[发明专利]一种基于集成防御的鲁棒性增强的分类方法及装置

权利要求书

1.一种基于集成防御的鲁棒性增强的分类方法，其特征在于：

数据预处理：计算机获取训练集中的原始训练数据和原始训练数据的真实标签进行预处理，原始训练数据包括多张图像，图像为基本的图像数据集mnist或cifar10数据集，并将原始训练数据通过对抗样本生成算法fgsm、BIM、CW生成原始对抗样本，最后输入到分类检测的原始图像数据包括原始训练数据和原始对抗样本数据；

对抗样本去噪：将预处理后的原始图像数据分别进行图像位数压缩去噪和深度学习自编码网络去噪，得到去噪后的原始训练数据和原始对抗样本数据；

对抗样本分类预测：将原始图像数据和去噪后的原始训练数据和原始对抗样本数据分三次输入到原始分类模型中进行预测，得到原始干净图像的预测值p₁,压缩去噪图像预测值p₂和自编码网络去噪预测值p₃；

对抗样本分类检测：分别计算压缩去噪图像预测值p₂和自编码网络去噪预测值p₃与原始干净图像的预测值p₁之差，即p₃和p₁的差值d₂，p₂和p₁的差值d₁，取差值d₂和d₁中的最大值，若差值大于给定阈值则判别输入为对抗样本，反之则不是；

模型增强：对教师神经网络进行知识蒸馏，将教师神经网络的知识迁移到小规模低复杂度的学生模型，利用得到的第二次概率分布向量对学生模型进行训练得到最终的鲁棒性增强模型；

鲁棒性增强模型分类：将分类检测中分类为非对抗样本的图像输入鲁棒性增强模型进行分类。

2.根据权利要求1所述的一种基于集成防御的鲁棒性增强的分类方法，其特征在于：图像进行图像位数压缩去噪的具体步骤如下：

首先将图像的输入像素值乘以2ⁱ-1，并取整，i指i位图像；

将得到的整数归一化至[0,1]，并除以2ⁱ-1；

通过整数舍入运算，将i位图像压缩至低于i位图像。

3.根据权利要求1所述的一种基于集成防御的鲁棒性增强的分类方法，其特征在于：深度学习自编码网络去噪采用编码器与解码器结构，两种结构均为卷积神经网络结构；

编码器采用卷积层Conv2d-池化层MaxPooling2D-卷积层Conv2d-池化层的双层结构；

解码器采用卷积层Conv2d-上采样层UpSampling2D-卷积层Conv2d-上采样层UpSampling2D的双层结构；

其中，池化层使得数据降维，上采样层UpSampling2D进行图像上采样将特征图进行放大，图像输入深度学习自编码网络进行降维并重新重构将图像进行去噪。

4.根据权利要求1所述的一种基于集成防御的鲁棒性增强的分类方法，其特征在于：采用卷积深度学习网络结构Mobile Net作为原始分类模型。

5.根据权利要求1所述的一种基于集成防御的鲁棒性增强的分类方法，其特征在于：得到第二次概率分布向量的具体步骤为：

将原始训练数据和原始训练数据的真实标签在蒸馏温度T下用于待增强的教师训练模型进行训练，得到第一次概率分布向量；

将原始训练数据与第一次概率分布向量作为新的数据集，在蒸馏温度T下训练规模和复杂度较小的学生模型，但其结构与原始教师模型类似，从而得到第二次概率分布向量。

6.一种基于集成防御的鲁棒性增强的分类装置，该装置主要包括处理器、存储器、通信组件、电源组件、多媒体组件及输入/输出接口，其中，存储器、通信组件、传感器组件、电源组件、多媒体组件及输入/输出接口均与该处理器连接，其特征在于，所述处理器读取所述存储器中的计算机程序，用以执行如权利要求1-5任一项所述的一种基于集成防御的鲁棒性增强的分类方法。