专利基于对抗样本检测和矩阵分解的集成防御方法

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202211180101.2 (22)申请日 2022.09.27 (71)申请人云南大学地址 650091 云南省昆明市翠湖北路2号 (72)发明人周维　何伟　王汝欣　宋冰冰　 (74)专利代理机构成都行之智信知识产权代理有限公司 5125 6 专利代理师温利平 (51)Int.Cl. G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) G06F 17/16(2006.01) (54)发明名称基于对抗样本检测和矩阵分解的集成防御方法 (57)摘要本发明公开了一种基于对抗样本检测和矩阵分解的集成防御方法，对于目标模型的输入样本，首先采用基于阈值的对抗样本检测方法进行对抗样本检测，如果检测到输入样本为对抗样本，则对于对抗样本基于矩阵分解进行数据重构，得到重构样本，当输入样本为正常样本时，直接将输入样本输入目标模型进行预测，得到输入样本的预测结果；当输入样本为对抗样本时，将重构样本输入目标模型进行预测，作为输入样本的预测结果。本发明通过基于阈值的对抗样本检测方法和基于矩阵分解的输入样本重构方法两种技术的结合，从而有效防御对抗样本，提高目标模型的鲁棒性。权利要求书2页说明书7页附图3页 CN 115545099 A 2022.12.30 CN 115545099 A 1.一种基于对抗样本检测和矩阵分解的集成防御方法，其特征在于，包括以下步骤： S1：对于目标模型的输入样本，首先采用基于阈值的对抗样本检测方法进行对抗样本检测，具体方法如下： S1.1：将输入样本 X复制M份，然后生成M个服从预设分布的高斯噪声信号σm， m＝1,2, …, M，将M个高斯噪声信号σm分别加入复制输入样本中，得到 M个干扰样本X_advm； S1.2：将原始输入样本X输入目标模型进行预测得到预测结果P0，将M个干扰样本X_advm 分别输入目标模型进行预测得到 M个预测结果Pm； S1.3：对原始输入样本X的预测结果计算得到信息熵H0，对M个干扰样本X_advm的预测结果Pm分别计算信息熵Hm，然后采用如下公式计算得到每个干扰样本的信息熵分值Sm： Sm＝|Hm‑H0| S1.4：从M个信息熵分值Sm筛选出最大值Smax，如果该最大值Smax大于预设的阈值Sth，则输入样本X为对抗样本，否则为正常样本； S2：根据步骤S1中的检测结果判断输入样本是否为对抗样本，如果不是，则进入步骤 S4，否则进入步骤S3； S3：对于对抗样本基于矩阵分解进行数据重构，具体方法如下： S3.1：将输入样本数据X拆分成N个数据块xn， n＝1,2,…,N； S3.2：对每个数据块xn分别采用不同的秩Rn进行张量分解，得到三个因子矩阵An、 Bn、 Cn； S3.3：对每个数据块xn的三个因子矩阵An、 Bn、 Cn进行秩截断，得到处理后的因子矩阵A ′n、 B′n、 C′n； S3.4：根据因子矩阵A ′n、 B′n、 C′n重构得到数据块x ′n，然后根据步骤S3.1中的数据块划分方式，将N个数据块x ′n重构得到重构样本X ′； S4：当输入样本X为正常样本时，直接将输入样本X输入目标模型进行预测，得到输入样本X的预测结果；当输入样本X为对抗样本时，将重构样本X′输入目标模型进行预测，作为输入样本X的预测结果。 2.根据权利要求1所述的集成防御方法，其特征在于，所述步骤S3.2中张量分解采用基于神经网络的张量分解方法，具体方法为：构建N个神经网络，每个神经网络对应一个秩Rn，其输入为数据块，输出为采用秩Rn分解得到的因子矩阵；对于每个神经网络，预先获取若干张量分解样本，每个张量分解样本包括一个与数据块大小相同的张量，以及该张量采用秩Rn分解得到的因子矩阵，将张量作为神经网络的输入，对应的因子矩阵作为期望输出，对神经网络进行训练；然后将数据块xn输入第n个训练好的神经网络，得到数据块xn采用秩Rn进行张量分解的因子矩阵An、 Bn、 Cn。 3.根据权利要求2所述的集成防御方法，其特征在于，所述神经网络训练过程中损失函数L的计算公式如下：其中，表示输入的训练样本张量中坐标为(i,j,k)的元素值，表示训练样本张量输出的因子矩阵中位置(i,r)的元素，表示训练样本张量输出的因子矩阵中权　利　要　求　书 1/2 页 2 CN 115545099 A 2位置(j,r)的元素，表示训练样本张量输出的因子矩阵中位置(k,r)的元素。权　利　要　求　书 2/2 页 3 CN 115545099 A 3

专利 基于对抗样本检测和矩阵分解的集成防御方法

专利基于对抗样本检测和矩阵分解的集成防御方法