[发明专利]一种针对图像目标探测神经网络的对抗样本检测方法

说明书

本发明涉及一种针对图像目标探测神经网络的对抗样本检测方法，涉及人工智能安全技术领域。该方法包括步骤：构建对抗样本检测数据集；利用目标探测神经网络模型提取对抗样本检测特征数据集；搭建对抗样本检测神经网络；进行对抗样本检测神经网络训练，得到对抗样本检测模型；进行对抗样本检测模型性能测试。本发明利用目标探测神经网络生成的目标探测框之间存在顺序关系，提升了对抗样本检测准确率，并且通过浅层特征共享机制避免了过多额外计算。

技术领域

本发明涉及人工智能安全技术领域，具体涉及一种针对图像目标探测神经网络的对抗样本检测方法。

背景技术

近年来，随着人工智能的快速发展，人工智能逐渐深入人们的日常生活，人类越来越依赖人工智能带来的高效与便捷，尤其是人脸识别、自动驾驶等基于图像识别的技术。与此同时，深度神经网络自身的安全性也吸引了越来越多的关注。其中非常重要的一类攻击为“对抗型攻击”，即别有用心的攻击者通过在图像上添加人肉眼不可见的轻微扰动将其恶意修改为对抗样本，使得图像分类器将其错分为另一个类别，给诸多人工智能应用埋下诸多安全隐患。因此，图像对抗样本检测技术具有很大的现实意义。

中国人民大学在其申请的专利“一种深度神经网络图像对抗样本检测方法和系统”(专利申请号：202010111521.X，公开号：CN111353403A)中提出了一种图像对抗样本检测方法。该方法首先输入图像，计算图像的一维熵，根据图像的一维熵值，采用标量量化和平滑滤波的方法，对图像进行降噪处理，生成降噪图像，然后对图像和降噪图像进行分类，如果图像和降噪图像属于同一类别，表明输入的图像为正常样本，否则，图像为对抗样本。该发明采用标量量化和平滑滤波的方式减少图像噪声，使对抗样本图像变为可分类的干净样本。但是，该方法依然存在的不足之处是：传统的降噪算法并不适合于对抗样本噪声，导致检测准确率低；其次，该算法一次识别需要进行两次神经网络计算，增加了超过一倍的计算量，实用性差。

中山大学在其申请的专利“一种对抗样本检测方法及通用对抗攻击防御系统”(专利申请号：202011425771.7，公开号：CN112396129A)中提出了一种图像对抗样本检测方法。该方法首先获取训练数据集用于训练深度神经网络模型，获取预测单元A；利用基于训练数据集生成的对抗样本，通过对抗训练方法训练深度神经网络模型，获取预测单元Β；将训练数据集和对抗样本均输入至预测单元A、Β中进行推理，分别提取相同卷积层输出的特征图并拼接，将拼接图作为分类训练数据集；采用分类训练数据集训练深度神经网络二分类模型，获取对抗样本检测模块；将需检测的输入样本分别输入至预测单元A、Β中进行推理，分别提取相同卷积层输出的特征图并进行拼接，然后将拼接图输入至对抗样本检测模块中进行检测，获取检测结果y。该发明提升了对抗样本检测准确率，避免损失模型精度的代价。但是该方法依然存在的不足之处是：模型训练开销大，检测流程繁琐效率低。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种针对图像目标探测神经网络的对抗样本检测方法，提升对抗样本检测准确率，并且避免过多额外计算。

(二)技术方案

为了解决上述技术问题，本发明提供了一种针对图像目标探测神经网络的对抗样本检测方法，包括以下步骤：

(1)构建对抗样本检测数据集：

(1a)搭建目标探测神经网络，输入干净样本数据集进行训练，得到目标探测神经网络模型；