[发明专利]一种基于深度学习模型的对抗性训练方法

权利要求书

1.一种基于深度学习模型的对抗性训练方法，其特征在于，包括：

通过自然进化策略生成第一对抗性示例以及通过平移不变攻击方法生成第二对抗性示例，将所述第一对抗性示例和所述第二对抗性示例作为扰动图像；所述通过平移不变攻击方法生成第二对抗性示例的公式为：

其中，W_i,j是高斯核矩阵W的权重元素，k是内核大小，标准偏差e的(-i²-j²)/(2σ²)次幂再乘以系数1/(2πσ²)得到(i,j)位置上的高斯核权重，j代表平移的横坐标和纵坐标，取值范围为[0,k]，k为常数；

对所述第二对抗性示例进行更新；其中，更新公式为：

其中，x_t代表对抗样本，y代表干净样本x的分类标签，J(x_t,)是白盒攻击情况下神经网络的损失函数，是对未进行变换的对抗性示例进行求梯度运算，由于神经网络的平移不变性，对各种平移和填充变换后的图像求梯度的和近似于经过高斯核矩阵W乘以得到的值；sign()为符号函数；α为小步长；_t+1为更新的对抗性示例；

获取干净图像，并将所述干净图像与所述扰动图像按照不同的比例进行混合，得到不同图像比例的训练集；

将所述不同图像比例的训练集分别传输至深度学习模型中进行训练，确定使得深度学习模型鲁棒性最优的训练集；

将所述使得深度学习模型鲁棒性最优的训练集作为训练数据输入至神经网络调整层中，对深度学习模型进行优化，得到对应的对抗性微调模型。

2.如权利要求1所述的基于深度学习模型的对抗性训练方法，其特征在于，所述通过自然进化策略生成第一对抗性示例的公式为：

其中，x_t代表对抗样本；代表对对抗样本进行求梯度运算；代表数据点x_t服从方差为σ²的标准正态分布；E表示自然进化策略；f(z)代表神经网络传达的信息。

3.如权利要求2所述的基于深度学习模型的对抗性训练方法，其特征在于，在所述生成第一对抗性示例之后，还包括：对所述第一对抗性示例进行更新；其中，更新公式为：

x_t+1＝x_t+α·sign(g)；

其中，sign()为符号函数；α为小步长；x_t+1为更新的对抗性示例。

4.如权利要求1所述的基于深度学习模型的对抗性训练方法，其特征在于，所述干净图像与所述扰动图像混合的比例包括：0％，25％，50％，75％，100％。

5.如权利要求1所述的基于深度学习模型的对抗性训练方法，其特征在于，所述对深度学习模型进行优化的公式为：

其中，对(x⁺,y⁺)从混合分布D⁺中采样，D⁺结合了干净数据分布D和相应的对抗数据分布D^*；其中E表示关于混合分布对抗样本预测结果x⁺与分类标签y^+总的损失函数，S是包括调整层索引的集合，θs表示将对局部参数进行调整，θ是目标模型的全局参数，f(x)是其输出预测，f_θ表示使用目标模型的全局参数进行预测。

6.如权利要求1所述的基于深度学习模型的对抗性训练方法，其特征在于，所述调整层包括：

所述调整层选定为logit层；

所述调整层选定为logit层的前一层pre-logit层；

所述调整层选定为深度学习模型的后面一半层；

所述调整层选定为深度学习模型的所有层。