(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211000089.2 (22)申请日 2022.08.19 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 毛秀青　孙磊　杨有欢　郭松　 郭松辉　李作辉　杨梦梦　周明　 李楠　张静　张帅　汪小芹　赵敏　 韩松莘　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 专利代理师 刘莹莹 (51)Int.Cl. G06N 3/04(2006.01)G06N 3/08(2006.01) G06N 20/00(2019.01) (54)发明名称 一种针对基 于交叉熵对抗 攻击的防御方法 (57)摘要 本发明提供一种针对基于交叉熵对抗攻击 的防御方法。 该方法包括： 采用干净样本对需要 防御的深度神经网络模型进行训练， 使其达到拟 合状态； 当所述深度神经网络模 型达到拟合状态 之后， 采用干净样本对其继续训练使其达到超拟 合状态； 所述超拟合状态对应至采用对抗样本对 所述深度神经网络模型进行训练之后达到的拟 合状态； 将此时超拟合状态下的深度神经网络模 型作为训练好的深度神经网络模型进行使用。 权利要求书1页 说明书7页 附图1页 CN 115358373 A 2022.11.18 CN 115358373 A 1.一种针对基于交叉熵对抗 攻击的防御方法， 其特 征在于， 包括： 采用干净样本对需要防御的深度神经网络模型进行训练， 使其达 到拟合状态； 当所述深度神经网络模型达到拟合状态之后， 采用干净样本对其继续训练使其达到超 拟合状态； 所述超拟合状态对应至采用对抗样本对所述深度神经网络模型进 行训练之后达 到的拟合状态； 将此时超拟合状态下的深度神经网络模型作为训练好的深度神经网络模型进行使用。 2.根据权利要求1所述的一种针对基于交叉熵对抗攻击的防御 方法， 其特征在于， 在采 用干净样本对其 继续训练使其达到超拟合状态的过程中， 采用最小化无关类别分数方法进 行优化， 设置优化目标如下述的公式所示： minimaze(zs‑zy) 其中， s＝argmax  zi and s≠y 其中， zs为除真实标签y之外的其他所有标签的预测分数中的最大值， i＝0,1, …,k‑1； K 表示类别个数。权　利　要　求　书 1/1 页 2 CN 115358373 A 2一种针对基于交叉熵对抗攻 击的防御方 法 技术领域 [0001]本发明涉及人工智能技术领域， 尤其涉及 一种针对基于交叉熵对抗攻击的防御方 法。 背景技术 [0002]随着人工智能， 机器学习/深度学习方法的快速发展， 基于人工智能算法的系统广 泛部署于实际的工业生产环境中。 然而， 由于基于人工智能算法的系统容易受到对抗样本 攻击， 因此其给生产生活带来极大便捷的同时也存在一些安全问题。 所谓对抗样本攻击是 指通过对原始输入添加肉 眼不可辨别的轻微扰动后再输入至人工智能系统， 使人工智能系 统获得非预期的预测结果。 一种基于人工智能算法的系统容易受到对抗样本攻击， 本质上 意味着基于人工智能的算法的对抗鲁棒性(即抵御对抗样 本攻击的能力)太差， 因此提高深 度神经网络模型的对抗鲁棒 性则尤为重要。 [0003]目前， 提高对抗鲁棒性的主要方法有： (1)梯度隐藏： 把模型的梯度进行隐藏或者 混淆， 使得基于梯度的对抗样本生成算法无法获得模型 的正确梯度， 从而不能轻松攻击人 工智能系统。 (2)图像预处理： 通过对输入进 行预处理， 降低对抗扰乱。 (3)对抗训练： 该方法 也是目前 的主流方法； 即， 在训练阶段将产生的对抗样本和原始样本(干净样本)一同作为 输入， 参与训练过程； 该方法可以有效提高模型 的对抗鲁棒性。 然而， 针对基于交叉熵的对 抗攻击样本， 上述的三大类方法的对抗鲁棒性仍有待提高， 并且上述三大类方法的对抗攻 击防御有效性事实上从理论上均无法得到验证。 发明内容 [0004]面对基于交叉熵的对抗攻击样本， 现有提高对抗鲁棒性的方法的防御效果较差， 以及对抗攻击防御有效性无法从理论上得到验证的问题， 本发明提供一种针对基于交叉熵 对抗攻击的防御方法， 可以从理论上彻底防御基于交叉熵的对抗 攻击。 [0005]本发明提供的一种针对基于交叉熵对抗 攻击的防御方法， 包括： [0006]采用干净样本对需要防御的深度神经网络模型进行训练， 使其达 到拟合状态； [0007]当所述深度神经网络模型达到拟合状态 之后， 采用干净样本对其继续训练使其达 到超拟合状态； 所述超拟合状态对应至采用对抗样本对所述深度神经网络模型进 行训练之 后达到的拟合状态； [0008]将此时超拟合状态下的深度神经网络模型作为训练好的深度神经网络模型进行 使用。 [0009]进一步地， 在采用干净样本对其继续训练使其达到超拟合状态的过程中， 采用最 小化无关类别分数 方法进行优化， 设置优化目标如下述的公式所示： [0010]minimaze(zs‑zy) [0011]其中， [0012]s＝argmax  zi and s≠y说　明　书 1/7 页 3 CN 115358373 A 3