[发明专利]基于图像预处理的对抗样本防御方法

权利要求书

1.一种基于图像预处理的对抗样本防御方法，其特征在于，包括如下步骤：

步骤1：构建防御模型AGD；所述防御模型AGD共有17层网络，由三大模块构成，其中，前12层网络为扩张卷积模块，中间四层网络为特征增强模块，最后一层网络为注意力模块；

步骤2：构建图像重建模型；基于超分辨率设计图像重建模型，对AGD防御模型处理后的样本进行重建，减轻AGD对正常样本产生的影响；

步骤3：构建防御框架SR-AGD；结合AGD防御模型和图像重建模型的特点，构建防御框架SR-AGD，实现对对抗攻击的防御效果。

2.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤1在扩张卷积模块中，通过将第2层、第5层、第9层以及第12层的卷积层由普通卷积改为扩张卷积，达到增大感受野来映射图像中更多的上下文信息，从而有助于获取到更多的对抗扰动特征，公式(1)对扩张卷积模块的过程进行了表示，其中x^*代表输入的对抗样本，f_DC代表扩张卷积模块实现的作用，O_DC代表扩张卷积模块的输出，

O_DC＝f_DC(x^*)。 (1)

3.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤1在特征增强模块中，将输入的对抗样本特征与第16层网络所输出的特征进行融合，公式(2)对特征增强模块的过程进行了表示，其中x^*代表输入的对抗样本，O_DC代表扩张卷积模块的输出，f_FE代表特征增强模块实现的作用，O_FE代表扩张卷积模块的输出，

O_FE＝f_FE(x^*，O_DC)。 (2)

4.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤1在最后一层网络上加入了CBAM注意力模块来进行注意力机制的实现；CBAM注意力机制主要包括两部分，分别为通道注意力和空间注意力，注意力模块利用通道与空间这两个维度，对AGD防御模型中的中间特征图分别采用两个独立的注意力机制来得到权重系数，公式(3)表示了注意力模块的处理过程，其中O_FE代表特征增强模块的输出，也是注意力模块的输入，f_AB代表注意力模块实现的作用，代表注意力模块的输出，即对抗扰动信息的残差图像，

5.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤1在AGD防御模型损失函数的设计中，将扰动去除前后图像在目标模型高层网络中输出结果之间的差异作为损失函数，如公式(4)所示，其中，代表经AGD处理去除了对抗扰动的图像，x代表原始图像，F_l代表目标模型中第l层网络的输出结果，||·||代表L₁范数，

6.根据权利要求1所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤2的图像重建模型由三个模块组成，分别是特征提取模块、多尺度特征融合模块以及亚像素重建模块。

7.根据权利要求6所述的基于图像预处理的对抗样本防御方法，其特征在于，所述步骤2在特征提取模块，对AGD处理后的图像进行初始特征的提取，作为后续模块的输入，利用了一个1×1的卷积提取AGD防御模型处理后图像的初始特征，该过程用公式(5)表示，

其中，代表输入的低分辨率图像，即AGD防御模型处理后得到的图像，F_E代表卷积核大小为1×1的卷积层对特征的提取过程，O_E代表提取初始特征后得到的特征图。