[发明专利]一种为图像分类器进行对抗样本防御的方法

权利要求书

1.一种为图像分类器进行对抗样本防御的方法，其特征在于，包括如下步骤：

步骤1，构造模型，准备图像训练数据；

步骤2，将图像训练数据随机划分成多个mini-batch；

步骤3，借助一个mini-batch的图像训练数据实现模型的一次参数更新；

a)选择一个尚未参与计算的mini-batch的图像训练数据，生成对应的对抗样本；

b)将上一步生成的对抗样本与对应的图像训练数据混合，并调整对抗样本中各图像数据的相对位置；

c)借助反向传播算法，更新一次模型参数；

步骤4，重复步骤3，直至步骤2所划分的mini-batch全部参与了计算；

步骤5，重复步骤2-4，直至模型完成训练；

步骤6，输出步骤5完成训练的模型。

2.根据权利要求1所述的为图像分类器进行对抗样本防御的方法，其特征在于，将图像训练数据集随机划分成多个mini-batch的实现过程如下：

假设图像训练集中共包含D条图像训练数据，预设的mini-batch的大小为n。首先将D条图像训练数据随机打乱，之后按照mini-batch的大小依次选取图像训练数据，从而图像训练集共被分成了m个mini-batch；

3.根据权利要求1所述的为图像分类器进行对抗样本防御的方法，其特征在于，选择一个尚未参与计算的mini-batch的图像训练数据，生成对应的对抗样本，实现过程如下：

任取一组尚未使用过的mini-batch的图像训练数据X＝(x₁，x₂，...，x_n)，在当前的模型下，采用某种对抗攻击算法生成X对应的对抗样本

4.根据权利要求1所述的为图像分类器进行对抗样本防御的方法，其特征在于，混合生成的对抗样本与对应图像训练数据，调整对抗样本中各图像数据的相对位置，实现过程如下：

预设划分比例λ，λ∈[0，1]，按照λ将对抗样本划分成两部分和其中：

随机调整中各图像实例在中所处的位置，从而对实施重新排列，拼接与重排列后的得到对图像训练数据X的数据标签Y采用同样操作，得到对抗样本对应的标签计算同类标识T＝(t₁，t₂，...，t_n)，当x_i和同类，即y_i与相等时t_i＝1，否则t_i＝0。

5.根据权利要求1所述的为图像分类器进行对抗样本防御的方法，其特征在于，借助反向传播算法，更新一次模型参数，实现过程如下：

假设模型的参数是W，设定学习率为a；定义损失函数如下所示：

其中α、β、γ为预设的超参数，l(·)为交叉熵损失函数，l_con(·)为对比损失函数；训练时采用暹罗架构，X与同时作为网络的输入，采用损失函数L(·)计算W的梯度并更新

6.根据权利要求1所述的为图像分类器进行对抗样本防御的方法，其特征在于，重复步骤2-4，直至模型完成训练；预设训练轮数N，在每一轮中，将图像训练集随机分割成m个mini-batch，实现模型的m次参数更新，完成模型训练。

7.根据权利要求1所述的为图像分类器进行对抗样本防御的方法，其特征在于，所述模型超参数包括：模型学习率、mini-batch的大小、最大迭代次数、损失函数各分量的系数α、β和γ、对抗样本划分比例。

8.根据权利要求1所述的为图像分类器进行对抗样本防御的方法，其特征在于，所述图像训练数据为图片格式的数据。

9.根据权利要求1所述的为图像分类器进行对抗样本防御的方法，其特征在于，所述某种对抗攻击算法，包括：有目标攻击或无目标攻击、迭代式攻击或单步式攻击、不同范数攻击，所述不同范数包括：L₀、L₁、L₂和L_∞。