(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112287973A(43)申请公布日2021.01.29(21)申请号202011040449.2(22)申请日2020.09.28(71)申请人北京航空航天大学地址100191北京市海淀区学院路37号(72)发明人肖利民吴非杨文雪朱金彬(74)专利代理机构北京海虹嘉诚知识产权代理有限公司11129代理人吴小灿朱亚娜(51)Int.Cl.G06K9/62(2006.01)G06T3/40(2006.01)权利要求书2页说明书7页附图3页(54)发明名称基于截尾奇异值和像素插值的数字图像对抗样本防御方法(57)摘要对抗性机器学习研究已经表明，深度学习体系结构容易受到对抗样本的攻击。精心设计的小扰动会导致神经网络对正常图像的误分类，但不会对人类视觉系统造成识别错误。本发明提出一种基于截尾奇异值和像素插值的数字图像对抗样本防御方法，该方法基于像素矩阵分析和图像像素插值处理，以恢复图像在深度学习模型的正常识别为目标，在保证正常图片不会因为上述操作而被深度学习模型误分类的情况下能够有效防御对抗攻击。该方法有效地利用了矩阵分析和奇异值分解，并通过保留较大的奇异值，来重构出与对抗样本高度相似的最佳逼近图像，重构的图像再经过像素插值处理后，可以被深度学习模型正确的识别。此外，像素插值可以增加防御模型的不可预测性，从而达到防御黑盒攻击的目的。CN112287973ACN112287973A权利要求书1/2页1.基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，使用像素矩阵的奇异值分解和像素插值技术处理对抗样本去除其自身的对抗性扰动，从矩阵分析的角度来分析图像并使处理过的图片变得“干净”并能被正确识别。2.根据权利要求1所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，所述像素插值技术还用于增加整个防御模型的不可预测性和鲁棒性，从而达到有效防御黑盒攻击的目的。3.根据权利要求1所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，所述防御方法包括以下步骤：步骤1：输入图像Pi，P代表正常图片或者对抗样本，i代表正整数；步骤2：对图像进行张量分解得到像素矩阵，如果是灰度图或者二值图则得到1个二阶张量矩阵，如果是RGB色域图则得到3个二阶张量矩阵；步骤3：对每一个二阶张量矩阵进行奇异值分解得到全部n个奇异值{δ1，δ2，...，δn}(δ1≥δ2≥…≥δn)，并保留前S个较大奇异值并满足关系式S和n均为正整数，且满足S＜n，δ表示奇异值；步骤4：依次递增10个奇异值重构图像，最终得到S/10张备选图，若S/10出现小数位则向上取整；步骤5：对步骤4生成的备选图像进行像素插值缩放处理，缩放比例系数控制在一定范围内；步骤6：将步骤5中处理后的图像依次输入训练好的深度学习模型进行判定；步骤7：如判定出现2个及以上不同的分类结果，则出现次数最多且平均置信度系数最高的分类标签为最终输出判定；步骤8：清理上述过程产生的备选图像的缓存并载入下一张图像。4.根据权利要求3所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其中，步骤3中的对张量矩阵进行奇异值分解A＝U∑VT，A为张量矩阵，∑为对角阵包含所有得到的奇异值，U和V为单位正交矩阵，T代表矩阵的转置。5.根据权利要求3所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，步骤3中的对张量矩阵进行奇异值分解的规则包括步骤如下：步骤3.1：计算矩阵U＝AAT，对其进行特征分解得到对应的特征值和特征向量；步骤3.2：计算矩阵V＝ATA，对其进行特征分解得到对应的特征值和特征向量；步骤3.3：求出矩阵∑＝diag(σ1，...，σi，...，σr)，其中σi是将第一或第二步中求出的非零特征值从大到小排列后开平方的值；步骤3.4：计算前S个奇异值总和所占所有奇异求和的比例值，保留奇异值的个数满足关系其余较小的奇异值全部舍去。6.根据权利要求3所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其中，步骤5使用了对图像的像素插值缩放操作，缩放算法选择双三次插值算法，目的是找到目标像素和最近16个像素的影响关系，确定影响因子，最终根据影响因子来获得目标图像对应点的像素值，完成图像缩放。7.根据权利要求3所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，2CN112287973A权利要求书2/2页其特征在于，所述双三次插值算法包括构造双三次函数如下：其中ω代表像素点的位置，S(ω)代表像素点的权值，通过权重卷积之后后生成目标图像中对应位置的像素，f(i+u，j+u)表示目标像素点的值，计算公式如下：f(i+u，j+u)＝[A]*[B]*[C]其中[A]＝S(1