(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211321718.1 (22)申请日 2022.10.27 (71)申请人 泉州装备制造 研究所 地址 362000 福建省泉州市台商投资区洛 阳镇上浦村吉贝51 1号 申请人 闽都创新实验室 (72)发明人 魏宪　郭杰龙　黄延辉　俞辉　 汤璇　邵东恒　张剑锋　李杰　 (74)专利代理 机构 北京艾纬铂知识产权代理有 限公司 16101 专利代理师 吴亚兰 (51)Int.Cl. G06V 10/774(2022.01) G06V 10/764(2022.01) G06V 10/778(2022.01) (54)发明名称 一种针对对抗攻击的深度学习模型防御方 法及模型 (57)摘要 本发明公开了一种图像识别技术领域、 针对 对抗攻击的深度学习模型防御方法及模型， 充分 利用对抗样 本与原始样本 之间的内在关联， 通过 在深度学习模 型输入层之前构建过滤层， 将对抗 样本向正常样本进行转化； 并利用对抗攻击样 本， 对过滤层参数进行训练， 从而提高模型抵御 对抗攻击的能力； 最后将训练好的过滤层与经过 对抗训练的学习模型结合， 得到鲁棒性强且分类 精度高的深度学习模型， 保证在抵御对抗攻击的 同时不降低对正常样本的识别能力。 权利要求书2页 说明书5页 附图1页 CN 115439719 A 2022.12.06 CN 115439719 A 1.一种针对 对抗攻击的深度学习模型防御方法， 其特 征在于， 包括以下步骤： 步骤S1： 获取未训练过 的原始深度学习模型 ， 和训练所用的原始样本图像数据 ， 以及基于 的对抗样本图像数据 ； 步骤S2： 对模型 ， 分别使用数据 训练得到模型 ， 使用数据 和 训练得到模 型 ； 步骤S3： 构建过滤层， 并将其嵌入到模型 输入层之前， 得到新模型 ， 所述过滤层 用于对输入数据进行从对抗样本变到原 始样本的空间变换而不丢失图像信息； 步骤S4： 使用数据 训练模型 的图像分类能力， 在训练中保持 中原属 部分 的模型参数不变， 而仅训练过滤层参数， 并使用可微分的条件数约束函数限制过滤层的权 值矩阵的二范 数条件数大小； 步骤S5： 将步骤S4中训练得到的过滤层单独取出， 插入到模型 的输入层之前， 得到 深度学习模型 ， 用于检测原 始图像和带有对抗 攻击噪声的图像， 获得正确的图像分类。 2.如权利要求1所述的方法， 其特征在于， 所述原始深度学习模型的种类包括： VGG ‑16 和Vision Transformer。 3.如权利要求1所述的方法， 其特征在于， 获取所述基于 的对抗样本图像数据 的 方法包括： 确定需要防御的对抗 攻击； 对所述原 始样本图像数据 施加所述对抗 攻击， 获得对抗样本图像数据 。 4.如权利要求1所述的方法， 其特征在于， 所述步骤S3中构建的过滤层， 由线性层、 激活 函数层和归一 化层构成， 其层数不固定， 可根据具体任务调整， 参数为可 学习的。 5.如权利要求1或4所述的方法， 其特征在于， 所述步骤S4中对模型 的训练中， 除了 使用交叉熵损失函数训练模型的图像分类能力外， 还在损失函数中额外添加可微分的条件 数约束函数， 以限制过 滤层参数矩阵的二范 数条件数大小。 6.如权利要求5所述的方 法， 其特征在于， 对模型 训练时， 损失函 数中添加两个可微 分的条件数约束函数， 两个约束函数分别如下： 权　利　要　求　书 1/2 页 2 CN 115439719 A 2式中， 表示矩阵的弗罗贝尼乌斯范数； 表示过滤层的权值矩阵； 表示权值矩阵 长和宽两 者中较小的值； 是一个常数小量， 用以保证对数函数有意义， 其值 大于0且远小于 1。 7.一种应用权利要求1 ‑6中任一所述方法得到的深度学习模型， 其特 征在于， 包括： 过滤层， 用于对输入数据进行从对抗样本变到原始样本的空间变换而不丢失图像信 息； 经过对抗训练的深度学习模型； 其中， 所述过 滤层位于所述学习模型输入层之前。 8.如权利要求7所述的模型， 其特征在于， 所述过滤层由线性层、 激活函数层和归一化 层构成， 其层数不固定， 可根据具体任务调整， 参数为可 学习参数。权　利　要　求　书 2/2 页 3 CN 115439719 A 3