[发明专利]一种通道自适应优化的对抗攻击防御方法和装置

权利要求书

1.一种通道自适应优化的对抗攻击防御方法，包括以下步骤：

(1)挑选分类正确并攻击成功的对抗图像以及对抗图像对应的正常图像，作为样本图像；

(2)对样本图像进行图像变换后得到变换图像，将变换图像输入至图像分类器中，输出1×n维置信度，将针对同一样本图像的m个变化图像的1×n置信度进行拼接，获得针对一个样本图像的m×n维的置信度矩阵，并标记对抗图像对应的置信度矩阵类标为0，正常图像对应的置信度矩阵类标为1；

(3)将样本图像的通道数作为鸟巢的维度，利用二进制布谷鸟搜索算法优化通道数，以获得最优的通道个数及通道组合；

(4)按照最优的通道组合对样本图像的置信度矩阵进行重组，形成新置信度矩阵，利用新置信度矩阵和对应的类标对检测器进行优化训练，训练结束后，获得能够对抗防御的检测器；

(5)应用时，将待检测图像进行图像变换后输入至分类器中，获得置信度矩阵，将获得的置信度矩阵输入至训练好的检测器中，经计算输出准确的检测结果，以实现对抗防御；

步骤(3)的具体过程包括：

(3-1)根据置信度矩阵，将每个通道按照置信度均值从高到低排序，将第i个样本图像的第j个通道数作为第i个鸟巢的第j个维度进行初始化编码：

其中，m表示解的维度，即置信度通道数，int(·)表示取整函数，rand{0,1}表示随机取0或1，k₁表示编码的分界阈值，公式(1)表示置信度排名在前k₁％的通道编码为1，后k₁％的通道编码为0，剩余的则进行0或者1的随机编码；

(3-2)对解进行糟糕解替换，即基于概率p_a∈[0,1]淘汰不适应环境的糟糕解，并将糟糕解按照公式(2)进行替换：

其中，t表示优化次数索引，k₂表示替换编码的分界阈值，公式(2)表示置信度排名在前k₂％的通道编码为1，后k₂％的通道编码为0，剩余的保持上一次的编码值不变；

(3-3)按照公式(3)进行鸟巢位置更新：

其中，Sig(·)表示sigmoid函数，Avg(·)表示所有通道的置信度矩阵CMD的平均值，其中Levy(λ)～u＝s^-λ表示服从当前迭代次数s的随机分布，Levy(λ)指莱维随机路径，用于随机数的生成，表明鸟巢位置的移动与更新，λ∈(1,3]，α＞0表示步长尺度缩放因子；

(3-4)定义二进制布谷鸟搜索算法的适应度函数fitness(net_i)为：

fitness(net_i)＝F1(net_i)+ξ×ChannelNumber(net_i) (4)

其中，F1(net_i)表示第i个解net_i所选择的通道组合实现的F1测度值，F1的计算公式如下所示：F1＝2×(P×R)/(P+R)，其中R为召回率，P为精确率，ChannelNumber(net_i)表示第i个解net_i所选的通道个数，ξ的取值根据ChannelNumber(net_i)的值确定；

(3-5)以适应度值小于预设的阈值或达到预设迭代次数为优化截止目标，按照步骤(3-2)和(3-3)进行迭代优化，获得最优解，对最优解进行解码获得最优的通道个数以及通道组合。

2.如权利要求1所述的通道自适应优化的对抗攻击防御方法，其特征在于，步骤(1)中，搭建由卷积层、全连接层以及激活层组成的分类器，将正常图像输入至分类器中，选择分类正确的正常图像构成数据集；

采用攻击方法对分类正确的正常图像进行攻击，并将攻击后图像输入至分类器中，分类结果为分类错误，则表示攻击成功，选择分类错误的攻击后图像作为对抗图像，将对抗图像以及对抗图像对应的正常图像作为样本图像。

3.如权利要求1所述的通道自适应优化的对抗攻击防御方法，其特征在于，步骤(2)中，所述图像变换包括旋转、翻转、缩放、截切中的一种或任意几种的组合。