[发明专利]一种基于博弈交互的对抗样本检测方法及系统

说明书

本发明公开了一种基于博弈交互的对抗样本检测方法及系统，属于对抗样本识别技术领域，解决现有技术采用对抗训练会降低深度学习模型在正常样本数据集上的性能。本发明包括将图像或视频在空间域上划分为N个区域；对N个区域依次进行编号，得到所有编号组成的集合φ，同时定义Θ为集合φ所有子集构成的超集；根据超集Θ计算超集Θ中每个元素对应的沙普利中间值，并基于所有沙普利中间值得到沙普利矩阵；基于沙普利矩阵中各沙普利中间值计算相邻两个区域的组合沙普利值，最终得到N‑1个组合沙普利值；基于N‑1个组合沙普利值计算沙普利均值，若沙普利值均值大于给定的边界阈值，则判定图像或视频为对抗样本，否则判断为正常样本。本发明用于对抗样本检测方法。

技术领域

一种基于博弈交互的对抗样本检测方法及系统，用于对抗样本检测方法，属于对抗样本识别技术领域。

背景技术

基于深度神经网络的深度学习模型在多种应用场景得到了越来越广泛的使用，与此同时深度模型的自身安全性风险也引发了持续关注。深度学习模型受到的一种主要威胁是对抗样本攻击，即攻击者通过对输入样本进行微小的修改，使得修改后的样本与原样本在人类视觉上无法察觉差异，却能使深度学习模型以较高的概率输出错误的结果。因此提高深度学习模型对对抗样本的鲁棒性是进一步扩大深度学习模型应用范围的保障。现有方法通常采用对抗训练的方式提高深度学习模型对对抗样本的鲁棒性，然而这种方法通常对深度学习模型在正常样本的性能上有较大的影响，同时不能检测到攻击的发生，不利于在实际应用环境中检测对抗样本攻击并预警。

综上所述，采用现有的对抗训练进行对抗样本检测存在如下技术问题：

1.采用对抗训练会降低深度学习模型在正常样本数据集上的性能，如针对图片分类模型，性能是指图片分类的准确率，针对图片生成模型，性能是指图片生成的质量；

2.采用现有技术不能检测到攻击的发生，不利于在实际应用环境中检测对抗样本攻击并预警。发明内容

针对上述研究的问题，本发明的目的在于提供一种基于博弈交互的对抗样本检测方法及系统，解决现有技术采用对抗训练会降低深度学习模型在正常样本数据集上的性能。

为了达到上述目的，本发明采用如下技术方案：

一种基于博弈交互的对抗样本检测方法，包括如下步骤：

步骤1、将图像或视频在空间域上划分为N个区域；

步骤2、对N个区域依次进行编号，得到所有编号组成的集合φ，同时定义Θ为集合φ所有子集构成的超集；

步骤3、根据超集Θ计算超集Θ中每个元素对应的沙普利中间值，并基于所有沙普利中间值得到沙普利矩阵；

步骤4、基于沙普利矩阵中各沙普利中间值计算相邻两个区域的组合沙普利值，最终得到N-1个组合沙普利值；

步骤5、基于N-1个组合沙普利值计算沙普利均值，若沙普利值均值大于给定的边界阈值，则判定图像或视频为对抗样本，否则判断为正常样本。

进一步，所述步骤1的具体步骤为：将图像或视频在空间域上按照长和高进行划分，其中，视频的不同帧的相同位置属于同一区域，其中，视频在空间域上划分，视频中所有的视频帧视为一个整体，且和图像一样具有长宽，而在时间域上，则视为一系列视频帧。

进一步，所述步骤3的具体步骤为：

步骤3.1、初始化向量mask的形状大小与图像或视频相同，且将mask的每个像素点的值置为1；

步骤3.2、取超集Θ的一个元素，并将元素对应区域的mask的像素点值置为0；

步骤3.3、基于给定的图像/视频分类模型C，得到该元素对应的沙普利中间值C(x·mask，y)，其中，·表示点乘，即对应像素点相乘；