CN114881103A

CN114881103A - 一种基于通用扰动贴纸的对抗样本检测方法及装置

Info

Publication number: CN114881103A
Application number: CN202210297723.7A
Authority: CN
Inventors: 胡军; 张师哲; 黄永洪
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2022-03-25
Filing date: 2022-03-25
Publication date: 2022-08-09

Abstract

本发明公开了一种基于通用扰动贴纸的对抗样本检测方法及装置，属于人工智能安全领域。所述方法包括：构建图像数据集；基于数据集生成通用扰动贴纸；构建重构器模型，使用通用扰动贴纸作为退化过程，依靠数据集完成重构器的训练；构建分类器模型；将数据集图片进行叠加通用扰动贴纸的预处理操作，并使用重构器对其进行重构。将重构图片与原始图片送入分类器推理得到激活输出。计算并统计图片的重构差异，根据差异情况设定检测阈值；将待检测图片叠加通用扰动贴纸后依次输入到重构器和分类器中，计算得到重构差异结果，若重构差异大于阈值则判定为对抗样本。本发明拥有较高对抗样本检测率，且应对未知攻击性能较好。

Description

一种基于通用扰动贴纸的对抗样本检测方法及装置

技术领域

本发明属于人工智能安全领域，尤其是涉及到一种基于通用扰动贴纸的对抗样本检测方法及装置。

背景技术

时代的发展、科学技术的进步引领了计算机领域设备算力的飞速提升，使得许多旧日提出的理论得以借助算力提升的红利，在如今的信息时代得到广泛的应用与拓展。神经网络依靠计算成本的下降与计算效率的提升，其强大的函数拟合能力逐渐得以体现。使用神经网络作为基础结构的深度神经网络(DNN)凭借着更深的网络层数，能够进行大规模的特征学习训练，并承担复杂的分类任务。

DNN在图像分类、目标检测以及自然语言处理等领域已经突破了传统机器学习算法的最好结果，成为了处理复杂分类任务的最受欢迎的机器学习模型之一。但研究表明通过拟合目标深度神经网络的梯度，在待处理的图像数据上加入特制的且微小的噪声，可以直接干扰深度神经网络的正确预测结果。这些对抗样本的存在使得深度神经网络的可靠性受到质疑，使其在应用场景下面临巨大的安全挑战。

由于对抗攻击的存在，研究人员提出了许多对抗防御方法。对抗样本检测方法部署在受到攻击的图像分类器前并直接检测输入的对抗样本图像，以消除威胁。这种方法在实际应用场景下能够快速部署，且拥有计算成本低、不影响受保护应用的运转等优点。但现有检测方法均是基于对现存对抗攻击算法的认知程度进行设计的，并未将应对未知攻击作为设计因素。这些检测方法一旦遭遇新型攻击、未知攻击的影响，同样会出现安全隐患，导致图像分类器被攻击。因此，在未来深度神经网络大规模应用于生活服务场景的前提下，必须提出能够简易部署且拥有防御未知攻击能力的对抗样本检测方法，来保证图像分类模型能够不受对抗样本的威胁，从而降低误检率。

发明内容

为解决对抗样本检测方法在应对未知对抗攻击上的不足之处，本发明提供一种基于通用扰动贴纸的对抗样本检测方法及装置，根据分类器对干净样本和对抗样本产生不一致预测结果这一特性，采用重构器对输入的对抗样本制造较大程度的重构差异，完成对抗样本的检测。本发明使用通用扰动贴纸干扰对抗输入的扰动特征，减轻因攻击种类差别不同所导致的欠拟合影响，拥有应对未知攻击的能力。

在本发明的第一方面，本发明提供了一种基于通用扰动贴纸的对抗样本检测方法，包括以下步骤：

101、获取图像样本，对其进行预处理；并利用所述图像样本生成通用扰动贴纸；所述图像样本包括第一训练样本、第二训练样本和待测样本；并利用所述第一训练样本生成通用扰动贴纸；

102、构建出基于降噪自动编码器的重构器，利用所述第一训练样本作为训练集，使用通用扰动贴纸作为退化过程，完成重构器的降噪任务训练；

103、将训练完成的基于降噪自动编码器的重构器和训练完成的基于深度神经网络的分类器进行组合，搭建出对抗样本检测***；

104、将所述第二训练样本叠加通用扰动贴纸，送入对抗样本检测***的重构器中，获得重构图像；将所述第二训练样本和重构图像送入对抗样本检测***的分类器中，获得两个对应的分类器激活层输出，对两个输出结果计算重构差异结果，并计算得到检测***的检测阈值；

105、将待测样本叠加通用扰动贴纸，送入对抗样本检测***的重构器中，获得重构图像；将待测样本和重构图像送入对抗样本检测***的分类器中，获得两个对应的分类器激活层输出，对两个输出结果计算重构差异结果；若计算得到的重构差异结果超过所述检测阈值，则判定该待测样本为对抗攻击样本。

在本发明的第二方面，本发明还提供了一种基于通用扰动贴纸的对抗样本检测装置，所述装置包括：

图像采集模块，用于获取图像样本，所述图像样本包括第一训练样本、第二训练样本和待测样本；

图像预处理模块，用于对图像样本进行预处理，并利用所述图像样本生成通用扰动贴纸；

图像重构模块，用于构建出基于降噪自动编码器的重构器，利用所述第一训练样本对重构器进行训练，并使用通用扰动贴纸作为退化过程，完成重构器的降噪任务训练；

图像分类模块，用于构建并训练完成基于深度神经网络的分类器；

对抗样本检测构建模块，用于将训练完成的基于降噪自动编码器的重构器和训练完成的基于深度神经网络的分类器进行组合，搭建出对抗样本检测***；

检测阈值计算模块，用于调用对抗样本检测构建模块，将所述第二训练样本叠加通用扰动贴纸，送入对抗样本检测***的重构器中，获得重构图像；将所述第二训练样本和重构图像送入对抗样本检测***的分类器中，获得两个对应的分类器激活层输出，对两个输出结果计算重构差异结果；根据第二训练样本的所有重构差异结果，计算得到检测***的检测阈值；

对抗样本检测模块，用于调用对抗样本检测构建模块，将待测样本叠加通用扰动贴纸，送入对抗样本检测***的重构器中，获得重构图像；将待测样本和重构图像送入对抗样本检测***的分类器中，获得两个对应的分类器激活层输出，对两个输出结果计算重构差异结果；若计算得到的重构差异结果超过检测阈值计算模块的检测阈值，则判定该待测样本为对抗攻击样本。

在本发明的第三方面，本发明还提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行如本发明的第一方面所述一种基于通用扰动贴纸的对抗样本检测方法。

在本发明的第四方面，本发明还提供了一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如本发明第一方面所述的一种基于通用扰动贴纸的对抗样本检测方法。

与现有检测方法对比，本发明提供的检测方法具有如下优点：

本发明针对未知对抗攻击对现有对抗样本检测方法的威胁因素，使用通用扰动贴纸的强扰动特点对输入的对抗样本本身扰动进行干扰。另外，训练重构器完全拟合通用扰动贴纸的特征，使其只能够有效重构添加了通用扰动贴纸的图片，而对其他所有攻击方法产生失效重构结果。当输入样本为干净样本时，重构器稳定完成有效重构，使得最终得到的重构差异非常小。与之相反，当输入样本为对抗样本时，通用扰动贴纸的噪声与对抗扰动的噪声特征相互融合，保证重构器完成失效重构，最终得到较大的重构差异。经过测试，本发明能够稳定的针对未知攻击图片生成大重构差异，在保证较低误报率的同时，具有非常高的对抗样本检测率。本发明应对未知攻击的性能较强。

附图说明

图1是本发明实施例的基于通用扰动贴纸的对抗样本检测框架图；

图2是本发明实施例的基于通用扰动贴纸的对抗样本检测方法流程图；

图3是本发明中通用扰动贴纸的生成流程示意图；

图4是本发明实施例的基于通用扰动贴纸的对抗样本检测装置结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是本发明实施例的基于通用扰动贴纸的对抗样本检测框架图，如图1所示，在本发明实施例中，输入样本后，通过叠加通用扰动贴纸，利用重构器得到重构样本；利用分类器对重构样本和输入样本进行比较，能够计算得到重构差异；通过判断重构差异是否超过阈值，则可以判断出输入样本是否为对抗样本，即若计算出的重构差异超过阈值，则表明输入样本为对抗样本，否则表明输入样本为干净样本。

图2是本发明实施例的基于通用扰动贴纸的对抗样本检测方法流程图，如图2所示，所述方法包括：

在本发明实施例中，本发明的图像样本包含了训练样本和待测样本，其中，训练样本可以依照大尺寸图像数据集ImageNet，选取自ILSVRC2012验证集中的10000张干净图片，通过图像处理工具将每张图片的宽高尺寸放缩为方便分类器处理的224×224，便于重构器的训练以及通用扰动贴纸的生成，而待测样本则是未知的样本，本发明同样可以通过图像处理工具将每张图片的宽高尺寸放缩为方便分类器处理的224×224，便于重构器的测试以及对应通用扰动贴纸的生成。

其中，所述第一训练样本和所述第二训练样本都为干净样本，所述待测样本可能为干净样本，也可能为对抗攻击样本，因此，需要在后续的检测过程中实现对待测样本的检测识别。

可以理解的是，在本发明实施例中，所述通用扰动贴纸可以通过任意的图像样本生成，也即是既可以通过第一训练样本或者第二训练样本生成通用扰动贴纸，也可以通过待测样本生成通用扰动贴纸；通用扰动贴纸是一种对抗样本，该通用扰动贴纸只需要是通用的、有对抗性噪声的、由防御者生成并且已知即可，因而无论选取哪种图像样本都不会对模型产生影响。

在本发明实施例中，通用扰动贴纸的生成主要包括生成流程和检测流程，具体的：

对于生成流程，通用扰动贴纸的生成流程与一般对抗样本的生成方式有所区别，如图3所示。首先初始化随机的通用扰动v，通过数个循环优化实现通用扰动对全部干净图片的实际攻击效果。在每个循环内，依次判断当前通用扰动对每一张干净图片的攻击成功情况，对于攻击不成功的图片，需要使用MIFGSM攻击方法生成针对该图片的对抗扰动，扰动生成条件：

其中v_i代表本次生成的扰动，采用无穷范数进行约束，x_i为数据集中标号为i的干净样本，

代表分类器对于括号内部样本的预测标签。并将该扰动v_i与通用扰动v进行叠加更新处理。对于攻击成功的图片，则不做任何计算。完成该循环后，计算通用扰动v对全部数据集图片的攻击成功率，若未达到预定值，则再次进入循环更新通用扰动v，达到预定值后，输出最终的通用扰动贴纸v。

对于检测稳定性，使用上述过程中的通用扰动贴纸生成方式，生成5张通用扰动贴纸。使所有通用扰动贴纸参与检测，最终计算得到5个重构差异def，以多决策取最大值的方式获得最终的重构差异结果：

def_max＝max(def₁,def₂,def₃,def₄,def₅)

此举避免仅进行一次重构差异的计算所带来的偶然性因素，提高本发明在进行对抗样本检测时的容错稳定性。

102、构建出基于降噪自动编码器的重构器，利用所述第一训练样本作为训练集，并使用通用扰动贴纸作为退化过程，完成重构器的降噪任务训练；

在本发明实施例中，重构器模型结构采用了U-net模型结构。模型的降噪任务训练使用通用扰动贴纸作为退化过程，并使用了Adam优化器以及随机梯度下降训练方法。训练采用的损失函数为：

s.t.

其中，θ是模型的可训练参数，JSD(·)为重构差异计算方法，f(·)代表分类器在softmax函数计算后的激活输出，x_i代表第i个输入样本，i代表数据集中样本的序号，0<i<n，n为数据集中样本数量，x_ire为重构图像，UPP为通用扰动贴纸，y表示任意一个输入样本x的退化样本，s.t.表示约束。

在本发明的一些实施例中，可以将学习率的初始值设定为2e-4，每经过100000次迭代后减少一半，在迭代次数达到950000时结束训练。训练阶段使用所有5张通用扰动贴纸达成多决策的检测策略，减少漏报情况。对于训练阶段的每一个批量，从5张贴纸中进行随机的选择，完成对训练集中图像的退化，并将退化图片随机裁剪成128×128的小图片送入重构器进行训练。

在本发明实施例中，将训练完成后的重构器与训练完成后的分类器共同组成对抗样本检测***，该检测***不仅能够利用其中的重构器，获得重构图像，还能够利用其中的分类器，获得重构图像以及输入图像的激活层输出，通过对两个输出结果计算重构差异结果，在后续检测过程中，通过判断重构差异结果与检测阈值的大小，来检测出是否为对抗样本。

在本发明实施例中，利用训练完成的重构器得到叠加有通用扰动贴纸的第二训练样本的重构样本，利用训练完成的分类器得到重构样本与第二训练样本的激活层数据；将两个输出结果进行比较，就能够得出重构差异结果。

对于第二训练样本x，通过逐像素数值相加的方式叠加通用扰动贴纸UPP，完成预处理步骤，得到预处理样本O：

O_(i,j)＝x_(i,j)+UPP_(i,j)

其中，i与j描述了图片对应通道的对应像素点位，在本发明实施例中图片的大小为255×255，所以0<i<225,0<j<225。

将预处理样本O送入重构器进行重构，得到重构样本x_re。使用分类器分别对第二训练样本即这里的输入样本x与重构样本x_re进行预测，得到两个对应的推理激活向量l_x与l_xre，上述两个激活向量的全部分量量化了两样本在分类器决策空间中从属于所有决策区域的概率情况。此激活向量代表了样本的特征分布情况。使用Jenson-Shannon散度计算函数对两样本的特征分布差异def进行计算：

其中f(·)代表分类器对括号中的输入样本的激活输出，JSD(·)为Jenson-Shannon散度计算方式：

其中D_KL为KL散度计算方法：

其中，JSD(·)为重构差异计算方法，P与Q为参与计算的分类器激活输出，所述原始输入图片为第一训练样本、第二训练样本或者测试样本，i代表分布向量P或分布向量Q中的第i个分量；(P‖Q)代表基于分布向量Q的分布来自基于分布向量P的分布的近似性。

在本发明实施例中，本发明实施例的检测阈值基于一定数量干净样本的数据集即第二训练样本，对所有图片的重构差异进行计算，即可获得一组干净样本的重构差异情况。由于干净样本的重构差异必然是较小的，该干净样本组的重构差异值即可反映出全体干净样本的普遍重构差异。因此可以基于上述重构差异情况设定检测阈值。

可以理解的是，在本发明实施例中，所述训练样本包括第一训练样本和第二训练样本，所述第一训练样本用于单独训练重构器，所述第二训练样本用于计算得到对抗样本检测***的检测阈值；通过将所述待测样本输入到对抗样本检测***中，结合相应的通用扰动贴纸，利用对抗样本检测***及其检测阈值，判定得到最终的检测结果。

对于待检测的输入样本x，通过逐像素数值相加的方式叠加通用扰动贴纸UPP，完成预处理步骤，得到预处理样本O：

O_(i,j)＝x_(i,j)+UPP_(i,j)

其中，i与j描述了图片对应通道的对应像素点位，0<i<225,0<j<225。

将预处理样本O送入重构器进行重构，得到重构样本x_re。使用分类器分别对待测样本即这里的输入样本x与重构样本x_re进行预测，得到两个对应的推理激活向量l_x与

上述两个激活向量的全部分量量化了两样本在分类器决策空间中从属于所有决策区域的概率情况。此激活向量代表了样本的特征分布情况。使用Jenson-Shannon散度计算函数对两样本的特征分布差异def进行计算：

其中D_KL为KL散度计算方法：

本发明实施例中，计算得到的重构差异能够评判输入样本x接近干净样本的程度。当重构差异小于检测阈值时，可以判断输入样本x为干净样本，否则为对抗样本。

可以理解的是，在本发明实施例中，利用第一训练样本来训练对抗样本检测模型，利用第二训练样本来计算得到检测阈值，通过前述两种训练样本来生成固定的检测模型，而防御方法的最佳形态就是通过固定手段去防御未知攻击，因此，本发明通过这种固定检测模型能够用来防御未知的攻击手段，实现检测模型的健壮性和稳定性，从而保证图像分类模型能够不受对抗样本的威胁，降低了误检率。

图4是本发明实施例的一种基于通用扰动贴纸的对抗样本检测装置结构图，如图4所示，所述装置包括：

201、图像采集模块，用于获取图像样本，所述图像样本包括第一训练样本、第二训练样本和待测样本；

202、图像预处理模块，用于对图像样本进行预处理，并利用所述图像样本生成通用扰动贴纸；

所述通用扰动贴纸可以通过任意的图像样本生成，也即是既可以通过第一训练样本或者第二训练样本生成通用扰动贴纸，也可以通过待测样本生成通用扰动贴纸；通用扰动贴纸是一种对抗样本，该通用扰动贴纸只需要是通用的、有对抗性噪声的、由防御者生成并且已知即可，因而无论选取哪种图像样本都不会对模型产生影响。

203、图像重构模块，用于构建出基于降噪自动编码器的重构器，利用所述第一训练样本对重构器进行训练，并使用通用扰动贴纸作为退化过程，完成重构器的降噪任务训练；

204、图像分类模块，用于构建并训练完成基于深度神经网络的分类器；

205、对抗样本检测构建模块，用于将训练完成的基于降噪自动编码器的重构器和训练完成的基于深度神经网络的分类器进行组合，搭建出对抗样本检测***；

206、检测阈值计算模块，用于调用对抗样本检测构建模块，将所述第二训练样本叠加通用扰动贴纸，送入对抗样本检测***的重构器中，获得重构图像；将所述第二训练样本和重构图像送入对抗样本检测***的分类器中，获得两个对应的分类器激活层输出，对两个输出结果计算重构差异结果；根据第二训练样本的所有重构差异结果，计算得到检测***的检测阈值；

207、对抗样本检测模块，用于调用对抗样本检测构建模块，将待测样本叠加通用扰动贴纸，送入对抗样本检测***的重构器中，获得重构图像；将待测样本和重构图像送入对抗样本检测***的分类器中，获得两个对应的分类器激活层输出，对两个输出结果计算重构差异结果；若计算得到的重构差异结果超过检测阈值计算模块的检测阈值，则判定该待测样本为对抗攻击样本。

详细地，本发明实施例中所述一种基于通用扰动贴纸的对抗样本检测装置中所述的各模块在使用时采用与上述图1至图3中所述的一种基于通用扰动贴纸的对抗样本检测方法一样的技术手段，并能够产生相同的技术效果，这里不再赘述。

本发明实施例还提供了一种实现基于通用扰动贴纸的对抗样本检测方法的电子设备的结构示意图。

所述电子设备可以包括处理器、存储器、通信总线以及通信接口，还可以包括存储在所述存储器中并可在所述处理器上运行的计算机程序，如基于静态人脸的对抗样本检测程序。

其中，所述处理器在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(Central Processing unit，CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器是所述电子设备的控制核心(ControlUnit)，利用各种接口和线路连接整个电子设备的各个部件，通过运行或执行存储在所述存储器内的程序或者模块(例如执行一种基于通用扰动贴纸的对抗样本检测程序等)，以及调用存储在所述存储器内的数据，以执行电子设备的各种功能和处理数据。

所述存储器至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如：SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器在一些实施例中可以是电子设备的内部存储单元，例如该电子设备的移动硬盘。所述存储器在另一些实施例中也可以是电子设备的外部存储设备，例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card，SMC)、安全数字(Secure Digital，SD)卡、闪存卡(Flash Card)等。进一步地，所述存储器还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器不仅可以用于存储安装于电子设备的应用软件及各类数据，例如一种基于通用扰动贴纸的对抗样本检测程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

所述通信总线可以是外设部件互连标准(peripheral componentinterconnect，简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture，简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器以及至少一个处理器等之间的连接通信。

所述通信接口用于上述电子设备与其他设备之间的通信，包括网络接口和用户接口。可选地，所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等)，通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。

本发明还提供一种计算机可读存储介质，所述可读存储介质存储有计算机程序，所述计算机程序在被电子设备的处理器所执行时，可以实现：

在本发明所提供的几个实施例中，应该理解到，所揭露的设备，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。

本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中，人工智能(Artificial Intelligence，AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用***。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。***权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。

在本发明的描述中，需要理解的是，术语“同轴”、“底部”、“一端”、“顶部”、“中部”、“另一端”、“上”、“一侧”、“顶部”、“内”、“外”、“前部”、“中央”、“两端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明中，除非另有明确的规定和限定，术语“安装”、“设置”、“连接”、“固定”、“旋转”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种基于通用扰动贴纸的对抗样本检测方法，其特征在于，所述方法包括以下步骤：

101、获取图像样本，对其进行预处理；并利用所述图像样本生成通用扰动贴纸；所述图像样本包括第一训练样本、第二训练样本和待测样本；

2.根据权利要求1中所述的一种基于通用扰动贴纸的对抗样本检测方法，其特征在于，步骤101中对图像样本进行预处理包括：对图像样本的宽高尺寸进行缩放，使图像的尺寸匹配重构器、分类器的输入尺寸；对图像样本的像素值进行标准化处理。

3.根据权利要求1中所述的一种基于通用扰动贴纸的对抗样本检测方法，其特征在于，利用所述图像样本生成通用扰动贴纸包括采用MIFGSM攻击方法依照通用扰动的计算方式生成数张存在攻击效果的噪声图片。

4.根据权利要求1中所述的一种基于通用扰动贴纸的对抗样本检测方法，其特征在于，步骤102中基于降噪自动编码器的重构器的训练过程采用的损失函数为：

s.t.

5.根据权利要求1中所述的一种基于通用扰动贴纸的对抗样本检测方法，其特征在于，步骤103中基于深度神经网络的分类器采用拥有残差结构的Resnet-101深度神经网络模型。

6.根据权利要求1或5中所述的一种基于通用扰动贴纸的对抗样本检测方法，其特征在于，重构差异结果的计算过程包括采用使用Jenson-Shannon散度对分类器关于原始输入图片及重构图像的重构差异进行计算，其计算方式为：

其中D_KL为KL散度计算方法：

JSD(·)为重构差异计算方法，P与Q为参与计算的分类器激活输出，所述原始输入图片为第一训练样本、第二训练样本或者测试样本，i代表分布向量P或分布向量Q中的第i个分量；(P‖Q)代表基于分布向量Q的分布计算分布向量P的分布近似性。

7.根据权利要求6所述的一种基于通用扰动贴纸的对抗样本检测方法，其特征在于，重构差异结果的计算过程还包括采用多张通用扰动贴纸生成的重构图像分别与原始输入图片进行重构差异计算，选择最大值作为该原始输入图片最终的重构差异结果。

8.一种基于通用扰动贴纸的对抗样本检测装置，其特征在于，所述装置包括：

9.一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的一种基于通用扰动贴纸的对抗样本检测方法。

10.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的一种基于通用扰动贴纸的对抗样本检测方法。