[发明专利]一种基于扰动的对抗样本生成与对抗性防御方法

权利要求书

1.一种基于扰动的对抗样本生成与对抗性防御方法，其特征在于，包括以下步骤：

S101针对图像样本，通过添加扰动干扰原始数据，分析出图像样本适用的扰动特性，基于深度神经网络模型，探究得到高影响扰动；

记原始图像样本为x，对抗样本类为x′₁，x′₂，…，x′_n，首先将x′₁输入到深度神经网络模型中，与原始图像样本通过深度神经网络模型的输出结果进行比较，使用结构相似性来比较通过深度神经网络模型输出结果的差异性，若两者的差异性大，则得到图像样本的高影响扰动Δx；否则重新添加图像噪声生成对抗样本x′₂，再次重复之前的步骤输入到深度神经网络模型中与原始图像样本的输出结果进行比较，直至得到图像样本的高影响扰动Δx；

S102根据所述高影响扰动，针对深度神经网络模型，通过扰动强度递增变化过程中深度神经网络模型的输出结果，从而发现扰动强度的最低阈值；

在原始图像样本集x上添加高影响扰动Δx，生成对抗样本x′；将生成的对抗样本x′输入到深度神经网络模型中，得到输出结果为f(x′)，原始图像样本集x输入到深度神经网络模型中，得到输出结果为y，利用函数C进行对比，若C(f(x′),y)值为1，依次逐步递增Δx，记为Δx₀，Δx₁，Δx₂，……再将对应生成的对抗样本x′₀，x′₁，x′₂，……输入到神经网络模型中，继续对比观察输出f(x′)与y是否有差别，直至C(f(x′),y)值为0，此时添加的Δx_n则为扰动强度的最低阈值，C(f(x′),y)表示为图像x′是否被分类为y类的函数；

S103根据高影响扰动构造出的对抗样本，通过分析扰动强度递增变化过程中的具有检测功能的深度神经网络模型的对抗样本检测结果，从而寻找扰动强度的最高阈值；

在原始图像样本集x上添加高影响扰动Δx，生成对抗样本x′；将生成的对抗样本x′输入到具有检测功能的深度神经网络模型中，得到输出结果为f(x′)，若C(f(x′),y)值为0，逐步递增Δx，记为Δx₀，Δx₁，Δx₂，……依次将生成的对抗样本x′₀，x′₁，x′₂，……输入到神经网络模型中，若能顺利通过检测，且C(f(x′),y)值为0，则继续增加扰动强度，直至输入对抗样本x′_n，被具有检测功能的深度神经网络模型检测出，且没有f(x′)输出，此时的扰动强度为Δx_n，则前一步添加的扰动强度Δx_n-1为找扰动强度的最高阈值；

S104在深度神经网络模型之前引入广义非负矩阵分解算法，进行数据降维，实现减少对抗样本攻击和深度神经网络学习的防御。

2.根据权利要求1所述一种基于扰动的对抗样本生成与对抗性防御方法，其特征在于：所述添加的扰动包括高斯噪声、瑞利噪声、指数分布噪声和椒盐噪声任一种或任意组合。

3.根据权利要求1所述一种基于扰动的对抗样本生成与对抗性防御方法，其特征在于：所述步骤S104中包括将对抗样本使用广义非负矩阵分解算法进行数据降维，再输入到深度神经网络模型中，得到输出结果为f(x′)，对比分析f(x′)与原始样本通过深度神经网络输出结果f(x)两者的差异性，若差异大，则继续改变降维维度，将生成的对抗样本重新使用广义非负矩阵分解算法进行数据降维。

4.一种计算机可读存储介质，其特征在于：所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行如权利要求1-3任一项所述的方法。