来了巨大的安全威胁。因此，有必要开展对抗样本攻击防御方法研究，构建安全可靠的深度学习算法模型。
[0004]分析认为，对抗样本存在的原因之一是深度学习模型的高度非线性导致的输入与输出映射的不连续性。近年来，一大批学者从对抗防御的角度对深度学习模型的安全问题进行了深入的研究。在面对图像对抗样本攻击的主动防御方面，可以通过对抗训练来提高模型的鲁棒性。防御蒸馏是在保证训练精度的条件下压缩模型的方法。除此之外，还提出了各种对抗样本检测防御方法：特征学习（主成分分析、特征压缩等），分布统计（softmax分布、核密度和不确定性估计等），输入重构等。从图像去噪角度出发，提出了诸如特征去噪、JPEG压缩、总方差最小化、HGD去噪器以及Defense
‑
GAN等图像预处理与特征变换的防御方法。尽管已经取得了一系列瞩目的研究成果，但是依然存在许多关键的技术问题尚待解决。因此，设计更强大的、有效的对抗样本检测方法是当前深度学习模型安全保护研究的重点之一。

技术实现思路

[0005]本专利技术的目的在于提供一种基于注意力图差异的对抗样本检测方法及系统，在面对图像对抗样本攻击时，能够有效提升检测对抗样本的能力。
[0006]为了实现上述专利技术目的，本专利技术实施例提供了以下技术方案：一种基于注意力图差异的对抗样本检测方法，包括以下步骤：步骤S1，获取原始样本，所述原始样本包括正常样本、对抗样本，为图像样本；步骤S2，采用基于梯度权重的类激活映射（grad
‑
CAM）方法生成原始样本的注意力
图，得到待检测的注意力图；步骤S3，构建检测模型，所述检测模型由自编码器、判别器等组成；步骤S4，获取正常样本，采用基于梯度权重的类激活映射（grad
‑
CAM）方法生成正常样本的注意力图；将其输入检测模型中，得到重建的注意力图；计算重建的注意力图与输入的正常样本的注意力图之间的差异，以均方误差作为损失函数进行优化，在无监督训练过程中，检测模型将学习到正常样本的注意力图的特征分布；步骤S5，将待检测的注意力图输入训练好的检测模型，得到重建的注意力图；然后计算重建的注意力图与输入的待检测的注意力图之间的差异，如果大于设定的阈值，则将其对应的原始样本判定为对抗样本，否则为正常样本。
[0007]所述的基于注意力图差异的对抗样本检测方法，所述步骤S3还包括：步骤S31，所述自编码器，包括编码器、解码器等；步骤S32，所述判别器，采用WGAN（Wasserstein GAN）中判别器的结构。
[0008]所述的基于注意力图差异的对抗样本检测方法，所述步骤S31还包括：所述编码器采用改进的ResNet18残差网络结构，残差层共有4层，每层网络中包含2个残差块，每个残差块由第一个3*3的卷积层和批量归一化层、第二个3*3的卷积层和批量归一化层串联组合构成；在残差块的第二个批量归一化层后面引入了一个改进的混合注意力模块；所述解码器，采用改进的ResNet18残差网络结构，残差层共有4层，每层网络中包含2个残差块，每个残差块由第一个上采样层（Upsampling）和1*1卷积层以及批量归一化层、第二个上采样层（Upsampling）和1*1卷积层以及批量归一化层串联组合构成；在残差块的第二个批量归一化层后面引入了一个改进的混合注意力模块；所述混合注意力模块，由通道注意力模块和空间注意力模块串联组合构成；所述通道注意力模块，首先将特征图分别输入最大池化层和平均池化层处理，然后汇合到由第一个3*3的卷积层和批量归一化层、PReLU激活函数、第二个3*3的卷积层和批量归一化层的串联组合，再对串联组合的输出特征图进行加和操作，最后经Sigmoid函数激活输出；所述空间注意力模块，首先将特征图输入一个3*3的卷积层，然后经过批量归一化层处理，之后再分别经过最大池化层和平均池化层处理，得到两个特征向量，将这两个特征向量按照通道拼接在一起，再经过一个3*3的卷积层处理，最后经Sigmoid函数激活得到权重向量。
[0009]另一方面，本专利技术实施例还提供了一种基于注意力图差异的对抗样本检测系统,包括：样本获取模块，用于获取原始样本，所述原始样本包括正常样本、对抗样本，为图像样本；注意力图生成模块，采用基于梯度权重的类激活映射（grad
‑
CAM）方法生成原始样本的注意力图，得到待检测的注意力图；对抗样本检测模块，构建检测模型，所述检测模型由自编码器、判别器等组成；将待检测的注意力图输入训练好的检测模型，得到重建的注意力图；然后计算重建的注意力图与输入的待检测的注意力图之间的差异，如果大于设定的阈值，则将其对应的原始样本
判定为对抗样本，否则为正常样本；模型训练模块，获取正常样本，采用基于梯度权重的类激活映射（grad
‑
CAM）方法生成正常样本的注意力图；将其输入检测模型中，得到重建的注意力图；计算重建的注意力图与输入的正常样本的注意力图之间的差异，以均方误差作为损失函数进行优化，在无监督训练过程中，检测模型将学习到正常样本的注意力图的特征分布。
[0010]所述的基于注意力图差异的对抗样本检测系统，所述对抗样本检测模块还包括：所述自编码器，包括编码器、解码器等；所述编码器采用改进的ResNet18残差网络结构，残差层共有4层，每层网络中包含2个残差块，每个残差块由第一个3*3的卷积层和批量归一化层、第二个3*3的卷积层和批量归一化层串联组合构成；在残差块的第二个批量归一化层后面引入了一个改进的混合注意力模块；所述混合注意力模块，由通道注意力模块和空间注意力模块串联组合构成；所述通道注意力模块，首先将特征图分别输入最大池化层和平均池化层处理，然后汇合到由第一个3*3的卷积层和批量归一化层、PReLU激活函数、第二个3*3的卷积层和批量归一化层的串联组合，再对串联组合的输出特征图进行加本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于注意力图差异的对抗样本检测方法，其特征在于，包括：步骤S1，获取原始样本，所述原始样本包括正常样本、对抗样本，为图像样本；步骤S2，采用基于梯度权重的类激活映射（grad
‑
CAM）方法生成原始样本的注意力图，得到待检测的注意力图；步骤S3，构建检测模型，所述检测模型由自编码器、判别器等组成；步骤S4，获取正常样本，采用基于梯度权重的类激活映射（grad
‑
CAM）方法生成正常样本的注意力图；将其输入检测模型中，得到重建的注意力图；计算重建的注意力图与输入的正常样本的注意力图之间的差异，以均方误差作为损失函数进行优化，在无监督训练过程中，检测模型将学习到正常样本的注意力图的特征分布；步骤S5，将待检测的注意力图输入训练好的检测模型，得到重建的注意力图；然后计算重建的注意力图与输入的待检测的注意力图之间的差异，如果大于设定的阈值，则将其对应的原始样本判定为对抗样本，否则为正常样本。2.根据权利要求1所述的一种基于注意力图差异的对抗样本检测方法，其特征在于，所述步骤S3，包括：步骤S31，所述自编码器，包括编码器、解码器等；步骤S32，所述判别器，采用WGAN（Wasserstein GAN）中判别器的结构。3.根据权利要求2所述的一种基于注意力图差异的对抗样本检测方法，其特征在于，所述步骤S31，包括：所述编码器采用改进的ResNet18残差网络结构，残差层共有4层，每层网络中包含2个残差块，每个残差块由第一个3*3的卷积层和批量归一化层、第二个3*3的卷积层和批量归一化层串联组合构成；在残差块的第二个批量归一化层后面引入了一个改进的混合注意力模块；所述解码器，采用改进的ResNet18残差网络结构，残差层共有4层，每层网络中包含2个残差块，每个残差块由第一个上采样层（Upsampling）和1*1卷积层以及批量归一化层、第二个上采样层（Upsampling）和1*1卷积层以及批量归一化层串联组合构成；在残差块的第二个批量归一化层后面引入了一个改进的混合注意力模块。4.根据权利要求3所述的一种基于注意力图差异的对抗样本检测方法，其特征在于，所述混合注意力模块，包括：所述混合注意力模块，由通道注意力模块和空间注意力模块串联组合构成；所述通道注意力模块，首先将特征图分别输入最大池化层和平均池化层处理，然后汇合到由第一个3*3的卷积层和批量归一化层、PReLU激活函数、第二个3*3的卷积层和批量归一化层的串联组合，再对串联组合的输出特征图进行加和操作，最后经Sigmoid函数激活输出；所述空间注意力模块，首先将特征图输入一个3*3的卷积层，然后经过批量归一化层处理，之后再分别经过最大池化层和平均池化层处理，得到两个特征向量，将这两个特征向量按照通道拼接在一起，再经过一个3*3的卷积层处理，最后经Sigmoid函数激活得到权重向量。5.一种基于注意力图差异的对抗样本检测系统，其特征在于，包括：样本获取模块，用于获取原始样本，所述原始样本包括正常样本、对抗样本，为图像样
本；注意力图生成模块，采用基于梯度权重的类激活映射（grad

【专利技术属性】
技术研发人员：刘兴伟，朱珂，何春兰，曾晟珂，夏梅宸，彭薇，
申请(专利权)人：西华大学，
类型：发明
国别省市：