(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210810689.9 (22)申请日 2022.07.11 (71)申请人 广东工业大 学 地址 510090 广东省广州市越秀区东 风东 路729号 (72)发明人 凌捷　莫芮林　罗玉　陈家辉　 (74)专利代理 机构 广州粤高专利商标代理有限 公司 44102 专利代理师 刘俊 (51)Int.Cl. G06V 10/46(2022.01) G06V 10/74(2022.01) G06V 10/764(2022.01) G06V 10/82(2022.01) G06N 3/04(2006.01)G06N 3/08(2006.01) (54)发明名称 一种对抗样本防御方法及系统 (57)摘要 本发明涉及人工智能领域， 公开了一种对抗 样本防御方法及系统， 其中方法包括： 获取输入 样本。 对输入样本的进行特征提取， 得到输入样 本的高维特征， 并计算对应的真实显著特征和真 实琐碎特征。 训练一个基于生 成对抗网络的显著 特征提取器， 并利用显著特征提取器对真实显著 特征和真实琐碎特征进行重构， 得到重构显著特 征和重构琐 碎特征。 计算重构显著特征和重构琐 碎特征之间的向量距离， 确定输入样本的样本类 型。 将输入样本和重构显著特征输入softmax分 类器， 得到输入样本正确的分类标签。 本发明通 过将重构显著特征输入softmax分类器得到正确 的标签， 从而达到完全防御的目的的同时降低了 模型训练的复杂 度， 从而提高了显著特征提取器 的训练效率。 权利要求书3页 说明书8页 附图2页 CN 115393610 A 2022.11.25 CN 115393610 A 1.一种对抗样本防御方法， 其特 征在于， 包括： 获取输入样本； 所述输入样本包括非对抗样本及其真实标签， 以及对抗样本及其真实 标签； 对所述输入样本的进行特征提取， 得到输入样本的高维特征， 并根据 所述高维特征， 划 分输入样本的真实显著特 征和真实琐碎特 征； 利用所述高维特征、 真实显著特征和真实琐碎特征训练一个基于生成对抗网络的显著 特征提取器， 并利用所述显著特征提取器对真实显著特征和真实琐碎特征进行重构， 得到 重构显著特 征和重构琐碎特 征； 计算所述重构显著特征和所述重构琐碎特征之间的向量距离， 根据所述向量距离， 确 定输入样本的样本类型； 将所述输入样本和所述重构显著特征输入softmax分类器， 得到输入样本正确的分类 标签。 2.根据权利要求1所述的对抗样本防御方法， 其特征在于， 在获取输入样本时， 采用迭 代梯度下降法生成所述非对抗样本对应的对抗样本 。 3.根据权利要求1所述的对抗样本防御 方法， 其特征在于， 对所述输入样本的进行特征 提取， 得到 输入样本的高维特 征， 具体包括： 将输入样本输入深度神经网络模型进行特征提取， 所述深度神经网络模型的全连接层 输出输入样本的高维特 征。 4.根据权利要求1所述的对抗样本防御方法， 其特征在于， 所述显著特征提取器包括： 用于利用高维特征生成重构显著特征的正生成器、 用于利用高维特征生成重构琐碎特征的 负生成器、 用于对重构 显著特征与真实显著特征进行判别的正判别器和用于对重构琐碎特 征与真实琐碎特 征进行判别的负判别器。 5.根据权利要求4所述的对抗样本防御方法， 其特征在于， 利用所述高维特征、 真实显 著特征和真实琐碎特征训练一个基于生成对抗网络的显著特征提取器， 并利用所述显著特 征提取器对真实显著特征和真实琐碎特征进行重构， 得到重构显著特征和重构琐碎特征， 具体包括： 将所述高维特征分别 输入所述正生成器和所述负生成器， 所述正生成器输出重构显著 特征， 所述负生成器输出重构琐碎特 征； 将所述重构显著特征和真实显著特征输入所述正判别器， 当重构显著特征被判别为真 时， 正判别器的输出为1； 当重构显著特征被判别为假时， 正判别器的输出为0； 根据正判别 器的二进制输出 结果， 对正 生成器和正判别器进行参数优化； 将所述重构琐碎特征和真实琐碎特征输入所述负判别器， 当重构琐碎特征被判别为真 时， 负判别器的输出为1； 当重构琐碎特征被判别为假时， 负判别器的输出为0； 根据负判别 器的二进制输出 结果， 对负生成器和负判别器进行参数优化。 6.根据权利要求5所述的对抗样本防御 方法， 其特征在于， 在对正生成器和正判别器进 行参数优化时， 最小化正生成器和 正判别器的总体损失函数， 以最小化重构显著特征和真 实显著特征之间的差异； 正生成器的总体损失函数lossPG和正判别器的总体损失函数 的表达式如下 所示：权　利　要　求　书 1/3 页 2 CN 115393610 A 2lossPG＝MSE(PG(XF),XSF)+CE(DPG(PG(XF)),1) 其中， MSE( ·,·)表示均方误差， PG( ·)正生成器的输出， XF表示高维特征， PG(XF)为正 生成器输出的重构显著特征， XSF表示真实显著特征， CE( ·,·)表示二元分类的交叉熵。 DPG (·)表示正判别器的输出。 7.根据权利要求5所述的对抗样本防御 方法， 其特征在于， 在对负生成器和负判别器进 行参数优化时， 最小化负生成器和负判别器的总体损失函数， 以最小化重构琐碎特征和真 实琐碎特征之间的差异； 负生成器的总体损失函数lossNG和负判别器的总体损失函数 的表达式如下 所示： lossNG＝MSE(NG(XF),XTF)+CE(DNG(NG(XF)),1) 其中， MSE( ·,·)表示均方误差， NG( ·)负生成器的输出， XF表示高维特征， NG(XF)为负 生成器输出的重构琐碎特征， XTF表示真实显著特征， CE( ·,·)表示二元分类的交叉熵， DNG (·)表示负判别器的输出。 8.根据权利要求1所述的对抗样本防御 方法， 其特征在于， 计算所述重构显著特征和所 述重构琐碎特征之间的向量距离， 根据所述向量距离， 确定输入样本的样本类型， 具体包 括： 所述对抗样本检测器使用L2范数 去衡量重构显著特征和重构琐碎特征的相似 度， 以所述相似度表示重构显著特 征和重构琐碎特 征之间的向量距离， 其表达式如下 所示： 其中， PG(·)正生成器的输出， XF表示高维特征， PG(XF)为正生成器输出 的重构显著特 征， NG(·)负生成器的输出， XF表示高维特 征， NG(XF)为负生成器输出的重构琐碎特 征； 当某一输入样本的向量距离Distance(PG(XF),NG(XF))大于预设的最大值时， 将该输入 样本归类为对抗样本； 当某一输入样本的向量距离Distance(PG(XF),NG(XF))小于或等于预设的最大值时， 将 该输入样本归类为非对抗样本 。 9.根据权利要求1所述的对抗样本防御方法， 其特征在于， 根据所述高维特征， 划分输 入样本的真实显著特 征和真实琐碎特 征， 具体包括： 将非对抗样本的高维特征分别定义为非对抗样本的真实显著特征和真实琐碎特征， 以 及对抗样本的真实显著特 征； 将对抗样本的高维特 征定义为对抗样本的真实琐碎特 征。 10.一种对抗样本防御系统， 其特 征在于， 包括： 获取模块， 用于获取输入样本； 所述输入样本包括非对抗样本及其真实标签， 以及对抗 样本及其真实标签； 提取模块， 用于对所述输入样本的进行特征提取， 得到输入样本的高维特征， 并根据 所 述高维特 征， 划分输入样本的真实显著特 征和真实琐碎特 征； 重构模块， 用于利用所述高维特征、 真实显著特征和真实琐碎特征训练一个基于生成 对抗网络的显著特征提取器， 并利用所述显著特征提取器对真实显著特征和真实琐碎特征权　利　要　求　书 2/3 页 3 CN 115393610 A 3