本發明公開了一種基于在線迭代生成器的對抗防御方法及系統，該方法包括如下步驟：步驟S1，隨機初始化生成器網絡F的參數θ，并用0初始化與輸入圖像相同大小的合成圖像；步驟S2，給定可能是對抗樣本的輸入圖像，將其定義為參考圖像I_z，將其輸入至生成器網絡模塊，生成合成圖像，并交替迭代更新網絡參數和合成圖像，最終獲得去除對抗噪聲且與原輸入圖像語義相同的合成圖像，直到符合停止的條件，本發明可在有效地去除對抗噪聲的同時，合成與輸入圖像具有相同語義圖像以代替原有的輸入圖像。

技術領域

本發明涉及基于深度學習的計算機視覺技術領域，特別是涉及一種基于在線迭代生成器的對抗防御方法及系統。

背景技術

對抗防御問題旨在去除圖像中的對抗噪聲。近年來，深度學習方法在計算機視覺領域大放異彩，然而眾所周知，深度學習模型對通過在真實圖像上添加準可感知噪聲而合成的對抗性樣本非常敏感，因此，對抗防御問題憑借其廣泛的應用前景及學科探索性，吸引了越來越多研究者的關注。

現有的防御方法可以被大致分為兩類：一種方法是將防御作為預處理組件不需要訪問、修改或重新訓練被攻擊的目標網絡，這種方法對不同的目標網絡具有可移植性，但這些方法往往依賴于圖像去噪，難于消除對抗噪聲；另一組方法需要訪問或重新訓練目標網絡的參數，例如，對抗性訓練方法需要獲得對抗性攻擊的知識，并且無法抵抗看不見的攻擊類型，然而，這些方法在實際應用中是不切實際、低效的。

另外，Kuranki等人的工作Adversarial machine learning at scale(ICLR)還表明，單步攻擊的對抗訓練并不能賦予迭代對抗樣本穩健性，Tramer等人于2018年的工作集合對抗訓練Ensemble adversarial training:Attacks and defenses要求將訓練集增加N×M次，設計和訓練N個不同的目標網絡，效率低下，其中，M是對抗訓練中使用的不同已知對抗攻擊的數量，Samangouei等人于2018年的研究工作Defense-gan:Protectingclassifiers against adversarial attacks using generative models(ICLR)使用生成模型保護分類器免受敵對攻擊，由于具有大圖像的訓練GAN不穩定并且可能需要針對不同數據集調整網絡架構，因此難以將Defense GAN轉移到大圖像上。

發明內容

為克服上述現有技術存在的不足，本發明之目的在于提供一種基于在線迭代生成器的對抗防御方法及系統，以在有效地去除對抗噪聲的同時，合成與輸入圖像具有相同語義圖像，以代替原有的輸入圖像。

為達上述目的，本發明提出一種基于在線迭代生成器的對抗防御方法，包括如下步驟：

步驟S1，隨機初始化生成器網絡F的參數θ，并用0初始化與輸入圖像相同大小的合成圖像；

步驟S2，給定可能是對抗樣本的輸入圖像，將其定義為參考圖像I_z，將其輸入至包含所述生成器網絡F的生成器網絡模塊，生成合成圖像，并交替迭代更新網絡參數和合成圖像，最終獲得去除對抗噪聲且與原輸入圖像語義相同的合成圖像。

優選地，步驟S2進一步包括：

步驟S200，利用所述生成器網絡F進行內迭代，利用生成器網絡F近似能量函數，更新合成圖像來最小化能量函數，以產生與所述參考圖像I_z語義相同的、去除對抗噪聲的新圖像；

步驟S201，利用所述生成器網絡F進行外迭代，沿最大化對數似然的方向訓練生成器網絡F的參數，更新網絡參數以使合成圖像逐漸靠近參考圖像I_z；

步驟S202，多次迭代式地進行步驟S200-S201的訓練過程，直到符合停止的條件。