[发明专利]基于注意力排序的对抗样本防御系统及方法

说明书

本发明提供了一种基于注意力排序的对抗样本防御系统及方法。包括：S101，预训练分类模型，得到对抗样本；S102，对抗样本经过对抗样本防御模型的第一个模块离散余弦变换层进行预处理，消除部分攻击；S103，特征图经过注意力模块，得到注意力权重；S104，根据注意力权重，重新得到具有全局特征的特征向量。S105，根据损失函数，训练网络，保存模型。该对抗样本防御方法使用修改网络的方式改善了现有技术中模型的训练过程中需要较多的硬件资源和较长的时间的消耗的问题，且在修改网络时考虑关键点的影响。

技术领域

本发明涉及计算机攻防技术领域，尤其是涉及一种基于注意力排序的对抗样本防御系统及方法。

背景技术

在现实生活中，图像经常被噪声所污染。噪声有许多来源，比如图像在传输过程中信道不稳定，系统设备不完善等。深度神经网络容易受到对抗性噪声的攻击，通过在输入中添加人类无法区分的细微扰动，产生对抗样本，从而欺骗神经网络以产生具有高概率的错误输出，这种威胁到深度学习应用的安全。

生成深度神经网络的对抗攻击有两种主要方法：基于符号梯度的方法和基于优化的方法，面对这些强大的攻击，如何防御攻击是至关重要的。

但是，现有对抗防御方法从数据预处理角度来看，在模型的训练过程中，需要较多的硬件资源和较长的时间消耗，也给测试环节带来了更多的时间消耗。

发明内容

本发明的目的在于提供一种基于注意力排序的对抗样本防御系统及方法，该基于注意力排序的对抗样本防御系统能够解决现有技术中模型的训练过程中需要较多的硬件资源和较长的时间的消耗的问题，且针对攻击特点考虑了关键点的问题。

为了实现上述目的，本发明提供如下技术方案：

一种基于注意力排序的对抗样本防御方法，所述方法具体包括：

S101，预训练分类模型，得到对抗样本；

S102，对抗样本经过对抗样本防御模型的第一个模块离散余弦变换层进行预处理，消除部分攻击；

S103，特征图经过注意力模块，得到注意力权重；

S104，根据注意力权重，重新得到具有全局特征的特征向量。

S105，根据损失函数，训练网络，保存模型。

在上述技术方案的基础上，本发明还可以做如下改进：

进一步地，所述S101具体包括：

S1011，输入训练集的原始图像，通过预训练得到权重；

S1012，利用所述权重产生对抗样本。

进一步地，所述S102具体包括：

S1021,对抗样本经过第一个卷积层后，使用离散余弦变换(DCT)；

S1022,在频域内使用设计的激活函数η(x)，消除部分攻击，η(x)如下：

S1023，利用逆离散余弦变换重新恢复到空间域，得到消除部分攻击的特征图。

进一步地，所述S103具体包括：

S1031，特征图依次经过四个残差块分别得到特征向量集合

S1032，L₄经过平均池化得到全局向量g，同时将L_s,s∈{1，2，3}的维度映射为g的维度n；

S1033，局部特征l_sⁱ和全局特征g使用逐项相加的方式连接，通过学习一个FC映射将得到的特征映射为注意力权重C，计算注意力权重C定义为公式2；