一种神经网络对抗样本防御方法、电子设备和存储介质

本申请涉及深度学习，尤其涉及一种神经网络对抗样本防御方法、电子设备和存储介质。

背景技术：

1、近年来，深度学习已然成为最活跃的计算机研究领域之一。研究发现，深度神经网络很容易受到微小输入扰动的干扰，这些干扰人类无法察觉却会引起机器的错误，这个引起错误的数据叫做对抗样本。对抗样本即在数据中加入细微扰动，会导致模型以较高的置信度给出错误的输出，这也是机器学习算法研究的一个盲点。对抗样本的存在引发人们对神经网络脆弱性的注意，例如，在自动驾驶、人脸识别等领域，对抗样本导致的错误分类会导致极其恶劣的后果，如引发交通事故或非法人员通过门禁等，因此，现有的对抗样本不具备防御性，导致恶劣后果的发生。

技术实现思路

1、有鉴于此，本申请的目的在于提出一种神经网络对抗样本防御方法、电子设备和存储介质，以解决现有的对抗样本不具备防御性，导致恶劣后果的发生的问题。

2、基于上述目的，本申请第一方面提供了一种神经网络对抗样本防御方法，包括：

3、获取对抗数据集；

4、根据颜色信道将所述对抗数据集中的每个图像进行分割，得到分割图像集；

5、根据预设掩模对分割图像集进行处理，得到目标低频图像集和目标高频图像集；

6、根据预设降噪方法对所述目标高频图像集进行降噪处理，得到目标降噪高频图像集；

7、将所述目标低频图像集、所述目标降噪高频图像集输入至预设目标生成器进行融合，生成防御对抗样本集。

8、进一步地，所述颜色信道包括第一颜色信道、第二颜色信道、第三颜色信道，所述第一颜色通道为红色通道，所述第二颜色通道为绿色通道，所述第三颜色通道为蓝色通道；

9、所述根据颜色信道将所述对抗数据集中的每个图像进行分割，得到分割图像集，包括：

10、根据第一颜色信道将所述对抗数据集中的每个图像进行分割，得到第一分割图像集；

11、根据第二颜色信道将所述对抗数据集中的每个图像进行分割，得到第二分割图像集；

12、根据第三颜色信道将所述对抗数据集中的每个图像进行分割，得到第三分割图像集；

13、将所述第一分割图像集、第二分割图像集和第三分割图像集组成集合，并作为分割图像集。

14、进一步地，所述预设掩模包括第一预设掩模，所述第一预设掩模为低频图像掩模；

15、所述根据预设掩模对分割图像集进行处理，得到目标低频图像集，包括：

16、将所述第一预设掩模与所述第一分割图像集中的第一分割图像叠加，得到第一低频图像集；

17、将所述第一预设掩模与所述第二分割图像集中的第二分割图像叠加，得到第二低频图像集；

18、将所述第一预设掩模与所述第三分割图像集中的第三分割图像叠加，得到第三低频图像集；

19、将所述第一低频图像集、所述第二低频图像集和所述第三低频图像集合并，得到目标低频图像集。

20、进一步地，所述预设掩模包括第二预设掩模，第二预设掩模为高频图像掩模；

21、所述根据预设掩模对分割图像集进行处理，得到目标高频图像集，包括：

22、将所述第二预设掩模与所述第一分割图像集中的第一分割图像叠加，得到第一高频图像集；

23、将所述第二预设掩模与所述第二分割图像集中的第二分割图像叠加，得到第二高频图像集；

24、将所述第二预设掩模与所述第三分割图像集中的第三分割图像叠加，得到第三高频图像集；

25、将所述第一高频图像集、所述第二高频图像集和所述第三高频图像集合并，得到目标高频图像集。

26、进一步地，所述将所述目标低频图像集、所述目标降噪高频图像集输入至预设目标生成器进行融合，生成防御对抗样本集，包括：

27、将所述目标低频图像集中的低频图像和与所述低频图像对应的降噪高频图像输入至预设目标生成器进行融合，生成所述防御对抗样本集。

28、进一步地，所述预设目标生成器的训练过程，包括：

29、根据所述目标低频图像集和所述目标降噪高频图像集对生成器、判别器进行迭代训练；

30、响应于确定迭代后的所述判别器的损失达到预设的阈值，将迭代后的所述生成器作为目标生成器。

31、进一步地，所述预设目标生成器的训练过程，包括：

32、根据所述目标低频图像集和所述目标降噪高频图像集对生成器、判别器进行迭代训练；

33、响应于迭代轮数达到迭代轮数阈值，停止迭代训练，输出这一轮迭代训练出的生成器作为所述目标生成器。

34、进一步地，根据所述目标低频图像集和所述目标降噪高频图像集对生成器、判别器进行迭代训练，包括：

35、对于每一轮迭代训练执行如下操作：

36、将所述低频图像与对应的降噪高频图像进行拼接，并输入至所述生成器，得到融合图像；

37、将所述融合图像与该图像对应的原始样本输入至所述判别器，得到所述判别器的损失；

38、根据所述判别器的损失，对所述判别器进行更新得到下一轮迭代中的判别器；

39、根据所述下一轮迭代中的判别器对所述生成器进行更新，得到下一轮迭代中的生成器。

40、基于上述目的，本申请二方面提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任意一项所述的方法。

41、基于上述目的，本申请第三方面提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行如上述任意一项所述的方法。

42、从上面所述可以看出，本申请提供的一种神经网络对抗样本防御方法，首先获取对抗数据集，之后将所述对抗数据集中的每个图像进行分割，得到分割图像集；根据预设掩模对分割图像集进行处理，得到目标低频图像集和目标高频图像集；根据预设降噪方法对所述目标高频图像集进行降噪处理，得到目标降噪高频图像集；将所述目标低频图像集、所述目标降噪高频图像集输入至预设目标生成器进行融合，生成防御对抗样本集。该方法生成的防御对抗样本通过去除高频图像中的噪声，即去除了分布在高频分量图像中的对抗扰动，使对抗样本更接近原始图像，对抗样本才能够被正确分类。

技术特征：

1.一种神经网络对抗样本防御方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述颜色信道包括第一颜色信道、第二颜色信道、第三颜色信道，所述第一颜色通道为红色通道，所述第二颜色通道为绿色通道，所述第三颜色通道为蓝色通道；

3.根据权利要求2所述的方法，其特征在于，所述预设掩模包括第一预设掩模，所述第一预设掩模为低频图像掩模；

4.根据权利要求2所述的方法，其特征在于，所述预设掩模包括第二预设掩模，第二预设掩模为高频图像掩模；

5.根据权利要求1所述的方法，其特征在于，所述将所述目标低频图像集、所述目标降噪高频图像集输入至预设目标生成器进行融合，生成防御对抗样本集，包括：

6.根据权利要求1所述的方法，其特征在于，所述预设目标生成器的训练过程，包括：

7.根据权利要求1所述的方法，其特征在于，所述预设目标生成器的训练过程，包括：

8.根据权利要求6或7所述的方法，其特征在于，根据所述目标低频图像集和所述目标降噪高频图像集对生成器、判别器进行迭代训练，包括：

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8任一所述的方法。

10.一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，其特征在于，所述计算机指令用于使计算机执行权利要求1至8任一所述的方法。

技术总结
本申请提供一种神经网络对抗样本防御方法、电子设备和存储介质，所述方法包括：获取对抗数据集；根据颜色信道将所述对抗数据集中的每个图像进行分割，得到分割图像集；根据预设掩模对分割图像集进行处理，得到目标低频图像集和目标高频图像集；根据预设降噪方法对目标高频图像集进行降噪处理，得到目标降噪高频图像集；将目标低频图像集、目标降噪高频图像集输入至预设目标生成器进行融合，生成防御对抗样本集。所述方法生成的防御对抗样本通过去除高频图像中的噪声，即去除了分布在高频分量图像中的对抗扰动，使对抗样本更接近原始图像，对抗样本才能够被正确分类。

技术研发人员：王玉龙,谢宏港,王红熳,苏森
受保护的技术使用者：北京邮电大学
技术研发日：
技术公布日：2024/1/14