[发明专利]一种评价分类深度神经网络鲁棒性的几何方法

权利要求书

1.一种评价分类深度神经网络鲁棒性的几何方法，其特征在于，步骤如下：

步骤1 选择深度神经网络分类模型

选择InceptionV3、ResNet50和VGG16模型，作为深度神经网络分类模型；

步骤2 选择攻击算法

选取FGSM、BIM和PGD作为攻击算法；

步骤3 构建ACTS算法

在步骤1选择的三种深度神经网络分类模型下，定义的超曲面都是非线性系统；因此，超曲面上不同点周围的局部区域具有不同的曲率，导致不同的输入对相同的附加攻击扰动δx具有不同的灵敏度；攻击扰动的信息通过步骤2选择的攻击算法得到；本方法作为一种对抗鲁棒性度量方法；ACTS的关键是将灵敏度映射到到达收敛曲线即决策边界所需的时间，其中决策边界为干净样本被转化为对抗样本的分类边界；

基于此，输入RGB图片的鲁棒性通过到达收敛点的攻击扰动的大小来反映；对于本方法所选择的分类器，收敛点实际上就是一个决策边界；因此，通过损失域的角度来看收敛点，从这个角度看，输入RGB图片的鲁棒性通过干净样本转化为对抗样本在损失域所花时间的大小来衡量；

ACTS算法用来估计这个时间，定义如下：

其中，j和t分别代表非原始类别和原始类别，在非原始类别的选取上只考虑除原始类别以外的前20个类别，y_j和y_t分别代表各自类别在损失域上的距离；s_j和s_t分别代表图片分类的类别在损失域中的移动速度，被攻击扰动δx所驱动；在理想的情况下，s_t-s_j的值总是正的；然而，在下列情况下，s_t-s_j的值是一个负值：1)s_t减小，s_j增加；2)s_t和s_j都减小，但s_t下降得更快；3)s_t和s_j都增加，但s_j增加得更快；如果上述任何一种情况发生在输入上，这意味着不可能提供成功的攻击，因此特定输入的ACTS被设定为最高分C，其函数表示如公式(1)中的f(x)所示；C被设置为100；

由于ACTS表示用速度s_t-s_j覆盖距离y_j-y_t的时间，所以具有较小ACTS的输入更容易受到对抗性攻击，反之亦然；然而，输出超曲面上的局部邻域是非线性的；为此，提出一种基于DJM的算法来估计所需的移动速度，考虑了输出超曲面的非线性性质；给定输入x，输出D的数据雅克比矩阵的函数表示如公式(2)：

在超曲面m_j上，DJM_j(x)定义了接近x点的点D的最佳线性近似；因此，D的输入域中的一个小的变化δx可线性的映射到超曲面m_j上的变化；基于此，它的函数表示如公式(3)：

D(x+δx)＝D(x)+DJM(x)×δx+δe (3)

其中，δe∈R^K是近似误差；

基于公式(3)，在输入x和攻击扰动δx下，将原始点y_j移到超曲面m_j上的点y′_j的距离被函数表示如公式(4)：

y′_j＝D_j(x)+DJM_j(x)×δx (4)

对于单步攻击算法，δx被看作一个向量，这个向量的方向是固定的，只有向量的长度因成功的攻击而变化；基于此，移动速度s_j估计的函数表示如公式(5)：

线性估计的精度随着δx的增加而降低；

对于多步攻击算法，每个步骤δx的向量都会在方向和长度上发生改变；与单步攻击相比，不同的方向显示了更多的局部邻域曲率，增加了发现最佳移动速度的概率，以减少干净样本转换为对抗样本的时间；然而，多步攻击会增加估计移动速度的难度；为了解决这一问题，提出一个在所有方向上的平均移动速度s_j，它的函数表示如公式(6)：

其中N为多步攻击中使用的总步骤，δx_q为第q步中添加的攻击扰动；

步骤4形成整个ACTS评价算法框架并输出结果

在步骤1和步骤2的基础上，根据步骤3的构建算法，形成整个评价算法框架ACTS；根据每一张待分类的输入图片，通过ACTS算法框架，给出一个量化后的分数结果作为输出。