[发明专利]一种基于变换自编码器的对抗样本防御方法

权利要求书

1.一种基于变换自编码器的对抗样本防御方法，其特征在于，包括两层防御，其中，

第一层防御是以判别重构误差为主导的自编码器网络，分为编码和解码两部分，通过对干净样本和对抗样本进行编解码重构，区分出编码前后两种样本的区别，检测出对抗样本；

第二层防御是以第一层防御中未能识别的图像为数据，通过图像变换的方式消除对抗样本中的扰动信息，将图片主要信息进行压缩，结合总方差最小化的方式对图像进行重组，总方差是重组后图像与原图像的微小差值，以最小化的方式使得二者之间图像相似，且去除原有图像中的微小扰动，最后将这部分去除扰动的图像输入到深度学习的分类模型中，得到准确的分类结果。

2.根据权利要求1所述的一种基于变换自编码器的对抗样本防御方法，其特征在于，具体步骤如下：

S1获取干净样本数据集：将获取到的正常图像作为干净样本数据集，并随机分为训练集和测试集，用以后续训练目标分类器；

S2训练目标分类器：建立深度学习的网络分类结构，使用S1中的干净样本数据集进行训练和测试，得到目标分类器，并使用测试集记录分类的正确率；

S3生成对抗样本数据集并进行分类：选取对抗样本攻击算法和一定的扰动系数，使用S1中的干净样本数据集建立对抗样本数据集，将S1中的干净样本和本步骤中生成的对抗样本混合作为测试集，使用S2中的目标分类器对数据集进行分类，记录此时分类的正确率；

S4构建自编解码器网络结构：根据S1中图像数据的尺寸和大小建立自编码器，使用S1中的干净样本数据集对该自编码器进行训练，得到第一层自编码器网络结构防御模型，对S1中的干净样本数据集进行自编码的重构，计算重构前后的差值作为阈值；

S5使用该网络检测对抗样本：将S3中使用的对抗样本测试集在本步骤中再次使用，用S4中的自编码器对对抗样本测试集进行自编码的重构，对重构前后的样本计算差值，选取S4中的阈值作为临界值，区分出对抗样本和不确定样本，并把不确定样本集作为第二层图像变换防御模型的测试集继续使用；

S6对S5中的不确定样本进行图像变换：将S5中的测试集合均采用总方差最小化的方式进行图像变换，新生成的数据集和原有不确定样本集保持图像变换后的相似性；

S7使用目标分类器再次进行分类，证明防御有效性：对S6中生成的测试集使用原有目标分类器进行分类，再次记录分类的正确率，与S2和S3中的分类正确率相比有所提升，证明本发明对于对抗样本的防御有效性。

3.根据权利要求2所述的一种基于变换自编码器的对抗样本防御方法，其特征在于，所述步骤S6中的图像变换原理如下：

(1)对于图像X描述为m行n列的k通道图像数据，其中第i行第j列的像素点定义为(i,j,k)；通过伯努利随机变量b(i,j,k)对每个像素位置进行随机采样得到随机图像Z，b的取值为0或1的随机变量，图像Z描述为：Z＝XΘb，其中Θ表示逐元素相乘；

(2)利用总方差最小化的原则计算出随机图像Z中与X最接近的图像Z′，使得Z′与X的总方差最小，以下为计算公式；

Z′＝X-min(||(1-X)Θ(Z-X)||₂+λ_TVTVp(Z))

其中Θ表示逐元素相乘，TV_p(Z)表示以l_p为范数的总方差，总方差的计算如下：

其中K是图像的总通道数，I_p，J_p为该像素通道下的沿着行和列计算出的方差，公式如下：

其中N为行或列中像素点的总个数，I_p和J_p参与到TV_p(Z)的计算中。