[发明专利]一种基于类激活映射的对抗样本可视化解释方法

权利要求书

1.一种基于类激活映射的对抗样本可视化解释方法，其特征在于，包括对抗样本生成阶段、特征提取阶段和特征显著图生成阶段，具体如下：

对抗样本生成阶段；通过对抗攻击算法为正常样本添加扰动生成相应的对抗样本；

特征提取阶段；将对抗样本和正常样本输入到训练好的深度学习模型中进行特征提取得到对抗样本特征和正常样本特征；

特征显著图生成阶段；对对抗样本特征和正常样本特征进行分类得到对抗样本的分类结果和正常样本的分类结果，计算对抗样本的分类结果对对抗样本特征的梯度和正常样本的分类结果对正常样本特征的梯度；将针对正常样本与对抗样本计算所得的梯度差异作为权重，与对抗样本特征进行线性加权融合得到最终的对抗样本特征显著图。

2.根据权利要求1所述一种基于类激活映射的对抗样本可视化解释方法，其特征在于，在对抗样本生成阶段中采用基于优化的攻击方式生成对抗样本，在优化的过程中，对抗样本使用优化的参数表示，优化的目标是使得对抗样本和正常样本的距离越小，并且使得深度学习模型预测的错误类别置信度越高。

3.根据权利要求1所述一种基于类激活映射的对抗样本可视化解释方法，其特征在于，在特征提取阶段中采用了特征提取网络，具体样本特征提取步骤如下：

(1)对抗样本的维度为[1,3,224,224]，将对抗样本输入到特征提取网络；

(2)对抗样本被输入到一个输出通道为64，卷积核为7×7，步长为2，填充为3的卷积层进行特征提取，得到的特征的维度为[1,64,112,112]；然后将维度为[1,64,112,112]的特征输入到一个卷积核为3×3，步长为2，填充为1的最大池化层进行进一步的特征提取，得到的特征的维度为[1,64,56,56]；

(3)将步骤(2)最终得到的特征输入到特征提取网络的第一个残差卷积块；第一个残差卷积块包括四个输出通道为64，卷积核为3×3，步长为1，填充为1的卷积层；在经过第二个卷积层处理过的特征与输入到第一个残差卷积块的特征相加融合，然后输入到第三个卷积层；在经过最后一层卷积层处理过的特征与第二个卷积层输出的特征相加融合，第一个残差卷积块最后得到的特征的维度为[1,64,56,56]；

(4)将步骤(3)最终得到的特征输入到特征提取网络的第二个残差卷积块；第二个残差卷积块包括四个输出通道为128，卷积核为3×3，填充为1的卷积层；其中第一个卷积层的步长为2，其余的卷积层的步长为1；输入到第二个残差卷积块的特征首先经过一个输出通道为128，卷积核为1×1，步长为2，填充为0的卷积层进行处理，然后与经过第二个卷积层处理过的特征相加融合，输入到下一个卷积层；在经过最后一层卷积层处理过的特征与第二个卷积层输出的特征相加融合，最后得到的特征的维度为[1,128,28,28]；

(5)将步骤(4)最终得到的特征输入到特征提取网络的第三个残差卷积块；第三个残差卷积块包括四个输出通道为256，卷积核为3×3，填充为1的卷积层；其中第一个卷积层的步长为2，其余的卷积层的步长为1；输入到第三个残差卷积块的特征首先经过一个输出通道为256，卷积核为1×1，步长为2，填充为0的卷积层进行处理，然后与经过第二个卷积层处理过的特征相加融合，输入到下一个卷积层；在经过最后一层卷积层处理过的特征与第二个卷积层输出的特征相加融合，最后得到的特征的维度为[1,256,14,14]；

(6)将步骤(5)最终得到的特征输入到特征提取网络的最后一个残差卷积块。；最后一个残差卷积块包括四个输出通道为512，卷积核为3×3，填充为1的卷积层；其中第一个卷积层的步长为2，其余的卷积层的步长为1；输入到最后一个残差卷积块的特征首先经过一个输出通道为512，卷积核为1×1，步长为2，填充为0的卷积层进行处理，然后与经过第二个卷积层处理过的特征相加融合，输入到下一个卷积层；在经过最后一层卷积层处理过的特征与第二个卷积层输出的特征相加融合，最后得到的特征的维度为[1,512,7,7]；

(7)将步骤(6)最终得到的特征作为提取到的对抗样本特征；相应地，将正常样本输入到特征提取网络，重复步骤(2)到(6)，得到正常样本特征。