(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113822328A(43)申请公布日2021.12.21(21)申请号202110894433.6(22)申请日2021.08.05(71)申请人厦门市美亚柏科信息股份有限公司地址361000福建省厦门市软件园二期观日路12号102-402单元(72)发明人刘彩玲吴婷婷赵建强高志鹏张辉极杜新胜(74)专利代理机构厦门市精诚新创知识产权代理有限公司35218代理人何家富(51)Int.Cl.G06K9/62(2006.01)G06N3/04(2006.01)G06N3/08(2006.01)权利要求书1页说明书5页附图2页(54)发明名称防御对抗样本攻击的图像分类方法、终端设备及存储介质(57)摘要本发明涉及防御对抗样本攻击的图像分类方法、终端设备及存储介质，该方法中包括：S1：采集原始图像和其对应的对抗样本；S2：构建图像分类模型，图像分类模型采用深度神经网络结构，并在深度神经网络中添加去噪模块，去噪模块包括非局部均值模块和自注意力机制模块；S3：将原始图片和对应的对抗样本混合后对图像分类模型进行训练；S4：采用训练后的图像分类模型对图像进行分类。本发明通过端到端的方式在卷积网络的中间层添加去噪模块来降低对抗图像的噪声扰动，去噪模块由非局部均值模块和自注意力机制模块相结合，能够达到去噪目的且能够与任意卷积层相衔接，从而提高模型的对抗鲁棒性，有效解决了对抗样本攻击深度学习系统存在的隐患。CN113822328ACN113822328A权利要求书1/1页1.一种防御对抗样本攻击的图像分类方法，其特征在于，包括以下步骤：S1：采集原始图像和其对应的对抗样本；S2：构建图像分类模型，图像分类模型采用深度神经网络结构，并在深度神经网络中添加去噪模块，去噪模块包括非局部均值模块和自注意力机制模块；S3：将原始图片和对应的对抗样本混合后对图像分类模型进行训练；S4：采用训练后的图像分类模型对图像进行分类。2.根据权利要求1所述的防御对抗样本攻击的图像分类方法，其特征在于：原始图像的对抗样本采用深度学习攻击算法FGSM、DeepFool和C&W生成。3.根据权利要求1所述的防御对抗样本攻击的图像分类方法，其特征在于：图像分类模型中将深度神经网络中的浅层卷积输出的特征图x输入非局部均值模块，得到去噪特征图y，具体过程通过下式表示：其中，f(xi，xj)表示特征加权函数，C(x)表示归一化函数，xi、xj分别表示两个领域窗口的像素，yi表示去噪后的特征图、表示特征图的空间位置。4.根据权利要求3所述的防御对抗样本攻击的图像分类方法，其特征在于：去噪特征图y与注意力机制模块相结合，采用如下公式所示：其中，θ(xi)和表示通过两个不同的1×1卷积层组成的，d表示通道数量，T表示矩阵的转置。5.根据权利要求1所述的防御对抗样本攻击的图像分类方法，其特征在于：深度神经网络采用残差50网络，在残差50网络的stage2、stage3、stage4中分别添加去噪模块。6.一种防御对抗样本攻击的图像分类终端设备，其特征在于：包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1～5中任一所述方法的步骤。7.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现如权利要求1～5中任一所述方法的步骤。2CN113822328A说明书1/5页防御对抗样本攻击的图像分类方法、终端设备及存储介质技术领域[0001]本发明涉及图像分类领域，尤其涉及一种防御对抗样本攻击的图像分类方法、终端设备及存储介质。背景技术[0002]随着硬件能力的快速提升和大数据的发展，人工智能已被人们广泛应用于生活的方方面面。但是，新技术发展的同时也会带来新的挑战，如恶意场景下的模型攻击。因此针对深度学习算法的应用，研究者不仅要提高模型的计算速度、模型的准确率，模型对对抗样本的攻击防御能力也成为了评估模型性能的一项重要指标。[0003]从攻击背景分析，对抗攻击可以分为白盒攻击、黑盒攻击以及灰盒攻击。白盒攻击指的是攻击者已掌握目标攻击模型的网络结构设计、网络权重和网络防御方法等信息；黑盒攻击指的是攻击者对目标攻击模型信息一无所知，仅通过模型的输入和输出来获取有限的模型内部信息，并对有限的信息进行分析设计攻击方案；灰盒攻击介于白盒攻击和黑盒攻击两者之间，攻击者只掌握目标攻击模型的部分信息，如只获取到目标攻击模型的网络结构信息，或只获取到目标攻击模型的网络权重。从攻击目的分析，对抗攻击可分为：定向攻击和非定向攻击。定向攻击指的是攻击者对目标攻击模型进行定向攻击时，能够使其输出的预测结果为事先设定的类别。非定