[发明专利]一种防御对抗攻击的图像分类方法、装置和计算机设备

说明书

本申请涉及一种种防御对抗攻击的图像分类方法、装置和计算机设备，首先获取预先构建的图像分类模型以及图像分类模型的最后一层特征提取器的权重，向权重中引入随机噪声，其中随机噪声满足多变量高斯分布；然后将原始图像输入图像分类模型，获取最后一层特征提取器提取的原始图像特征；再根据原始图像特征和随机噪声的分布方差构建基于权重的损失函数，根据基于权重的损失函数构建图像分类模型的损失函数；最后优化图像分类模型的损失函数得到训练好的防御对抗攻击的图像分类模型，采用防御对抗攻击的图像分类模型进行图像分类。本发明可以大大减少训练时间和计算负担，同时确保对原始图像分类的准确性和鲁棒性。

技术领域

本申请涉及计算机设觉技术领域，特别是涉及一种防御对抗攻击的图像分类方法、装置和计算机设备。

背景技术

深度神经网络已被广泛用于各个领域，并凭借其强大的表示能力取得了卓越的性能。然而，深度神经网络对不易察觉的故意扰动(又称对抗性攻击)容易出错，这对将深度神经网络应用于安全关键场景构成了重大挑战。近年来，人们提出了许多防御方法来提高深度神经网络的抗攻击能力，即对抗性鲁棒性，进而保证图像分类结果的稳定性。

现有的随机防御方法大多依赖于对抗性训练，对抗训练首先通过对抗性攻击生成对抗性图像样本，然后利用生成的对抗图像样本重新训练模型，它以牺牲干净图像的准确性为代价提高模型的对抗性鲁棒性。因此，依靠对抗性训练的方法是一个低效的训练过程，并阻碍了在现实世界中的应用，特别是在需要快速决策的场景。总而言之，为了提高模型的防御对抗攻击能力以确保图像分类结果的稳定性，迫切需要一种不需要对抗性训练的图像分类方法。

发明内容

基于此，提供一种无需对抗性训练的防御对抗攻击的图像分类方法、装置和计算机设备，以提高图像分类的效率和鲁棒性。

一种防御对抗攻击的图像分类方法，所述方法包括：

获取预先构建的图像分类模型以及所述图像分类模型的最后一层特征提取器的权重，向所述权重中引入随机噪声；所述随机噪声满足多变量高斯分布；

将原始图像输入所述图像分类模型，获取所述最后一层特征提取器提取的原始图像特征；

根据所述原始图像特征和所述随机噪声的分布方差构建基于权重的损失函数，根据所述基于权重的损失函数构建所述图像分类模型的损失函数；

优化所述图像分类模型的损失函数得到训练好的防御对抗攻击的图像分类模型，采用所述防御对抗攻击的图像分类模型进行图像分类。

在其中一个实施例中，向所述权重中引入随机噪声，包括：

在多变量高斯分布中进行采样，获取一个零均值单位方差向量；所述多变量高斯分布的均值C表示图像分类模型的输出类别数，D表示最后一层特征提取器提取的原始图像特征的维度；

根据所述零均值单位方差向量和下三角矩阵的乘积得到随机噪声的各向异性高斯分布的协方差矩阵：

∑＝L·L^T

其中，∑表示协方差矩阵，即随机噪声的分布方差，表示零均值单位方差向量和下三角矩阵的乘积；

从所述各向异性高斯分布中进行采样，向所述权重中引入各向异性的随机噪声。

在其中一个实施例中，根据所述原始图像特征和所述随机噪声的分布方差构建基于权重的损失函数为：

其中，表示基于权重的损失函数，表示原始图像，表示最后一层特征提取器提取的原始图像特征，∑表示随机噪声的分布方差，

在其中一个实施例中，根据所述基于权重的损失函数构建所述图像分类模型的损失函数为：