[发明专利]一种通用对抗扰动生成方法

权利要求书

1.一种通用对抗扰动生成方法，其特征在于，包括以下步骤：

步骤1：获取目标人工神经网络的网络结构和权重矩阵；

步骤2：初始化通用对抗扰动；

步骤3：从训练集中随机采样图片，和当前通用对抗扰动叠加后输入神经网络；

步骤4：分别在当前图片标签和此外预测概率最大的标签反向传播梯度；

步骤5：利用预测向量和两组梯度计算对抗扰动的更新量；

步骤6：重复上述步骤3-步骤5，直到当前通用对抗扰动能够在测试集上达到预定的错误率。

2.根据权利要求1所述的一种通用对抗扰动生成方法，其特征在于：所述步骤1中，神经网络分类器带有损失函数层，其结构和参数需要预先指定，且不再变化；适用于该分类器的分类任务的数据分布须给定，即：指定包含类别标签的图像数据集，且数据集能被分类器以高精度预测输出。

3.根据权利要求1所述的一种通用对抗扰动生成方法，其特征在于：所述步骤2中，通用对抗扰动向量以全零的形式的初始化，以随机数或预训练的方式初始化亦是可以接受的。

4.根据权利要求3所述的一种通用对抗扰动生成方法，其特征在于：所述通用对抗扰动向量的长和宽须与输入图片的尺寸一致。

5.根据权利要求1所述的一种通用对抗扰动生成方法，其特征在于：所述步骤3中，为了防止陷入局部极小值，图片数据须随机地采样，通用对抗扰动向量以直接和采样得到的图片(224*224*3)矩阵进行叠加，叠加后再进行归一化等图像预处理操作。

6.根据权利要求1所述的一种通用对抗扰动生成方法，其特征在于：所述步骤4中，神经网络输出层神经元的个数等于可预测的类别数量。

7.根据权利要求1所述的一种通用对抗扰动生成方法，其特征在于：所述步骤5包含以下子步骤：

7.1、初始化对抗扰动pert为零向量；

7.2、随机采样一批图片x₀，由pert叠加后输入分类网络VGG-16后计算各类别输出概率y_i；

7.3、记图片标签为y₀，其他所有非图片标签的预测中，概率最大的为y‘₀。在两处反向传播梯度，固定网络权重，分别得到输入数组的梯度Δx₀、Δx‘₀；

7.4、根据前向预测和上述后向梯度计算对抗扰动系数更新加性对抗扰动pert为k(Δx₀-Δx‘₀)，为保证原始图片的特征不回被改变，需要将对抗扰动中幅度过大的分量进行抑制；

7.5、重复子步骤4.2到子步骤4.4，直到生成的加性对抗扰动噪声Δx_n能够扰动的图片数在验证集上占到特定的比例。

8.根据权利要求1所述的一种通用对抗扰动生成方法，其特征在于：所述步骤6中，将原始数据集按照8：1随机划分为训练集和测试集，训练过程使用Adam优化器，参数设置为：β₁＝0.9，β₂＝0.999，初始学习率设置为0.001。