[发明专利]对抗样本的检测方法、系统、设备及存储介质

说明书

本申请公开了一种对抗样本的检测方法、系统、设备及存储介质，应用于人工智能技术领域，包括：构建用于进行图像处理的图像超分辨率模型；将待测图像输入至所述图像超分辨率模型，得到所述图像超分辨率模型输出的高分辨率的第一输出图像；分别将所述待测图像和所述第一输出图像输入至分类模型中，得到针对所述待测图像的第一分类识别结果和针对所述第一输出图像的第二分类识别结果；确定出所述第一分类识别结果与所述第二分类识别结果之间的相似度，并判断所述相似度是否高于预设阈值；如果否，则确定所述待测图像为对抗样本。应用本申请的方案，能够方便，准确地检测出对抗样本。

技术领域

本发明涉及人工智能技术领域，特别是涉及一种对抗样本的检测方法、系统、设备及存储介质。

背景技术

对抗样本是在输入样本中故意添加一些人无法察觉的细微干扰的样本，从而导致模型以高置信度给出一个错误的输出。对抗性攻击主要发生在构造对抗样本的时候，之后对抗样本就如正常数据一样输入至机器学习模型，并得到欺骗性的识别结果。

对抗样本的存在会使得深度学习在安全敏感性领域的应用受到威胁。目前，通常是针对对抗样本进行训练，使得模型能够不受对抗样本的影响，但是这样的方式较为复杂，且对于不同类型的对抗样本，未必都能够取得较好的训练效果。此外，还有部分方案会进行对抗样本的识别，但目前识别的准确度较低。

综上所述，如何有效地应对对抗样本的攻击，是目前本领域技术人员急需解决的技术问题。

发明内容

本发明的目的是提供一种对抗样本的检测方法、系统、设备及存储介质，以有效地应对对抗样本的攻击。

为解决上述技术问题，本发明提供如下技术方案：

一种对抗样本的检测方法，包括：

构建用于提高图像分辨率的图像超分辨率模型；

将待测图像输入至所述图像超分辨率模型，得到所述图像超分辨率模型输出的第一输出图像；

分别将所述待测图像和所述第一输出图像输入至分类模型中，得到针对所述待测图像的第一分类识别结果和针对所述第一输出图像的第二分类识别结果；

确定出所述第一分类识别结果与所述第二分类识别结果之间的相似度，并判断所述相似度是否高于预设阈值；

如果否，则确定所述待测图像为对抗样本。

优选的，得到的针对所述待测图像的第一分类识别结果表示为：P[p₁，p₂，…p_i…，p_n]，得到的针对所述第一输出图像的第二分类识别结果表示为：Q[q₁，q₂，…q_i…，q_n]；

其中，n表示的是所述分类模型的标签数量，i为正整数且1≤i≤n，p_i表示的是所述待测图像属于第i类的概率值，q_i表示的是所述第一输出图像属于第i类的概率值。

优选的，所述确定出所述第一分类识别结果与所述第二分类识别结果之间的相似度，包括：

基于第一相似度和/或第二相似度，确定出所述第一分类识别结果与所述第二分类识别结果之间的相似度；

其中，所述第一相似度用于反映所述第一分类识别结果的概率值分布，与所述第二分类识别结果的概率值分布之间的相似程度；

所述第二相似度用于反映所述第一分类识别结果中的不同类的概率值的排名状态，与所述第二分类识别结果中的不同类的概率值的排名状态之间的相似程度。

优选的，所述第一相似度为通过以下操作确定出的第一相似度：