[发明专利]一种面向深度学习图像分类模型的泛化的安全性评估方法

权利要求书

1.一种面向深度学习图像分类模型的泛化的安全性评估方法，其特征在于，包括以下步骤：

(1)评估模型的主动防御能力：输入图像样本，判断深度学习图像分类模型训练中是否采用主动防御，以及对所采用的主动防御策略的可靠性进行评估；

(2)模拟攻击：以攻击者身份采用多种不同的对抗样本生成算法制作对抗样本对深度学习图像分类模型进行攻击；

(3)测试对抗样本检测能力：使用非负矩阵分解和余弦相似度测试深度学习图像分类模型能否检测出扰动程度大小不一的对抗样本，判断深度学习图像分类模型检测对抗样本能力；

(4)测试被动防御能力：对深度学习图像分类模型的被动防御策略的健全性以及对对抗样本的处理结果进行评估；

(5)综合多项指标全面评估：结合主动防御能力、对抗样本检测能力和被动防御能力，建立安全评估指标体系，全面评估深度学习图像分类模型的安全性。

2.根据权利要求1所述一种面向深度学习图像分类模型的泛化的安全性评估方法，其特征在于：所述步骤(1)中根据对抗性训练过程中使用的对抗样本集的数量和种类来判断模型对抗性训练的效果，对采取的各种主动防御策略进行打分，结合不同主动防御策略过程中重要性的权重值，进而对机器学习模型的主动防御能力进行整体评估。

3.根据权利要求1所述一种面向深度学习图像分类模型的泛化的安全性评估方法，其特征在于：步骤(2)所述对抗样本生成算法包括速梯度符号法、迭代梯度符号法、雅可比显著图攻击和DeepFool算法。

4.根据权利要求1所述一种面向深度学习图像分类模型的泛化的安全性评估方法，其特征在于：所述步骤(3)具体包括以下步骤：测试数据集输入后，首先会测试深度学习图像分类模型能否检测出其中的对抗样本，然后将被深度学习图像分类模型对抗样本检测机制判定为正常样本的测试样本集与之前备份的对抗样本集进行对比，通过两种样本集的相似度判别深度学习图像分类模型对扰动度大小不一的对抗样本的检测与发现能力；对比方法是：首先使用非负矩阵分解算法提取样本特征，然后利用特征向量之间的夹角余弦对比其相似度，由此可得出两样本集之间的相似程度，最后，进一步计算样本检测的准确率、精确率和召回率。

5.根据权利要求4所述一种面向深度学习图像分类模型的泛化的安全性评估方法，其特征在于：所述夹角余弦的计算公式为：

其中A中的a₁～a_n表示使用非负矩阵分解算法从样本A中提取的n维的特征向量，B中的b₁～b_n表示使用非负矩阵分解算法从样本B中提取的特征向量。

6.根据权利要求4所述一种面向深度学习图像分类模型的泛化的安全性评估方法，其特征在于：所述准确率为精确率为召回率为TP表示将正常样本预测为正常样本的数量，FP表示将对抗样本检测为正常样本的数量，FN表示将正常样本检测为对抗样本的数量，TN表示将对抗样本检测为对抗样本的数量。

7.根据权利要求1所述一种面向深度学习图像分类模型的泛化的安全性评估方法，其特征在于：所述步骤(4)具体处理步骤为：

将多种不同类型的对抗样本对深度学习图像分类模型发起模拟攻击，根据模型的输出结果，发现模型安全防御中存在的问题；通过模型的输出结果，对模型的防御体系给出安全评分。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行如权利要求1到7任一项所述的方法。