[发明专利]基于显著性对抗训练的对抗样本防御方法

权利要求书

1.一种基于显著性对抗训练的对抗样本防御方法，其特征在于，包括以下步骤：

步骤S1，利用投影梯度下降法生成对抗样本；

步骤S2，利用可解释性方法获取输入样本的显著图，具体包括：

步骤S201，利用所述可解释性方法中的得分-类激活映射方法Score-CAM计算输入样本在预设卷积层获得的k个通道的激活图，k为正整数；

步骤S202，将每个激活图上采样到输入样本大小，并通过归一化函数将上采样后的激活图标准化到[0,1]范围内，获得较平滑蒙版，计算公式为：

其中，为较平滑蒙版，为上采样后的激活图，为上采样后的激活图的最小值，为上采样后的激活图的最大值；

步骤S203，计算每个激活图负责的前景部分对预测类别的贡献得分，并将所述贡献得分进行softmax函数变换作为权重，处理所述权重和所述激活图得到所述输入样本的显著图，其中，

计算每个激活图负责的前景部分对预测类别的贡献得分的公式为：

其中，f^c(X)为预测类别c对应的logit输出，为较平滑蒙版，表示哈达玛积，X_b为基线输入；

处理所述权重和所述激活图得到所述输入样本的显著图，计算公式为：

其中，为输入样本的显著图，为指定类别c的第k个权重，为层l的第k个激活图；

步骤S3，将所述显著图划分为预设数量的小块样本，并计算每个小块样本的平均显著值，每个小块样本根据对应位置的平均显著值进行JPEG压缩，其中，JPEG压缩公式为：

其中，C(X_i)为显著性压缩后的对抗样本，Q为JPEG压缩程度列表，Sal_i为每个小块样本的平均显著值；

步骤S4，将显著性压缩后的对抗样本作为训练数据进行对抗训练。

2.根据权利要求1所述的基于显著性对抗训练的对抗样本防御方法，其特征在于，所述步骤S1具体包括：

进行迭代攻击前，利用投影梯度下降法在输入样本上随机添加扰动范围[-∈,∈]内的初始扰动值e，在随机点的基础上沿着损失函数的梯度的方向进行多次扰动值大小为α≤∈的迭代扰动，并将所述扰动值投影到扰动范数球内，生成所述对抗样本。

3.根据权利要求2所述的基于显著性对抗训练的对抗样本防御方法，其特征在于，基于投影梯度下降法的无目标对抗样本生成公式为：

其中，为随机初始化的对抗样本，X为输入样本，e为随机初始扰动值，为进行N+1次扰动的对抗样本，Clip_X,∈表示将对抗样本投影到[X-∈,X+∈]，α为迭代扰动，θ_F为模型F的参数，为模型的损失关于样本的梯度。