[发明专利]一种基于范数的对抗性样本检测分类方法

权利要求书

1.一种基于范数的对抗性图像样本检测分类方法，其特征在于，包括以下步骤：

S1、生成对抗性图像样本，选择不同攻击强度的攻击方法产生对抗性图像样本；

S2、计算对抗性图像样本的范数，得到分类阈值和定级阈值；

S3、确定检测器：使用基于改进预测不一致的检测方法来确定检测器；包括以下子步骤：

S31、初始化检测器，设置压缩的色深为1比特，空间平滑器的大小为2x2；

S32、输入对抗性图像样本，使用检测器对图像样本进行压缩处理，得出检测器的检测率和模型精度，并保存检测率和模型精度；

S33、更换检测器组合，逐渐提高压缩色深位数和空间平滑器大小，重复S32步骤，更新最优检测率和模型精度；

S34、根据最优检测率和模型精度，确定最优检测器；

S4、通过最优检测器对目标图像样本进行压缩处理，并计算得出图像样本的范数值L＝(l_∞，l₂，l₀)，通过比对计算得到的范数值与步骤S2得到的定级阈值，判断目标图像样本是否为对抗性图像样本，若是则进一步得到对抗性图像样本的攻击分类和攻击强度；否则不对图像样本进行处理；

S5、验证最优检测器的合理性和有效性：输入测试图像样本，比对检测出的分类和等级与原始标签的分类和等级是否一致，若一致则结束操作，否则返回步骤S1。

2.根据权利要求1所述的一种基于范数的对抗性图像样本检测分类方法，其特征在于，所述步骤S1包括以下子步骤：

S11、确定对抗性攻击方法生成对抗性图像样本；

S12、计算每次攻击时，对抗性图像样本生成过程中的损失函数L(x′)，根据损失函数产生以下对抗性图像样本：

d(x^*，x′)≤ε表示对抗性图像样本x^*与x′的距离在预设的极小值ε内；

S13、选择不同的限制条件，约束每次生成的对抗性图像样本不易被察觉；所述限制条件包括L-0范数，L-2范数和L-∞范数；

S14、通过调整对抗性攻击方法的攻击迭代次数和置信度，得到不同的对抗性图像样本，观察每个对抗性图像样本的攻击成功率和置信度，确定攻击强度；

S15、将得到的对抗性图像样本分为两部分：一部分按限制条件和攻击强度分类存储，另一部分打好限制条件和攻击强度的标签后作为测试数据。

3.根据权利要求2所述的一种基于范数的对抗性图像样本检测分类方法，其特征在于，所述步骤S2包括以下子步骤：

S21、将步骤S15得到的分类存储的对抗性图像样本作为输入，计算所有对抗性图像样本的L-∞、L-2和L-0范数值；计算公式为：

L _∞ ： ||x|| _∞ ＝ max(|x₁| ， |x₂| … |x_n|)

L₀：||x||₀＝Count(x_i≠0)；

S22、根据对抗性图像样本已经划分的类别，统计分析得出每一种范数约束的对抗性图像样本的分类阈值γ_c＝(c_∞，c₂，c₀)，c_∞，c₂，c₀分别为L-∞、L-2和L-0范数的阈值；

S23、输出对抗性图像样本的攻击成功率和置信度，比对攻击强度的强弱，统计分析得到定级阈值γ_g；循环计算对抗性图像样本的攻击成功率和置信度，更新定级阈值γ_g。