[发明专利]面向多种对抗图片攻击的协同免疫防御方法

权利要求书

1.一种面向多种对抗图片攻击的协同免疫防御方法，包括以下步骤：

(1)将正常图片P输入到多种攻击模型中，生成与攻击模型对应的多种对抗样本；

(2)构建m个不同对抗样本子检测器结构，每个对抗样本子检测器结构均包括依次连接的第一卷积模块、第一池化模块、第二卷积模块、第二池化模块、第三卷积模块、第三池化模块、第四卷积模块、第四池化模块、全连接模块，不同对抗样本子检测器结构的同一层模块的输入输出数据维度相同；

(3)将多种对抗样本和正常图片P作为对当前对抗样本子检测器结构的输入，将多种对抗样本和正常图片P对应的真值标签作为当前对抗样本子检测器结构的真值输出，分别对m个对抗样本子检测器结构进行训练，获得m个对抗样本子检测器；

(4)计算每个对抗样本子检测器的分类准确率，利用分类准确率较高的对抗样本子检测器替换记忆池中与该对抗样本子检测器相似度最高且比该对抗样本子检测器分类准确率低的对抗样本子检测器，以此更新记忆池中的k个对抗样本子检测器；

(5)计算每个对抗样本子检测器的期望繁殖率；

(6)在满足迭代终止条件时，将记忆池中k个对抗样本子检测器构成对抗样本检测器CNN1，否则，执行步骤(7)；

(7)根据期望繁殖率对随机选择的一个或两个对抗样本子检测器结构进行克隆，获得一个或两个新对抗样本子检测器结构；

(8)迭代执行步骤(7)，直到获得m个新对抗样本子检测器结构为止，将m个新对抗样本子检测器结构作为当前对抗样本子检测器结构，跳转执行步骤(3)；

(9)当出现新型攻击方法生成的新型对抗样本S时，将新型对抗样本S和正常图片P作为训练集，按照步骤(2)～步骤(8)的方式获得新型对抗样本检测器CNN2；

(10)将待检测图片输入到对抗样本检测器CNN1进行检测，待检测结果为正常图片后，将该待检测图片输入到新型对抗样本检测器CNN2进行检测，待检测结果输出正常图片后，输入到图像分类器中，实现对待检测图片的分类。

2.如权利要求1所述的面向多种对抗图片攻击的协同免疫防御方法，其特征在于，在每个对抗样本子检测器结构中，所述卷积模块为普通卷积模块、单层卷积模块、densenet模块或resnet模块，每个模块含有c₁个卷积层，c₁∈{1,2,3,4,5}；每个卷积层有着c₂*c₂的卷积核，c₂∈{1,3,5}，c₃个通道，c₃由卷积模块在对抗样本子检测器结构中的位置所决定。

3.如权利要求1所述的面向多种对抗图片攻击的协同免疫防御方法，其特征在于，在每个对抗样本子检测器结构中，所述池化模块为2*2随机池化模块、2*2均方根池化模块、2*2最大值池化模块或2*2均值池化模块。

4.如权利要求1所述的面向多种对抗图片攻击的协同免疫防御方法，其特征在于，在每个对抗样本子检测器结构中，所述全连接模块包含c₄个全连接层，c₄∈{1,2,3,4}，且最后一层均为y个节点，y为对抗样本的种类加一。

5.如权利要求1所述的面向多种对抗图片攻击的协同免疫防御方法，其特征在于，步骤(4)中，利用公式(1)获得对抗样本子检测器的分类准确率：

其中，TP表示将正常图片识别为正常图片的个数，TN表示将对抗样本识别为对抗样本的个数，FP表示将对抗样本识别为正常图片的个数，FN表示将正常图片识别为对抗样本的个数。