[发明专利]基于图像预处理的对抗样本防御方法

说明书

本发明属于人工智能安全技术领域，公开了一种基于图像预处理的对抗样本防御方法，包括步骤1：构建防御模型AGD；所述防御模型AGD共有17层网络，由三大模块构成，其中，前12层网络为扩张卷积模块，中间四层网络为特征增强模块，最后一层网络为注意力模块；步骤2：构建图像重建模型；基于超分辨率设计图像重建模型，对AGD防御模型处理后的样本进行重建；步骤3：构建防御框架SR‑AGD；结合AGD防御模型和图像重建模型的特点，构建防御框架SR‑AGD。本发明提出的基于图像预处理的防御技术SR‑AGD有效解决了已有类似防御方法中存在的对抗扰动去除不完全、影响正常样本分类等缺陷，起到了良好的防御对抗攻击的效果。

技术领域

本发明属于人工智能安全技术领域，尤其涉及一种基于图像预处理的对抗样本防御方法。

背景技术

随着对抗样本研究的深入，研究者们针对不断涌现的对抗攻击，提出了许多防御方法。虽然这些防御方法在一定程度上起到了防御作用，但仍存在许多问题。例如，梯度遮蔽方法无法防御无需模型梯度信息的对抗攻击；对抗训练防御方法训练成本高、模型的准确性与鲁棒性难以权衡、自适应性差等等。而图像预处理作为一种高效的防御手段，不但防御效果好，而且具备兼容性，能与其他类型的防御方法结合来进一步提高模型的防御能力。因此，我们从图像预处理的角度入手，通过去除对抗样本上的对抗扰动，来使对抗样本重新被分类正确。

而在已有的类似防御方法中，目前也存在一些问题。例如，利用滤波器去除对抗扰动时，只能去除少部分的扰动；在像素上去除对抗扰动时，存在残余扰动放大现象；HGD防御方法虽具备更好的防御效果，但对抗扰动去除效果仍有待提升。由此可见，对抗扰动与图像上的自然噪声有所不同，更难提取与去除。

发明内容

本发明目的在于提供一种基于图像预处理的对抗样本防御方法,以解决上述的技术问题。

为了提高防御效果，增强去除对抗扰动的能力，本发明基于注意力机制以及超分辨率的防御技术SR-AGD：利用注意力机制的特性提出防御模型AGD，增强模型对对抗扰动的特征提取能力，提高对抗扰动去除效果；利用超分辨率提出图像重建模型，对经AGD模型处理后的图像进行重建，重构图像细节信息与结构。具体技术方案如下：

一种基于图像预处理的对抗样本防御方法，包括如下步骤：

步骤1：构建防御模型AGD；所述防御模型AGD共有17层网络，由三大模块构成，其中，前12层网络为扩张卷积模块，中间四层网络为特征增强模块，最后一层网络为注意力模块；

步骤2：构建图像重建模型；基于超分辨率设计图像重建模型，对AGD防御模型处理后的样本进行重建，减轻AGD对正常样本产生的影响；

步骤3：构建防御框架SR-AGD；结合AGD防御模型和图像重建模型的特点，构建防御框架SR-AGD，实现对对抗攻击的防御效果。

进一步地，所述步骤1在扩张卷积模块中，通过将第2层、第5层、第9层以及第12层的卷积层由普通卷积改为扩张卷积，达到增大感受野来映射图像中更多的上下文信息，从而有助于获取到更多的对抗扰动特征，公式(1)对扩张卷积模块的过程进行了表示，其中x^*代表输入的对抗样本，f_DC代表扩张卷积模块实现的作用，O_DC代表扩张卷积模块的输出，

O_DC＝f_DC(x^*)。 (1)

进一步地，所述步骤1在特征增强模块中，将输入的对抗样本特征与第16层网络所输出的特征进行融合，公式(2)对特征增强模块的过程进行了表示，其中x^*代表输入的对抗样本，O_DC代表扩张卷积模块的输出，f_FE代表特征增强模块实现的作用，O_FE代表扩张卷积模块的输出，