[发明专利]基于神经元激活率的对抗攻击防御方法

权利要求书

1.一种基于神经元激活率的对抗攻击防御方法，其特征在于，包括以下步骤：

1)获取图像数据集并进行预处理，构建训练集和测试集；

2)利用tfleran中的库函数搭建卷积神经网络：将卷积层、池化层、dropout层和全连接网络进行组合，构建CNN网络结构的分类器模型；

3)构建二分类判别器D，对分类器模型关于输入本x的输出N进行判定；所述的二分类判别器D由全连接层组合而成；二分类判别器D的输入大小与分类器模型的输出大小相同；

4)根据分类器模型和二分类判别器D的损失函数构建整体的损失函数，确定整体优化目标；采用训练集对整体模型进行联合训练，当整体的损失函数收敛时，停止训练并保存模型；

5)输入测试集对训练后的分类器模型进行测试，若分类准确率低于阈值，则修改整体损失函数的λ，按步骤4)再次进行训练，直至分类准确率高于阈值。

2.根据权利要求1所述的基于神经元激活率的对抗攻击防御方法，其特征在于，步骤1)包括：

1.1)下载MNIST、CIFAR-10和ImageNet数据集，保存图像样本及其对应的类标，样本集合记为X＝{x₁，x₂，...，x_m}，每张图片的类标记为y；

1.2)将数据集按照比例划分为训练集和测试集，对类标y进行one-hot编码；

1.3)将样本统一尺寸，与待训练的分类器模型输出尺寸相同：MNIST数据集的图像尺寸设置为28×28；CIFAR-10的图像尺寸设置为32×32×3；ImageNet设置为299×299×3。

3.根据权利要求1所述的基于神经元激活率的对抗攻击防御方法，其特征在于，步骤2)包括：

2.1)利用tfleran中的库函数搭建卷积神经网络：将卷积层、池化层、dropout层和全连接网络进行组合，构建CNN网络结构的分类器模型；

分类器模型的输入层大小与训练集图像大小相同；

2.2)将训练集样本x及其对应类标y输入到分类器模型中进行训练，分类器模型的损失函数定义为：

其中L_model表示分类器模型的loss函数；K为训练集的样本总数；CE(·)表示交叉熵函数；i表示样本的索引；

2.3)给定训练完成的分类器模型f(·)和输入样本x，模型未经过全连接网络的激活函数处理的输出为f(x)＝N，其中N₁＝{n₁，n₂，...，n_m}为分类器模型的一组神经元，l表示模型的层，n为神经元，m为神经元的索引；记为第i个神经元对于输入x的激活值；

若满足以下公式，则第i个神经元被激活：

神经元激活率h(x)定义如下：

其中N₁表示1层的神经元总数。

4.根据权利要求3所述的基于神经元激活率的对抗攻击防御方法，其特征在于，二分类判别器D的损失函数定义如下：

L_D＝BCE(D(h(x))，B(x)) (4)

其中D(·)表示D的输出；B(·)为0或1；BCE表示二分类交叉熵，计算公式为其中是分类器模型预测样本为正例的概率，y代表真实类标，如果样本属于正例，取值为1，否则为0。

5.根据权利要求4所述的基于神经元激活率的对抗攻击防御方法，其特征在于，整体的损失函数定义为L＝L_model-λL_D，整体优化目标定义为：

其中λ为平衡因子，可人为调节。

6.根据权利要求1所述的基于神经元激活率的对抗攻击防御方法，其特征在于，训练时，同时更新二分类判别器D和分类器模型的参数；学习率设置为0.0001，batchsize设置为64，优化器选择Adam。