(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111653725.7 (22)申请日 2021.12.3 0 (71)申请人 广州大学 地址 510006 广东省广州市番禺区大 学城 外环西路23 0号 (72)发明人 李进　赖杰伟　霍艳童　陈虹桥　 王显珉　 (74)专利代理 机构 广州市华学知识产权代理有 限公司 4 4245 代理人 林梅繁 (51)Int.Cl. G06V 10/764(2022.01) G06V 10/774(2022.01) G06V 10/82(2022.01) G06K 9/62(2022.01)G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 基于后验概率的对抗样 本检测方法、 系统及 存储介质 (57)摘要 本发明涉及基于后验概率的对抗样本检测 方法、 系统及存储介质， 包括以下步骤： S1、 构建 用于图像分类的分类模型； S2、 构建用于对抗样 本检测的判别模型； S3、 将需要进行判别的图像 样本放入分类模 型中， 获取图像样 本对应的概率 分布； S4、 将图像样本对应的概率分布作为判别 模型的输入放入判别模型中进行处理， 获取对抗 样本检测结果。 本发明通过构建分类模型和判别 模型， 利用二分类模型对对抗样 本与正常图像经 过分类模型后的输出进行学习， 挖掘二者之间差 异来进行对抗样本检测， 从而实现了有效的对抗 样本检测方法。 权利要求书2页 说明书4页 附图2页 CN 114299341 A 2022.04.08 CN 114299341 A 1.基于后验概 率的对抗样本检测方法， 其特 征在于， 包括以下步骤： S1、 构建用于图像分类的分类模型， 对输入的图像样本进行特征提取与处理， 获取输入 图像样本对应的概 率分布； S2、 构建用于对抗样本检测的判别模型， 对分类模型获取的图像样本对应的概率分布 进行特征提取与处 理， 进行对抗样本判别； S3、 将需要 进行判别的图像样本放入分类模型中， 获取图像样本对应的概 率分布； S4、 将图像样本对应的概率分布作为判别模型的输入放入判别模型中进行处理， 获取 对抗样本检测结果。 2.根据权利要求1所述的基于后验概率的对抗样本检测方法， 其特征在于， 步骤S1中在 输入图像样本后， 将图像样本划分成训练样本集和测试样本集， 利用训练样本集中的图像 样本优化分类模型参数， 利用测试样本集中的图像样本测试分类模型效果以及生成对应的 对抗样本 。 3.根据权利要求1所述的基于后验概率的对抗样本检测方法， 其特征在于， 步骤S1中构 建的分类模型包含特征提取单元和特征处理单元， 对输入的图像样本进 行特征提取以及处 理， 并利用这些 特征进行图像样本分类， 采用卷积神经网络结构训练分类模型。 4.根据权利要求3所述的基于后验概率的对抗样本检测方法， 其特征在于， 采用卷积神 经网络结构训练分类模型的具体过程如下： 利用卷积神经网络 中含有的卷积神经元对输入的图像样本进行特征提取， 通过改变卷 积核来确定初步提取的特征有用的卷积核， 并得到输出矩阵， 再经过池化神经元， 减少训练 参数和特征向量的维度、 保留有用的特征， 完成图像样本特征的提取， 最后再经过全连接层 完成图像的分类； 利用图像样本集划分后得到的训练样本集对分类模型进行训练； 利用训练样本集中的 图像样本优化分类模型参数时， 采用交叉熵损失函数作为训练优化器来进行参数优化， 训 练完成后利用测试样本集对分类模型的分类效果进行验证。 5.根据权利要求1所述的基于后验概率的对抗样本检测方法， 其特征在于， 步骤S2中构 建判别模型的具体过程如下： S21、 构建数据样本， 生成针对分类模型的对抗样本集； S22、 将对抗样本集和正常图像集作为输入放入分类模型中， 获取每个图像对应的后验 概率； S23、 对每个图像对应的后验概率进行处理， 截取后验概率中概率值最高的三者并按照 从高到低的顺序进行排序， 并对其进行打标签， 对抗样本对应的概率值对应的标签为1， 正 常图像对应为0； S24、 将数据划分成训练集和测试集； 将两种概率值按照1:1混合后， 按照训练集与测试 集为4:1的比例进行数据集划分， 得到用于训练和构建判别模型 的训练数据集和测试数据 集， 数据集中每个元素为形状为(1,4)的数 组， 其中， 前三个元素为模 型输入数据， 最后一个 数据为标签； S25、 将对抗样本集、 正常图像集以及对应的标签作为训练数据训练构建判别模型。 6.根据权利要求1所述的基于后验概率的对抗样本检测方法， 其特征在于， 步骤S21的 具体过程如下：权　利　要　求　书 1/2 页 2 CN 114299341 A 2S211、 利用分类模型的测试样本集生成与测试样本集大小等同的对抗样本集； 其中， 生 成对抗样本的算法包 含FGSM， PGD， C &W生成算法； S212、 对生成对抗样本集 攻击效果进行验证， 选择对分类模型进行攻击的对抗样本； S213、 对分类模型的测试样本集进行筛 选， 选择分类模型正确分类的图像样本； S214、 采用的对抗样本数量 等同于正确分类的正常图像样本数量。 7.根据权利要求1所述的基于后验概率的对抗样本检测方法， 其特征在于， 判别模型采 用包含感知机， Softmax用于二分类的模型结构； 利用训练数据集对判别模型参数进行优 化， 采用优化训练器进行训练。 8.基于后验概 率的对抗样本检测系统， 其特 征在于， 包括： 分类模型构建模块： 用于图像分类， 对输入的图像样本进行特征提取与处理， 获取输入 图像样本对应的概 率分布； 判别模型构建模块： 用于对抗样本检测， 对分类模型获取的图像样本对应的概率分布 进行特征提取与处 理， 进行对抗样本判别； 概率分布获取模块： 将需要进行判别的图像样本放入分类模型中， 获取图像样本对应 的概率分布； 对抗样本检测结果获取模块： 将图像样本对应的概率分布作为判别模型的输入放入判 别模型中进行处 理， 获取对抗样本检测结果。 9.一种存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被处理器执行 时， 实现权利要求1 ‑7中任一项所述对抗样本检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114299341 A 3