(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113627543A(43)申请公布日2021.11.09(21)申请号202110931933.2(22)申请日2021.08.13(71)申请人南开大学地址300350天津市津南区同砚路38号(72)发明人徐思涵麦隽韵王志煜李君龙李梅蔡祥睿(74)专利代理机构天津创智睿诚知识产权代理有限公司12251代理人王海滨(51)Int.Cl.G06K9/62(2006.01)G06N3/04(2006.01)G06N3/08(2006.01)权利要求书1页说明书5页附图1页(54)发明名称一种对抗攻击检测方法(57)摘要本发明公开了一种对抗攻击检测方法，包括以下步骤：步骤S1，通过多种对抗攻击算法生成对于目标深度神经网络的对抗样本，并与自然输入样本混合作为输入样本；步骤S2，将输入样本输入到目标深度神经网络中提取全局特征和隐含层特征；步骤S3，将输入样本的全局特征和隐含层特征进行特征融合，得到输入样本的最终特征表示；步骤S4，使用输入样本的最终特征表示训练分类器，得到对抗样本检测模型；步骤S5，利用步骤4得到的对抗样本检测模型检测输入数据中是否含有对抗样本。本发明可以为被攻击目标系统的不同隐藏层动态分配不同的权重，不仅能发现单攻击模式下的对抗样本，而且能够不受混合攻击模式影响地检测出每种攻击方法所产生的对抗样本。CN113627543ACN113627543A权利要求书1/1页1.一种对抗攻击检测方法，其特征在于，包括以下步骤：步骤S1，通过多种对抗攻击算法生成对于目标深度神经网络的对抗样本，并与自然输入样本混合作为输入样本；步骤S2，将输入样本输入到目标深度神经网络中提取全局特征和隐含层特征；步骤S3，将输入样本的全局特征和隐含层特征进行特征融合，得到输入样本的最终特征表示；步骤S4，使用输入样本的最终特征表示训练分类器，得到对抗样本检测模型；步骤S5，利用步骤4得到的对抗样本检测模型检测输入数据中是否含有对抗样本。2.根据权利要求1所述的对抗攻击检测方法，其特征在于：所述步骤S1包括：步骤S11，将拟攻击的目标深度神经网络的输入数据集分成训练集和测试集，使用训练集训练好目标深度神经网络预测测试集样本，去除预测错误的样本，剩下的记为自然输入样本；步骤S12，将多种攻击方法在不同参数下分别应用到训练、验证、测试三个集合中的自然输入样本以生成对抗样本，将对抗样本输入到目标深度神经网络中进行分类，丢弃目标深度神经网络可以正确分类的对抗样本，剩余的样本标记为输入样本。3.根据权利要求2所述的对抗攻击检测方法，其特征在于：在步骤S1中，为保证对于每种对抗攻击方法在每种参数下的自然输入样本和对抗样本分布均为1:1，在训练、验证、测试集合中通过随机选择的方法丢弃部分自然输入样本。4.根据权利要求3所述的对抗攻击检测方法，其特征在于：在步骤S1中，所述多种对抗攻击算法采用IBM对抗鲁棒性工具箱中的PGD、FGSM、BIM、DeepFool、C&W这5种白盒攻击方法。5.根据权利要求1所述的对抗攻击检测方法，其特征在于：所述步骤S2包括：步骤S21，拟攻击的目标深度神经网络为目标系统M，给定一个输入样本I，采用多个预训练模型得到输入样本I的全局特征表示；步骤S22，分别为目标系统M的隐含层构建卷积神经网络模型学习并表示隐含层特征，包括c1个卷积层，c2个池化层。6.根据权利要求1所述的对抗攻击检测方法，其特征在于：所述步骤S3中，应用多头注意力模型融合输入样本的全局特征和隐藏层特征，将全局特征视作查询Q，将各隐含层特征视为关键字K和值V，采用多头注意力模型进行特征融合。7.根据权利要求1所述的对抗攻击检测方法，其特征在于：所述步骤S4中，将每个训练输入样本的最终融合特征向量与该样本所对应的自然样本或对抗样本标签输入到全连接神经网络分类器中，训练一个检测对抗样本的二分类模型。8.根据权利要求1所述的对抗攻击检测方法，其特征在于：所述步骤S5中，先将被检测的输入数据按照步骤2至步骤3的处理方法得到其最终特征表示，再输入到对抗样本检测模型中，得到分类结果。9.一种计算机可读存储介质，其特征在于，存储有计算机程序，所述计算机程序被执行时实现如权利要求1至8中任一项所述的方法的步骤。2CN113627543A说明书1/5页一种对抗攻击检测方法技术领域[0001]本发明属于对抗攻击、人工智能技术应用、人工智能系统安全领域，具体涉及一种对抗攻击检测方法。背景技术[0002]深度学习作为一种实现机器学习的技术，具有强大的特征抽取与表示能力、数据拟合能力和复杂问题的解决能力，被广泛应用于图片分类、语音识别、目标检测、机器翻译、推荐系统等各个领域，给人们的生活带来了巨大的便利。但是，深度学