本發(fā)明公開了一種基于在線迭代生成器的對抗防御方法及系統(tǒng)，該方法包括如下步驟：步驟S1，隨機初始化生成器網(wǎng)絡(luò)F的參數(shù)θ，并用0初始化與輸入圖像相同大小的合成圖像；步驟S2，給定可能是對抗樣本的輸入圖像，將其定義為參考圖像I_z，將其輸入至生成器網(wǎng)絡(luò)模塊，生成合成圖像，并交替迭代更新網(wǎng)絡(luò)參數(shù)和合成圖像，最終獲得去除對抗噪聲且與原輸入圖像語義相同的合成圖像，直到符合停止的條件，本發(fā)明可在有效地去除對抗噪聲的同時，合成與輸入圖像具有相同語義圖像以代替原有的輸入圖像。

技術(shù)領(lǐng)域

本發(fā)明涉及基于深度學(xué)習的計算機視覺技術(shù)領(lǐng)域，特別是涉及一種基于在線迭代生成器的對抗防御方法及系統(tǒng)。

背景技術(shù)

對抗防御問題旨在去除圖像中的對抗噪聲。近年來，深度學(xué)習方法在計算機視覺領(lǐng)域大放異彩，然而眾所周知，深度學(xué)習模型對通過在真實圖像上添加準可感知噪聲而合成的對抗性樣本非常敏感，因此，對抗防御問題憑借其廣泛的應(yīng)用前景及學(xué)科探索性，吸引了越來越多研究者的關(guān)注。

現(xiàn)有的防御方法可以被大致分為兩類：一種方法是將防御作為預(yù)處理組件不需要訪問、修改或重新訓(xùn)練被攻擊的目標網(wǎng)絡(luò)，這種方法對不同的目標網(wǎng)絡(luò)具有可移植性，但這些方法往往依賴于圖像去噪，難于消除對抗噪聲；另一組方法需要訪問或重新訓(xùn)練目標網(wǎng)絡(luò)的參數(shù)，例如，對抗性訓(xùn)練方法需要獲得對抗性攻擊的知識，并且無法抵抗看不見的攻擊類型，然而，這些方法在實際應(yīng)用中是不切實際、低效的。

另外，Kuranki等人的工作Adversarial machine learning at scale(ICLR)還表明，單步攻擊的對抗訓(xùn)練并不能賦予迭代對抗樣本穩(wěn)健性，Tramer等人于2018年的工作集合對抗訓(xùn)練Ensemble adversarial training:Attacks and defenses要求將訓(xùn)練集增加N×M次，設(shè)計和訓(xùn)練N個不同的目標網(wǎng)絡(luò)，效率低下，其中，M是對抗訓(xùn)練中使用的不同已知對抗攻擊的數(shù)量，Samangouei等人于2018年的研究工作Defense-gan:Protectingclassifiers against adversarial attacks using generative models(ICLR)使用生成模型保護分類器免受敵對攻擊，由于具有大圖像的訓(xùn)練GAN不穩(wěn)定并且可能需要針對不同數(shù)據(jù)集調(diào)整網(wǎng)絡(luò)架構(gòu)，因此難以將Defense GAN轉(zhuǎn)移到大圖像上。

發(fā)明內(nèi)容

為克服上述現(xiàn)有技術(shù)存在的不足，本發(fā)明之目的在于提供一種基于在線迭代生成器的對抗防御方法及系統(tǒng)，以在有效地去除對抗噪聲的同時，合成與輸入圖像具有相同語義圖像，以代替原有的輸入圖像。

為達上述目的，本發(fā)明提出一種基于在線迭代生成器的對抗防御方法，包括如下步驟：

步驟S1，隨機初始化生成器網(wǎng)絡(luò)F的參數(shù)θ，并用0初始化與輸入圖像相同大小的合成圖像；

步驟S2，給定可能是對抗樣本的輸入圖像，將其定義為參考圖像I_z，將其輸入至包含所述生成器網(wǎng)絡(luò)F的生成器網(wǎng)絡(luò)模塊，生成合成圖像，并交替迭代更新網(wǎng)絡(luò)參數(shù)和合成圖像，最終獲得去除對抗噪聲且與原輸入圖像語義相同的合成圖像。

優(yōu)選地，步驟S2進一步包括：

步驟S200，利用所述生成器網(wǎng)絡(luò)F進行內(nèi)迭代，利用生成器網(wǎng)絡(luò)F近似能量函數(shù)，更新合成圖像來最小化能量函數(shù)，以產(chǎn)生與所述參考圖像I_z語義相同的、去除對抗噪聲的新圖像；

步驟S201，利用所述生成器網(wǎng)絡(luò)F進行外迭代，沿最大化對數(shù)似然的方向訓(xùn)練生成器網(wǎng)絡(luò)F的參數(shù)，更新網(wǎng)絡(luò)參數(shù)以使合成圖像逐漸靠近參考圖像I_z；

步驟S202，多次迭代式地進行步驟S200-S201的訓(xùn)練過程，直到符合停止的條件。