[发明专利]一种基于在线迭代生成器的对抗防御方法及系统

权利要求书

1.一种基于在线迭代生成器的对抗防御方法，包括如下步骤：

步骤S1，随机初始化生成器网络F的参数θ，并用0初始化与输入图像相同大小的合成图像；

步骤S2，给定可能是对抗样本的输入图像，将其定义为参考图像I_z，将其输入至包含所述生成器网络F的在线迭代生成器模块，生成合成图像，并交替迭代更新网络参数和合成图像，最终获得去除对抗噪声且与原输入图像语义相同的合成图像；

步骤S2进一步包括：

步骤S200，利用所述生成器网络F进行内迭代，利用生成器网络F近似能量函数，更新合成图像来最小化能量函数，以产生与所述参考图像I_z语义相同的、去除对抗噪声的新图像；

步骤S201，利用所述生成器网络F进行外迭代，沿最大化对数似然的方向训练生成器网络F的参数，更新网络参数以使合成图像逐渐靠近参考图像I_z；

步骤S202，多次迭代式地进行步骤S200-S201的训练过程，直到符合停止的条件；

于步骤S2中，以步骤S1初始化的合成图像和网络参数作为迭代的初始化值，训练所述对抗防御的在线生成器神经网络；于训练过程收敛后，利用训练好的生成器网络在线生成的合成图像代替原始输入图像输入到目标网络。

2.如权利要求1所述的一种基于在线迭代生成器的对抗防御方法，其特征在于：在每次外迭代中，对合成图像进行TI次更新，同时对生成器网络F的参数进行一次更新，其中TI表示最大内迭代次数。

3.如权利要求1所述的一种基于在线迭代生成器的对抗防御方法，其特征在于：在每次内迭代中，对合成图像更新一次，在更新图像时进一步引入噪声模型，以增加恢复细微细节的难度，从而降低拟合对抗性噪声的机会。

4.如权利要求1所述的一种基于在线迭代生成器的对抗防御方法，其特征在于，于步骤S2后，所述方法还包括如下步骤：

步骤S3，在含有未知攻击类型图像的数据集上进行泛化式训练，得到最终模型。

5.如权利要求1所述的一种基于在线迭代生成器的对抗防御方法，其特征在于，于步骤S200中，更新合成图像I_s以使能量函数最小化：

其中I_s为当前合成图像，I_s+1为更新图像，α表示学习率，为生成网络F关于图像I_s的梯度，U为能量函数，θ表示所述生成器网络的参数。

6.如权利要求1所述的一种基于在线迭代生成器的对抗防御方法，其特征在于，于步骤S201中，训练生成器网络F如下公式所示：

其中，I_s为当前合成图像，θ_t表示当前时间步的网络参数，θ_t+1表示下一时间步更新的参数，β表示步长。

7.如权利要求1所述的一种基于在线迭代生成器的对抗防御方法，其特征在于：所述生成器网络F为由L层卷积网络和非线性激活函数组成的神经网络。

8.一种基于在线迭代生成器的对抗防御系统，包括：

初始化单元，用于随机初始化生成器网络F的参数θ，并用0初始化合成图像；

对抗样本生成单元，用于产生不同攻击方法的对抗样本，作为系统的输入参考图像I_z；

合成图像产生单元，用于利用生成器网络产生与原输入图像相同大小的合成图像，该合成图像由零初始化；

在线迭代生成器模块，用于交替迭代更新生成器网络的网络参数和合成图像，最终获得去除对抗噪声且与原输入图像语义相同的合成图像，最后将合成的合成图像代替原始输入图像传入目标网络进行分类；

目标网络单元，利用预训练好的目标网络，接收产生的合成图像作为输入，测试合成图像的防御效果；

在线迭代生成器模块包括：

内迭代单元，用于利用生成器网络F近似能量函数，更新合成图像来最小化能量函数，以产生与参考图像I_z语义相同的、去除对抗噪声的新图像；

外迭代单元，用于沿最大化对数似然的方向训练生成器网络F的参数，更新生成器网络参数使合成图像逐渐靠近参考图像I_z；

所述外迭代单元与内迭代单元交替迭代更新网络参数和生成图像，直到符合停止的条件，最终获得去除对抗噪声且与原输入图像语义相同的图像；

所述在线迭代生成器模块中，以初始化单元中初始化的合成图像和网络参数作为迭代的初始化值，训练所述对抗防御的在线生成器神经网络；于训练过程收敛后，利用训练好的生成器网络在线生成的合成图像代替原始输入图像输入到目标网络。