[发明专利]面向多种对抗图片攻击的协同免疫防御方法

摘要

本发明公开了一种面向多种对抗图片攻击的协同免疫防御方法，包括：1)根据正常图片和已有攻击生成的对抗图片，即对抗样本训练不同结构的对抗样本子分类器，并用遗传算法进行优化。2)用多个对抗样本子分类器对用于检测的图片进行检测，共同判断是否为对抗样本以及对抗样本的种类。3)若在检测过程中发现新型攻击方法，用正常图片和新型对抗样本训练新型对抗样本分类器；训练完成后，对被判为正常的图片再次进行判断；并在一定时间后重新训练整个对抗样本分类器。本发明对新型对抗样本生成专门的新型对抗样本分类器，减少了对新型对抗样本进行防御的时间，提高了对新型对抗样本的防御效果。

主权项

1.一种面向多种对抗图片攻击的协同免疫防御方法，包括以下步骤：(1)将正常图片P输入到多种攻击模型中，生成与共计模型对应的多种对抗样本；(2)构建m个不同对抗样本子检测器结构，每个对抗样本子检测器结构均包括依次连接的第一卷积模块、第一池化模块、第二卷积模块、第二池化模块、第三卷积模块、第三池化模块、第四卷积模块、第四池化模块、全连接模块，不同对抗样本子检测器结构的同一层模块的输入输出数据维度相同；(3)将多种对抗样本和正常图片P作为对当前抗样本子检测器结构的输入，将多种对抗样本和正常图片P对应的真值标签作为当前对抗样本子检测器结构的真值输出，分别对m个对抗样本子检测器结构进行训练，获得m个对抗样本子检测器；(4)计算每个对抗样本子检测器的分类准确率，利用分类准确率较高的对抗样本子检测器替换记忆池中与该对抗样本子检测器相似度最高且比该对抗样本子检测器分类准确率低的对抗样本子检测器，以此更新记忆池中的k个对抗样本子检测器；(5)计算每个对抗样本子检测器的期望繁殖率；(6)在满足迭代终止条件时，将记忆池中k个对抗样本子检测器构成对抗样本检测器CNN1，否则，执行步骤(7)；(7)根据期望繁殖率对随机选择的一个或两个对抗样本子检测器结构进行克隆，获得一个或两个新对抗样本子检测器结构；(8)迭代执行步骤(7)，直到获得m个新对抗样本子检测器结构为止，将m个新对抗样本子检测器结构作为当前抗样本子检测器结构，跳转执行步骤(3)；(9)当出现新型攻击方法生成的新型对抗样本S时，将新型对抗样本S和正常图片P作为训练集，按照步骤(2)～步骤(8)的方式获得新型对抗样本检测器CNN2；(10)将待检测图片输入到对抗样本检测器CNN1进行检测，待检测结果为正常图片后，将该待检测图片输入到新型对抗样本检测器CNN2进行检测，待检测结果输出正常图片后，输入到图像分类器中，实现对待检测图片的分类。