CN113554089B 一种图像分类对抗样本防御方法、系统及数据处理终端 （西安电子科技大学）

2步骤二，将重建图像输入至目标分类模型，获取步骤三，将未经对抗降噪网络预处理的原始图平滑流中，输入张量依次经GaussianBlur操作、Convolution操作、BatchNorm操作和量经过Convolution操作、BatchNorm操作和LeakyReLU激活单元后输出；使用Concatenate操作将三个张量计算流的输出结果拼接，使用Convolution操作压缩通道数将输入张量划分为多个计算流进行处理；在每个张量计算流中，分别依次包括其中，基于视觉和类别特征双引导的损失函数包括′pppp3类别概率分布，即SoftMax层的输出向量；KL(p||q)表示两个分布p和q之间的Kullback-pppppp该项使用Kullback-Leibler散度作为度量尺度，衡量经过降噪器D(·)处理后的重建样本D(x)和处理前的原始输入图像x的预测类别概率分布的差异，其中预测类别概率分布pp根据良性样本的对抗性评分的分布情况，设定相应的使用带有温度的SoftMax对模型输出进行处理，得到预测类别概率分布，计算公式如4.一种实施权利要求1～3任意一项所述图像分类对抗样本防御方法的图像分类对抗4对抗样本检测模块，用于比较输入图像的对抗性评分和输出控制模块，用于根据输入图像的对抗性判定结果，得所述处理器执行权利要求1～3任意一项所述图56护良性样本库，而且还需要大量的计算以判断输入图像是否属于相应类别的真实数据分[0008]综上所述，对抗样本的存在给基于深度学习的智能系统带来了[0010](1)现有对抗训练类方法依赖使用对抗样本参与训练，将导致训练得到的分类模往往仅对该类型对抗样本具有防御能力，而无法成功抵御其他类型和强度的对抗样本攻法往往需要重新训练分类模型，这无疑在大规模工程实践应用中增加了较大的额外开销，[0014](5)基于样本分布的检验不仅需要维护良性样本库，而且需要大量的计算以判断7使用特定对抗样本训练得到的防御装置难以应对未来可能出现的未知类型的对抗样本攻度特征提取模块设计降噪网络结构，利用视觉和类别特征双引导的损失函数训练对抗降噪提高了应对不同类型和不同强度的对抗攻击时的普遍适应性，并且支持根据安全性需求对降噪网络的数量进行灵活调整，提高了应对二次攻击时的防御能力，增加了防御方案的可扩展性和灵活性。8[0031]将输入张量划分为多个计算流进行处理；在每个张量计算流中，分别依次包括pppp预测类别概率分布，即SoftMax层的输出向量；KL(p||q)表示两个分布p和q之间的pp9pppp重建样本D(x)和处理前的原始输入图像x的预测类别概率分布的差异，其中预测类别概率pp[0055]本发明的另一目的在于提供一种应用所述的图像分类对抗样本防御方法的图像[0067](1)防御装置的训练和部署过程解耦对抗攻击，通过基于对抗性评分阈值的检测[0068](2)提升对不同对抗攻击的普遍适应性，现有的对抗防御措施的有效性大多局限[0069](3)避免对原始分类模型的调整，现有的许多对抗防御方法需要对原始分类模型[0070](4)本发明提出的防御装置具有很好的部署灵活性，无论是降噪器本身的网络结机制而增加过多的额外工作；[0071](5)本发明提出的防御装置具有较好的经济性，现有许多防御方法需要维护干净分类模型(系统)也同样适用。每个张量计算流中，分别依次包括Convolution操作、BatchNorm操作和LeakyReLU激活单量进行额外预处理，直接经Convolution操作、BatchNorm操作和LeakyReLU激活单元后输pppp预测类别概率分布，即SoftMax层的输出向量；KL(p||q)表示两个分布p和q之间的pppppp重建样本D(x)和处理前的原始输入图像x的预测类别概率分布的差异，其中预测类别概率pp[0127](3)对抗性评分计算模块：分别从降噪器模块和分类器模块获取计算对抗性评分[0128](4)对抗样本检测模块：利用输入图像的对抗性评分和根据良性样本对抗性评分后输出，该张量计算流的主要目的在于保留原始输入特征图中的低频特征信息并向后传[0135]本发明假设：图像特征可以分为图像内容本身所包含的视觉特原始无噪声图像之间的视觉相似度，该惩罚项指导降噪网络去除视觉域中的不良噪声；C[0141](1)将测试样本输入至如上所述方法实现的对抗降噪网络，使用对抗降噪网络对[0142](2)将降噪后的图像输入至目标分类模型，获取目标分类模型关于降噪后的图像[0143](3)将未经对抗降噪网络预处理的原始图像输入至目标分类模型，获取目标分类[0144](4)计算经对抗降噪网络降噪后的重建图像与未经对抗降噪网络处理的原始图像pppp对抗样本因为对抗性噪声的存在，其视觉重建误差会因大量噪声被剔除而产生较大的数返回由对应比值大于1，即经过成功发现对抗样本的对抗降噪网络重建后的图像的类别预[0157]本实施例实现的图像分类对抗样本防御系统较现有技术方案在许多方面实现了述内容的非创新性改进，包括但不限于：使用不同数量和排列组合方式堆叠MSF-Block和EFE-Block形成不同深度和广度的降噪网络，使用不同数量的对抗降噪网络实现降噪处理传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一