[发明专利]一种基于双重注意力机制的低感知性对抗样本构成方法

权利要求书

1.一种低感知性对抗样本构成方法，其特征在于，所述方法包括如下步骤：

获取原始图像的特征图；

基于原始图像的特征图，计算原始图像特征图与原始图像特征图添加通用对抗扰动后生成的第一阶段对抗样本间的感知损失、判别损失和对抗损失，优化预设的提取网络，得到关键干扰区域；其中优化预设的提取网络，包括：

基于注意力网络损失函数，优化预设的提取网络，所述注意力网络损失函数为：

L₁＝α₁L_adv1+β₁L_D1+γ₁L_p              (1)

公式(1)中，α₁表示第一阶段对抗损失的权重，α₁∈[2,8]，L_adv1表示第一阶段对抗损失，通过以下公式计算得到：

L_adv1＝E_xl_t(T(x+ρ₁),t)

ρ₁∈[-P_Max,P_Max]     (2)

公式(2)中，E_x表示原始图像特征图x的集合，T表示被攻击的深度模型，模型的输入为第一阶段对抗样本，输出为向量与经过one-hot编码所得的分类标签向量t长度相同，l_t表示交叉熵损失函数，ρ₁表示第一阶段受到的扰动，P_max表示扰动幅度的上限；

公式(1)中，β₁表示第一阶段判别损失的权重，β₁∈[7,13]，L_D1表示第一阶段判别损失，通过以下公式计算得到：

L_D1＝Ex log D(x)+Ex log(1-D(x+ρ₁))

公式(3)中，E_x表示原始图像特征图x的集合，D(·)表示判别网络对输入特征图的输出结果，ρ₁表示第一阶段受到的扰动，F表示经过门机制得到的特征图，F与P_G间使用元素级乘法

公式(1)中，γ₁表示第一阶段感知损失的权重，γ₁∈[0.5,1.5]，L_p表示感知损失，通过以下公式计算得到：

公式(4)中，表示预设的提取网络，C、H、W表示原始图像特征图x与第一阶段对抗样本(x+ρ₁)经过预设的提取网络后的通道数、高度、宽度；

其中，所述得到关键干扰区域，包括如下步骤：将原始图像的特征图输入1组卷积-标准化-ReLU激活层，将特征图分为两路，一路依次输入2组卷积-标准化-ReLU激活层、1个注意力模块和1组反卷积-标准化-ReLU激活层，另一路输入1组最大池化-卷积-标准化-ReLU激活层；两路输出的特征图在通道维度上拼接，输入2组反卷积-标准化-ReLU激活层后，输入门机制，筛选得到关键干扰区域；

所述门机制包括：输入卷积处理过的尺度为H×W×C的特征图，将特征图平面内像素的值归一化，图内每一像素点均与参数τ点乘；若点乘后的值大于预设的阈值，则在输出的特征图的相应位置的值为1，则输出的特征图尺度为H×W×1，否则为0；

基于关键干扰区域，计算原始图像特征图与原始图像特征图添加对抗扰动后生成的第二阶段对抗样本间的判别损失和对抗损失，优化预设的生成网络，包括：

基于第二阶段损失函数，优化预设的生成网络，所述第二阶段损失函数为：

L₂(x,a)＝α₂L_adv2+β₂L_D2+γ₂||ρ₂||²          (5)

公式(5)中，γ₂表示第二阶段最小平方损失的权重，γ₂∈[0.5,1.5]，α₂表示第二阶段对抗损失的权重，α₂∈[2,8]，L_adv2表示第二阶段对抗损失，通过以下公式计算得到：

L_adv2＝E_xl_t(T(x+ρ₂),t)

ρ₂∈[-P_Max,P_Max]       (6)

公式(6)中，E_x表示原始图像特征图x的集合，T表示被攻击的深度模型，模型的输入为第一阶段对抗样本，输出为向量与经过one-hot编码所得的分类标签向量t长度相同，l_t表示交叉熵损失函数，ρ₂表示第二阶段受到的扰动，P₂表示生成网络生成的第二阶段扰动，P_max表示扰动幅度的上限，F表示经过门机制得到的特征图，F与P₂间使用元素级乘法

公式(5)中，β₂表示第二阶段判别损失的权重，β₂∈[0.5,1.5]，L_D2表示第二阶段判别损失，通过以下公式计算得到：

L_D2＝E_xlog D(x)+E_xlog(1-D(x+ρ₂))        (7)

公式(7)中，E_x表示原始图像特征图x的集合，D(·)表示判别网络对输入特征图的输出结果，ρ₂表示第二阶段受到的扰动；

通过优化后的提取网络和生成网络向原始图像添加对抗扰动，生成低感知性对抗样本。