[发明专利]针对深度神经网络对抗样本的对抗噪声去除方法及系统

权利要求书

1.一种针对深度神经网络对抗样本的对抗噪声去除方法，其特征在于，包括：

利用干净图像样本对条件变分自编码器与分类器进行端到端训练，获得训练后的条件变分自编码器与分类器；

将待去噪的对抗图像输入至所述训练后的条件变分自编码器和分类器，获得所述对抗图像的去噪样本与类别。

2.根据权利要求1所述的针对深度神经网络对抗样本的对抗噪声去除方法，其特征在于，所述利用干净图像样本对条件变分自编码器与分类器进行端到端训练，获得训练后的条件变分自编码器与分类器，包括：

S101，将条件变分自编码器与分类器直接连接，输入干净图像与对应的类别标签配对；

条件变分自编码器中的编码器对输入干净图像与对应类别标签进行编码至特征空间，得到特征空间中潜在变量所服从分布的均值与标准差：

μ，σ＝Encoder(x_clean，y_true)

其中，μ表示编码得到的潜在变量z的均值，σ为编码得到的潜在变量z的标准差，x_clean为输入干净图像，y_true为干净图像对应的类别标签；

S102，在所述特征空间采样得到潜在变量z：

z＝μ+ε·σ

ε～N(0，I)

其中ε代表服从N(0，I)正态分布的随机超参数，通过上述重采样方法，得到服从正态分布N(μ，ε)的潜在变量z；

S103，将潜在变量z输入条件变分自编码器中的解码器，重建干净输入图像：

x_recon＝Decoder(z，y_true)

其中x_recon表示解码器重建后的干净输入图像，解码过程同样是有监督的，需要额外输入类别标签y_true；

S104，将所述重建后的干净输入图像输入分类器，得到依据重建样本预测的类别y_pred：

y_pred＝Classifier(x_recon)

S105，将所述条件变分自编码器与分类器的损失函数组成联合损失函数，利用Adam优化算法端到端训练：

L₁＝x_cleanlog x_recon+(1-x_clean)log(1-x_recon)

L₂＝μ²+σ²-logσ²-1

L₃＝y_truelog y_pred+(1-y_true)log(1-y_pred)

L＝L₁+L₂+L₃+L_reg

其中，训练后的条件变分自编码器与分类器模型的损失函数分为四部分：条件变分自编码器的损失L₁与L₂，分类器的分类损失L₃，和控制条件变分自编码器参数大小的正则化损失L_reg，L₁和L₃采用交叉熵损失，L₂采用KL散度损失，正则化损失函数L_reg则定义为编码器与解码器参数的二范数。

3.根据权利要求2所述的一种针对深度神经网络对抗样本的对抗噪声去除方法，其特征在于，所述条件变分自编码器包括：

基础条件变分自编码器；

在所述基础条件变分自编码器的标签输入端额外加入的多层全连接层，所述多层全连接层用于提高便签的维度和标签在编码操作中所占权重；

在所述基础条件变分自编码器的标签输入端额外加入的用于避免编码过程中出现方差漂移现象的多个BN层；以及，

在所述基础条件变分自编码器输出的均值后额外加入的用于改善编码效果的BN层。