[发明专利]一种对抗样本攻击的防御方法、装置及电子设备

权利要求书

1.一种对抗样本攻击的防御方法，其特征在于，包括：

获取原始样本并进行预处理；

根据深度神经网络分类模型和预处理后的样本生成对抗样本；

输入原始样本和对抗样本，分别获得原始样本和对抗样本基于所述深度神经网络分类模型的表征；

对原始样本和对抗样本的表征进行匹配；

以表征匹配误差为正则项构建目标函数，实施防御训练；

对待测样本进行预处理；

将所述预处理后的待测样本输入至防御训练后的深度神经网络分类模型中，输出分类结果；

其中，对原始样本和对抗样本的表征进行匹配，包括：

匹配可形式化表示为：

，

其中，表示表征匹配误差项，j表示预设层，和分别表示原始样本和对抗样本在深度神经网络分类模型的预设层j的表征，是范数取值；

其中，以表征匹配误差为正则项构建目标函数，包括：

根据下式构建目标函数：

，

其中，表示训练集服从分布，是深度神经网络分类模型的损失函数，和分别是表征匹配误差项L_fm和深度神经网络分类模型参数的正则项L_norm的权重；L_norm能有效避免深度神经网络分类模型发生过拟合现象，其公式化表示为：，其中，n表示样本数量。

2.如权利要求1所述的方法，其特征在于，获取原始样本并进行预处理，包括：

利用随机信号对原始样本进行翻转；

对翻转后的样本进行缩放；

对缩放后的样本进行裁剪；

对裁剪后的样本进行归一化。

3.如权利要求1所述的方法，其特征在于，根据深度神经网络分类模型和预处理后的样本生成对抗样本，包括：

通过下式，生成对抗样本：

,

其中，表示对抗样本，下标t+1和t分别表示第t+1次和第t次迭代，α表示步长，是符号函数，x表示原始样本，S表示有效的对抗扰动幅值，表示将像素值投影至有效取值范围的投影算子，是交叉熵损失函数，表示深度神经网络分类模型的交叉熵损失函数对的每个像素点求负梯度，表示样本真正类别，表示深度神经网络分类模型的参数。

4.如权利要求3所述的方法，其特征在于，所述对抗样本的初始值如下：

,

其中，表示像素值的最大扰动幅值，表示和原始样本x尺寸相同的、取值范围在(-1,1)内的随机向量。

5.如权利要求1所述的方法，其特征在于，所述表征包括原始样本和对抗样本在所述深度神经网络分类模型的预设层的激活特征图。

6.如权利要求1所述的方法，其特征在于，实施防御训练，包括：

将所述原始样本与所述对抗样本一起作为所述深度神经网络分类模型的防御训练数据集；

根据防御训练数据集，通过最小化目标函数对所述深度神经网络分类模型进行训练。

7.如权利要求1所述的方法，其特征在于，对待测样本进行预处理，包括：

对待测样本进行归一化。