基于注意力排序的对抗样本防御系统及方法与流程

技术特征：
1.一种基于注意力排序的对抗样本防御方法，其特征在于，所述方法具体包括：s101，预训练分类模型，得到对抗样本；s102，对抗样本经过对抗样本防御模型的第一个模块离散余弦变换层进行预处理，消除部分攻击；s103，特征图经过注意力模块，得到注意力权重；s104，根据注意力权重，重新得到具有全局特征的特征向量；s105,根据损失函数，训练网络，保存模型。2.根据权利要求1所述的基于注意力排序的对抗样本防御方法，其特征在于，所述s101具体包括：s1011，输入训练集的原始图像，通过预训练得到权重；s1012，利用所述权重产生对抗样本。3.根据权利要求1所述的基于注意力排序的对抗样本防御方法，其特征在于，所述s102具体包括：s1021,对抗样本经过第一个卷积层后，使用离散余弦变换(dct)；s1022,在频域内使用设计的激活函数η(x)，消除部分攻击，η(x)如下：s1023，利用逆离散余弦变换重新恢复到空间域，得到消除部分攻击的特征图。4.根据权利要求1所述的基于注意力排序的对抗样本防御方法，其特征在于，所述s103具体包括：s1031，特征图依次经过四个残差块分别得到特征向量集合s1032，l4经过平均池化得到全局向量g，同时将l
s
,s∈{1，2，3}的维度映射为g的维度n；s1033，局部特征和全局特征g使用逐项相加的方式连接，通过学习一个fc映射将得到的特征映射为注意力权重c，计算注意力权重c定义为公式2；其中，表示在每个残差块后提取的特征向量集合，其中s∈{1,2,3}，表示特征向量集合l
s
中n个特征向量的第i个；g表示图7中全连接层输出的全局特征向量，和g的维度均为n。5.根据权利要求1所述的基于注意力排序的对抗样本防御方法，其特征在于，所述s104具体包括：s1041，将特征图l
s
和预测的注意力图c
s
重塑为一维数组，分别由{l
s
(n)}和{c
s
(n)}表示；其中，n＝h
×
w，{l
s
(n)}为通道大小为c的特征向量；s1042，从注意力图{c
s
(n)}中选择前k个值{c
s
(k)}，记录它们的点位置，从特征图{l
s
(n)}的这些位置提取特征点{l
s
(k)}；s1043，通过公式2计算基于关键点的全局向量g
s
；g
s
＝c
s
(k)el
s
(k)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
公式3；
其中e表示关键点{c
s
(k)}与特征图{l
s
(k)}的每个通道之间的内积。6.根据权利要求1所述的基于注意力排序的对抗样本防御方法，其特征在于，所述s105具体包括：s1051，根据所述分类类别计算损失，反向传播更新模型权重，对所述模型进行微调，损失函数使用交叉熵损失函数定义为公式4；s1052，加载测试集通过训练好的模型产生对抗样本，计算准确率对模型性能进行判评估，保存最优的模型权重。7.一种基于注意力排序的对抗样本防御系统，其特征在于，包括：该对抗样本防御系统对基础模型resnet18进行修改；整个系统分为三个模块：离散余弦变换激活模块、注意力模块和关键点排序模块；在第一层卷积层后引入了离散余弦变换(dct)激活层，以有效抑制基于梯度攻击的噪声模式；同时注意力模块和关键点排序模块中，基于注意力机制在特征图上动态地选择关键点进行分类，以减少其他被攻击像素点的影响。8.根据权利要求6所述的基于注意力排序的对抗样本防御系统，其特征在于，所述离散余弦变换激活模块用于：对抗样本经过第一个卷积层后，使用离散余弦变换(dct)；在频域内使用设计的激活函数η(x)，消除部分攻击，η(x)如下：利用逆离散余弦变换重新恢复到空间域，得到消除部分攻击的特征图。9.根据权利要求6所述的基于注意力排序的对抗样本防御系统，其特征在于，所述注意力模块用于：计算注意力权重之前将l
s
的维度映射为g的维度n；局部特征和全局特征g使用逐项相加的方式连接，通过学习一个fc映射将得到的特征映射为注意力权重c，计算注意力权重c定义为公式2；其中，表示在每个残差块后提取的特征向量集合，其中s∈{1,2,3}，表示特征向量集合l
s
中n个特征向量的第i个；g表示图7中全连接层输出的全局特征向量，和g的维度均为n；计算注意力权重之前会将l
s
的维度映射为g的维度n。10.根据权利要求6所述的基于注意力排序的对抗样本防御系统，其特征在于，所述关键点排序模块进一步用于：将特征图l
s
和预测的注意力图c
s
重塑为一维数组，分别由{l
s
(n)}和{c
s
(n)}表示；其中，n＝h
×
w，{l
s
(n)}为通道大小为c的特征向量；从注意力图{c
s
(n)}中选择前k个值{c
s
(k)}，记录它们的点位置，从特征图{l
s
(n)}的这些位置提取特征点{l
s
(k)}；通过公式3计算基于关键点的全局向量g
s
；
g
s
＝c
s
(k)el
s
(k)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
公式3；其中e表示关键点{c
s
(k)}与特征图{l
s
(k)}的每个通道之间的内积。

技术总结
本发明提供了一种基于注意力排序的对抗样本防御系统及方法。包括：S101，预训练分类模型，得到对抗样本；S102，对抗样本经过对抗样本防御模型的第一个模块离散余弦变换层进行预处理，消除部分攻击；S103，特征图经过注意力模块，得到注意力权重；S104，根据注意力权重，重新得到具有全局特征的特征向量。S105，根据损失函数，训练网络，保存模型。该对抗样本防御方法使用修改网络的方式改善了现有技术中模型的训练过程中需要较多的硬件资源和较长的时间的消耗的问题，且在修改网络时考虑关键点的影响。影响。影响。


技术研发人员：王恒友 李文 吴佳薇 宋艳飞
受保护的技术使用者：北京建筑大学
技术研发日：2021.10.09
技术公布日：2022/1/18