[发明专利]一种基于生成式对抗产生通用逆扰动的防御方法

权利要求书

1.一种基于生成式对抗产生通用逆扰动的防御方法，其特征在于，包括以下步骤：

(1)搭建生成式对抗网络，生成式对抗网络包括基于卷积神经网络的生成模型G和判别模型D；生成模型G通过神经网络的参数学习通用逆扰动的特征分布，并在样本中加入通用逆扰动，生成良性样本；判别模型D用于判断生成模型生成的良性样本的置信度；

(2)使用多种攻击方法对正常样本进行攻击，生成包含多种类型扰动的对抗样本；

(3)采用正常样本对生成式对抗网络中的生成模型G和判别模型D进行预训练；

(4)建立生成模型G的损失函数，对生成模型G进行训练；

(5)建立判别模型D的损失函数，对判别模型D进行训练；

(6)重复步骤(4)和(5)，直到迭代次数达到预设的上限值或两个模型的损失函数达到预设的阈值；

(7)对训练完成的生成模型G进行性能指标检测，通过检测后进行应用，将待分类样本先经过训练好的生成模型G后再输入用于分类的深度学习模型，使待分类样本中的对抗样本能够被正确识别，完成对对抗样本的防御。

2.根据权利要求1所述的基于生成式对抗产生通用逆扰动的防御方法，其特征在于，步骤(2)中，所述的多种攻击方法包括DeepFool攻击、Jacobian-based Saliency Map攻击、BOUNDARY攻击、通用扰动攻击、FGSM攻击和ZOO攻击。

3.根据权利要求1所述的基于生成式对抗产生通用逆扰动的防御方法，其特征在于，步骤(4)的具体过程为：

(4-1)将对抗样本perturb作为生成模型G的输入，得到生成的良性样本，记为perturb'；

(4-2)将生成的良性样本perturb'作为判别模型D的输入，并获得置信度反馈，记为conv_per'；

(4-3)利用获得的置信度反馈，按照以下公式计算生成模型的损失函数G_loss，

G_loss＝||conv_per'-G_best||₂

其中，G_best表示最理想状态下，生成模型产生的全部生成样本都被判别为良性样本时应该获得的置信度反馈；

(4-4)根据生成模型训练的迭代数G_iter，重复步骤(4-1)～步骤(4-3)；

(4-5)根据此次生成模型训练过程中损失函数G_loss的变化量与此前判别模型训练过程中损失函数D_loss的变化量相比较调整下一次训练生成模型的迭代数G_iter。

4.根据权利要求1所述的基于生成式对抗产生通用逆扰动的防御方法，其特征在于，步骤(4-5)中，调整下一次训练生成模型的迭代数G_iter的具体方式为：

如果G_loss变化量明显小于D_loss变化量，在不考虑模型强度的偏差下，以偏移系数ρ放大G_iter；反之，则以偏移系数ρ缩小G_iter。