[发明专利]针对对抗性攻击的深度学习模型防御方法及深度学习模型

权利要求书

1.一种针对对抗性攻击的深度学习模型防御方法，包括如下步骤：

S1.获取待训练的原始深度学习模型和原始训练数据；

S2.构建转换层；转换层的工作过程包括如下步骤：

A.设置n个分界点；各分界点的取值范围为0≤i₁＜i₂＜...＜i_i＜...＜i_n≤h，其中i_i为第i个分界点的取值，h为输入图像的长度值；

B.当某图像输入到转换层时，转换层将遍历各个分界点，并将输入的图像从分界点处进行如下转换：

当前分界点为i_i，则从输入图像的第i_i行开始，将输入图像的后h-i_i层作为转换后图像的前h-i_i层，同时将输入图像的前i_i层作为转换后图像的后i_i层；

S3.采用步骤S2构建的转换层，对步骤S1获取的原始训练数据进行数据转换，并将转换后的数据补充到原始训练数据当中，构成训练数据；

S4.采用步骤S3得到的训练数据，对待训练的原始深度学习模型进行训练，得到深度学习模型；

S5.将步骤S2构建的转换层插入到步骤S4得到的深度学习模型的输入层后面，得到高鲁棒性深度学习模型；

S6.在步骤S5得到的高鲁棒性深度学习模型工作时，对输入的数据进行监测，并采用高鲁棒性深度学习模型中的转换层进行对应的防御；具体为采用如下步骤进行防御：

对输入的数据进行监测：

在设定的时间段内，对连续输入到高鲁棒性深度学习模型的输入图像进行相似性判断：

在设定的时间段内，若判定为相似的样本数量大于设定的阈值，则判定此时深度学习模型遭受黑盒攻击，进行黑盒防御模式；

否则，进行白盒防御模式；

黑盒防御模式：

在步骤S2构建的转换层所设置的n个分界点中，随机选择一个分界点i_j，1≤j≤n，并将输入图像从第i_j行开始进行逐行转换：将输入图像的后h-i_j行作为转换后图像的前h-i_j行，将输入图像的前i_j行作为转换后图像的后i_j行，并将转换后的图像数据进行前向传播；h为输入图像的长度值；

白盒防御模式：

在步骤S2构建的转换层所设置的n个分界点中，转换层遍历各个分界点，并从分界点处对图像进行逐行转换：当前分界点为i_j，将输入图像的后h-i_j行作为转换后图像的前h-i_j行，将输入图像的前i_j行作为转换后图像的后i_j行；将得到的所有转换后图像进行分类，并进行判断：若当前的输入图像所对应的所有转换后图像的原始预测分类结果占比低于设定的占比阈值，则认定输入图像为对抗样本，拒绝为该输入图像分类；否则，正常为输入图像分类。

2.根据权利要求1所述的针对对抗性攻击的深度学习模型防御方法，其特征在于步骤S3所述的采用步骤S2构建的转换层，对步骤S1获取的原始训练数据进行数据转换，并将转换后的数据补充到原始训练数据当中，构成训练数据，具体为将所有的原始训练数据均输入到步骤S2构建的转换层中，利用转换层得到所有可能得到的转换后的图像，对转换后的图像设置与输入图像相同的标签，并将得到的转换后的图像均补充到原始训练数据当中，构成训练数据。

3.根据权利要求2所述的针对对抗性攻击的深度学习模型防御方法，其特征在于所述的占比阈值，具体为采用如下步骤计算占比阈值：

(1)将测试集中所有干净样本进行逐一转换，并得到类别分布；

(2)计算第i个干净样本所对应的预测类别占比：式中为第i个干净样本所对应的预测类别占比，为第i个干净样本所对应的类别分布中原始预测类别的次数，T为转换层所转换的次数；

(3)计算最终的占比阈值R：式中n为测试集中干净样本的总数。

4.一种包括了权利要求1～3之一所述的针对对抗性攻击的深度学习模型防御方法的深度学习模型，其特征在于包括原始深度学习模型、转换层、模型训练模块和训练数据转换模块；采用权利要求1～3 之一所述的针对对抗性攻击的深度学习模型防御方法构建转换层；训练数据转换模块用于采用构建的转换层对原始训练数据进行转换和补充，从而得到训练数据；模型训练模块用于采用得到的训练数据对原始深度学习模型进行训练，从而得到深度学习模型；最后将转换层设置在深度学习模型的输入层的后面，得到最终的模型。