[发明专利]一种对抗网络样本检测的方法

权利要求书

1.一种对抗网络样本检测的方法，其特征在于，包括以下步骤：

构建用于检测对抗样本的检测模型，所述检测模型包括特征提取单元、特征重构单元、图分类器、差异计算单元以及判别单元，其中，特征提取单元用于生成输入图像样本的提取特征，特征重构单元用于生成输入图像样本的重构特征，图分类器用于对输入的提取特征和重构特征进行处理，得到对应的概率分布，差异计算单元用于对输入提取特征对应的概率分布与重构特征对应的概率分布的差异值，判别单元用于依据差异值和预设阈值判别图像样本是否为对抗样本；

将待检测图像样本输入至所述检测模型中，以实现对待检测图像样本的检测。

2.如权利要求1所述的对抗网络样本检测的方法，其特征在于，所述特征提取单元采用Struc2vec实现结构相似性的特征向量的提取，以获得提取向量。

3.如权利要求1所述的对抗网络样本检测的方法，其特征在于，所述特征重构单元采用子图网络对图像样本进行特征重构，生成重构特征。

4.如权利要求3所述的对抗网络样本检测的方法，其特征在于，所述特征重构单元包含至少2个不同阶数的子图网络，用于生成多组重构特征，每组重构特征均输入至图分类器来生成概率分布，差异计算单元计算每组重构特征的概率分布与提取特征的概率分布的差异值，判断单元依据多个差异值与预设阈值判别图像样本是否为对抗样本。

5.如权利要求4所述的对抗网络样本检测的方法，其特征在于，所述特征重构单元包含1阶子图网络和2阶子图网络，用于生成2组重构特征，2组重构特征均输入至图分类器来生成2个概率分布，差异计算单元分别计算2组重构特征的概率分布与提取特征的概率分布的2个差异值，判断单元依据2个差异值与预设阈值判别图像样本是否为对抗样本。

6.如权利要求1所述的对抗网络样本检测的方法，其特征在于，判断单元在对抗样本判别时，

当每个图像样本对应1个差异值时，则比较差异值与预设阈值的大小关系，当差异值大于预设阈值时，则认为图像样本为对抗样本，否则为合法样本；

当每个图像样本对应至少2个差异值时，则选择最大的差异值与预设阈值进行比较，当最大差异值大于预设阈值时，则认为图像样本为对抗样本，否则为合法样本。

7.如权利要求1所述的对抗网络样本检测的方法，其特征在于，所述预设阈值的确定方法为：

将大量合法图像样本输入至检测模型，以所有合法图像样本的所有差异值的平均数作为阈值基础值，以不超过该阈值基础值的4～5％作为预设阈值。

8.如权利要求1所述的对抗网络样本检测的方法，其特征在于，在构建检测模型时，需要对特征提取单元、特征重构单元以及图分类器进行参数优化。

9.如权利要求1所述的对抗网络样本检测的方法，其特征在于，在对检测模型中特征提取单元、特征重构单元以及图分类器进行参数优化的过程中，利用对抗样本检测模型的检测效果，具体过程包括：

对测试用的正常图像样本进行攻击，得到对抗样本，将对抗样本输入至检测模型中，若对抗样本的差异值大于预设阈值，则对抗样本检测成功，统计并分析对抗样本的检测率，以确定检测模型的检测效果。

10.如权利要求9所述的对抗网络样本检测的方法，其特征在于，对正常图像样本采用随机攻击、梯度攻击以及强化学习攻击进行攻击，得到对抗样本。