[发明专利]基于补丁检测的对抗防御模型训练方法

权利要求书

1.一种基于补丁检测的对抗防御模型训练方法，包括以下步骤：

a、利用训练数据集训练目标检测神经网络，得到预训练模型；

b、对所述预训练模型进行对抗补丁攻击，生成对抗补丁数据集；

c、利用所述对抗补丁数据集对训练数据集进行更新，并重新训练所述预训练模型，并更新模型参数后对其再次攻击；

d、重复所述步骤(a)至(c)至得到由充足的对抗补丁数据构成的对抗补丁数据集；

e、将所述步骤(d)获得的对抗补丁数据集中的补丁添加到原始的训练数据集的数据上，并在所述训练数据集中添加对抗补丁的类别，利用之训练神经网络，得到目标检测模型。

2.根据权利要求1所述的基于补丁检测的对抗防御模型训练方法，其特征在于，在所述步骤(a)中，所述目标检测神经网络为YOLO或RCNN。

3.根据权利要求1所述的基于补丁检测的对抗防御模型训练方法，其特征在于，所述步骤(b)中的对抗补丁攻击采用的目标函数为：

其中，D是样本分布，T是补丁变换的分布，A(δ,x,t)用于将补丁δ以变换t的方式添加到样本x上，J(A(δ,x,t),y)为预训练模型的损失函数。

4.根据权利要求3所述的基于补丁检测的对抗防御模型训练方法，其特征在于，所述对抗补丁攻击为，在目标数据集的数据中添加方形的补丁图案，利用之训练模型；

对补丁图案进行初始化后进行变换，使模型函数接近于所述目标函数，所述变换包括对比度、亮度、随机噪声、尺寸、角度和位置的变换；

其中，对比度的变化范围为0.8到1.2，亮度的变化范围为－0.1到0.1，随机噪声因子为0.1，角度变化范围为－20°到20°，补丁中心位于目标所在预测框的中心位置处，尺寸与预测框成比例关系。

5.根据权利要求4所述的基于补丁检测的对抗防御模型训练方法，其特征在于，在所述步骤(c)中，对所述对抗补丁数据集中的对抗补丁数据进行补丁攻击时的所述变换，随后随机添加到目标数据集中的所有数据上，得到包含对抗补丁信息的对抗样本数据集，并将对抗样本数据集加入至所述训练数据集中。

6.根据权利要求5所述的基于补丁检测的对抗防御模型训练方法，其特征在于，在所述步骤(c)中，更新模型参数采用的损失函数为：

其中，min_θ用于更新模型参数，x为原始的训练数据集，A(x,δ,t)为在目标数据集上添加对抗补丁后构建的对抗样本数据集；

在更新模型参数的过程中，对抗样本数据的标签保持不变，在更新过一次模型参数后，使用max_δ获取基于更新后模型的对抗补丁数据。

7.根据权利要求6所述的基于补丁检测的对抗防御模型训练方法，其特征在于，在所述步骤(e)中，训练前修改模型的部分结构以适应训练需求，训练后比较所述目标检测模型和原始的预训练模型在检测能力和鲁棒性。

8.根据权利要求7所述的基于补丁检测的对抗防御模型训练方法，其特征在于，修改模型结构主要包括针对输入层，全连接层和输出层的修改，修改后的模型结构中：

输入层包含的数据为原始的训练数据集及对抗样本数据集，对抗样本数据集中的标签增加有对抗补丁的类别信息，包括位置和所属类别的编号；

在全连接层，增加有模型参数，使得在输出层能够包含对抗补丁的类别概率信息。

9.根据权利要求8所述的基于补丁检测的对抗防御模型训练方法，其特征在于，在类别概率以及位置的损失函数项中增加对抗补丁的信息。

10.根据权利要求7所述的基于补丁检测的对抗防御模型训练方法，其特征在于，比较模型的检测能力与鲁棒性时，分别比较两种模型在干净数据及对抗样本数据上的检测AP值。