[发明专利]一种针对图像目标探测神经网络的对抗样本检测方法

权利要求书

1.一种针对图像目标探测神经网络的对抗样本检测方法，其特征在于，包括以下步骤：

(1)构建对抗样本检测数据集；

(2)基于步骤1，利用目标探测神经网络模型提取对抗样本检测特征数据集；

(3)搭建对抗样本检测神经网络；

(4)基于步骤2进行对抗样本检测神经网络训练，得到对抗样本检测模型；

(5)基于步骤2进行对抗样本检测模型性能测试

步骤1具体为：

(1a)搭建目标探测神经网络，输入干净样本数据集进行训练，得到目标探测神经网络模型；

(1b)使用不同攻击算法生成对抗样本数据集，具体是对干净样本数据集每轮迭代时输入的图像添加扰动，生成相应的对抗样本数据集；

(1c)将所述干净样本数据集和所述对抗样本数据集进行标注得到N条带标注图像数据，作为所述对抗样本检测数据集，其中，将干净样本标签为0，对抗样本标签为1；N为正整数

步骤2具体为：

(2a)将所述对抗样本检测数据集输入到所述目标探测神经网络模型，针对每张图像提取出前H个得分最高的目标探测框的特征数据，每个所述目标探测框的特征数据的大小为1×M，由H个目标探测框的特征数据组成一个H×M的特征序列作为样本的特征序列，得到N条特征序列，作为对抗样本检测特征数据集；H、M为正整数；

(2b)将所述对抗样本检测特征数据集随机打乱，然后划分为具有N_train＝N*p个特征数据的对抗样本检测特征训练集，以及具有N_test＝N*(1-p)个特征数据的对抗样本检测特征测试集，0＜p＜1，表示训练集比例

步骤3具体为：

(3a)搭建一个4层卷积神经网络，包括输入层、一维卷积层、全连接层、输出层，将所述输入层的尺寸设置为H×M；所述一维卷积层包含二维卷积、归一化、ReLU激活函数以及最大池化，卷积核的尺寸设置为K×M，卷积核的宽度和输入的特征序列宽度保持一致，高度K≤H，步长设置为s，采用不补零valid方式实现；所述全连接层包含一个全连接和ReLU激活函数，全连接的神经元个数为h；所述输出层包含一个全连接和Sigmoid激活函数，输出层的个数设置为2；

(3b)按照输入层→一维卷积层→全连接层→输出层依次链接。

2.如权利要求1所述的方法，其特征在于，步骤4具体为：

(4a)选取二分类交叉熵损失函数作为卷积神经网络的目标函数；

(4b)设置模型训练参数：包括优化算法、训练批次大小b、迭代轮次T、学习率η，其中，所述优化算法是指一阶梯度优化算法；

(4c)利用所述对抗样本检测特征训练集训练卷积神经网络，按照所选择的优化算法和学习率η进行网络权重更新，网络权重更新公式为其中W_k代表当前权重，W_k+1代表更新后的权重，代表损失函数在W＝W_k时的梯度，每次输入b条特征数据，每轮迭代次，迭代T轮，共计迭代次后停止训练，生成对抗样本检测模型，其中代表向上取整运算。

3.如权利要求2所述的方法，其特征在于，步骤5具体为：

(5a)设置概率阈值t，将所述对抗样本检测特征测试集中的干净样本特征序列输入到对抗样本检测模型，利用概率阈值t判断样本是否为对抗样本，如果模型输出的概率值大于概率阈值t，则判定样本为对抗样本，计算模型将干净样本错误地分到对抗样本类别中真实的干净样本占所有干净样本的比例FPR，即对抗样本检测误报率，其中，FPR＝FP/(FP+TN)，FP代表干净样本预测为对抗样本的数量，TN代表干净样本预测为干净样本的数量；

(5b)将所述对抗样本检测特征测试集中的不同攻击算法生成的对抗样本特征序列依次输入到对抗样本检测模型，利用概率阈值t判断样本是否为对抗样本，如果模型输出的概率值大于概率阈值t，则判定样本为对抗样本，计算模型将对抗样本错误地分到干净样本类别中真实的对抗样本占所有对抗样本的比例FNR，即对抗样本检测漏报率，其中，FNR＝FN/(TP+FN)，FN代表对抗样本检测为干净样本的数量，TP代表对抗样本检测为对抗样本的数量；

(5c)重复将对抗样本检测特征测试集中的干净样本特征序列、不同攻击算法生成的对抗样本特征序列输入到对抗样本检测模型，对比在不同概率阈值情况下对抗样本检测模型的效果。