[发明专利]面向特征嵌入中毒攻击的检测方法、装置和系统

权利要求书

1.一种面向特征嵌入中毒攻击的检测方法，其特征在于，包括以下步骤：

(1)获取数据集以及待检测模型，构建与待检测模型结构相同的良性模型，并利用数据优化良性模型的参数；

(2)将数据集中的测试样本分别输入至参数优化的良性模型和待检测模型，获得每个网络层输出的特征图，并计算用于提取明显特征位置的模板与每个特征图之间的互信息，获取测试样本分别在良性模型和待检测模型中每个网络层的互信息；

(3)统计所有测试样本分别在良性模型和待检测模型中每个网络层的互信息，针对某一网络层，当超过个数阈值的测试样本在良性模型中该网络层的互信息与在待检测模型中该网络层的互信息之差均大于差距阈值时，则认为待检测模型被攻击，且对应的网络层为特征嵌入中毒攻击层；

在计算互信息时，针对每个尺寸为H*W的特征图，均会存在H*W+1个模板每个模板通过遍历操作找到特征图中特征明显的位置；

互信息的计算公式为：

其中，表示模板T与特征图集合X的互信息，p(T)表示模板T的先验概率，即μ＝1,2,…,W*H，α为一个恒定的先验似然，α＝(H*W)/(1+H*W)，p(T^-)＝1-α，p(x|T)表示条件似然概率，用于测量特征图x和模板T之间的适应度，表示为：

其中，Z_T＝∑_x∈Xexp[tr(x·T)]，x·T表示x和T之间的乘法，tr(·)表示矩阵迹，tr(x·T)＝∑_ijx_ijt_ij，i∈(1,...,H),j∈(1,...,W)，p(x)＝∑_Tp(T)p(x|T)；

对于模板T∈{T^-，T₁,...,T_H*W}，负模板其中τ是正常数，τ＝0.5/H*W，对应于序号为μ的正模板被给出为|| ||₁表示L1范数距离，β是一个常数参数。

2.根据权利要求1所述的面向特征嵌入中毒攻击的检测方法，其特征在于，还包括在确定待检测模型被攻击中毒后，依据测试样本在模型中的特征通道确定模型的中毒目标类，并生成中毒样本。

3.根据权利要求2所述的面向特征嵌入中毒攻击的检测方法，其特征在于，确定模型的中毒目标类和生成中毒样本的过程为：

将测试样本输入至待检测模型中，计算每一类别测试样本在模型中的特征通道，并在测试样本中添加扰动，以使测试样本激活非所属类别的所有其他类别的特征通路，并最终预测为所有其他类别，生成候选中毒样本；

依据候选中毒样本和测试样本确定添加扰动形成的扰动图；

统计所有扰动图，当每个测试样本对应的最小扰动图属于同一类别的个数大于设定阈值时，将该类别作为模型的中毒目标类，最小扰动图对应的候选中毒样本为最终中毒样本。

4.根据权利要求3所述的面向特征嵌入中毒攻击的检测方法，其特征在于，依据扰动图确定中毒目标类时，当每个测试样本对应的最小扰动图均为同一类别时，将该类别作为模型的中毒目标类，最小扰动图对应的候选中毒样本为最终中毒样本。

5.根据权利要求3所述的面向特征嵌入中毒攻击的检测方法，其特征在于，在构建每一类别测试样本在模型中的特征通道时，对每一类别的所有测试样本在待检测模型中的特征通道求交集得到每一类别测试样本在模型中的特征通道fp_i∈[1,n]，即：

针对每个类别具有m张测试样本，表示属于第i类别的第1个测试样本的神经通路，n为类别总个数。