本發明公開了一種基于批標準化的多空間對抗樣本防御方法及其裝置。該多空間對抗樣本防御方法用在自動駕駛訓練場景中，包括如下步驟：利用來自不同域的對抗樣本對門控批歸一化模塊進行訓練，對抗樣本為影響自動駕駛車輛識別圖像的干擾因素；預測神經網絡中對應前一層輸出數據所屬的域；將來自不同域的數據標準化對齊，得到域不變的特征；其中，利用批歸一化層的每條分支標準化對齊來自某一特定域的數據；將每條分支標準化對齊后的數據進行聚合，得到域不變的特征。利用本發明可以有效提升深度神經網絡的魯棒性，特別適合在自動駕駛訓練場景中應用。

技術領域

本發明涉及一種面向自動駕駛訓練場景的需要，基于批標準化的多空間對抗樣本防御方法，同時涉及采用該多空間對抗樣本防御方法的自動駕駛訓練裝置，屬于自動駕駛技術領域。

背景技術

對抗樣本是指通過添加干擾產生能夠導致機器學習模型產生錯誤判斷的樣本。目前，深度神經網絡(DNNs)已經在眾多領域的應用中取得了顯著的成就，但它對對抗樣本十分敏感。這些精心設計的對抗樣本(即擾動)對于人類來說不可察覺，但很容易導致深度神經網絡做出錯誤判斷。這對深度神經網絡在可靠性需求較大的場景，特別是自動駕駛訓練場景中的應用提出了安全挑戰。

為了提升模型針對對抗樣本的魯棒性，人們提出了一些對抗防御的方法。許多對抗防御的方法都基于對抗訓練，它是一種通過對抗樣本來擴充訓練數據的方法。然而，絕大多數的對抗防御方法都只針對單個類型的擾動(比如微小的擾動)。這些防御方法無法保證能對其他擾動(如擾動)進行防御，而且有時反而會使模型對于其它類型的擾動變得更脆弱。為了解決這個問題，使模型能對多種類型的攻擊(即和攻擊)都保持魯棒，人們提出了其他的對抗訓練策略。雖然這些方法提高了模型對于多種擾動限制下的對抗攻擊的魯棒性，但是在每種擾動類型上的單獨表現還遠遠無法讓人滿意。

在自動駕駛領域,研究對抗樣本的攻擊和防御情況,對自動駕駛行業的發展具有深遠影響。盡管現有針對模型的多空間對抗樣本防御方法已經有不錯的防御效果，但需要進行針對性訓練而且訓練周期也較長，在使用過程中就會遇到防御方法不夠靈活的問題，難以滿足自動駕駛訓練場景的實際需求。

發明內容

本發明所要解決的首要技術問題在于提供一種面向自動駕駛訓練場景的需要，基于批標準化的多空間對抗樣本防御方法。

本發明所要解決的另一技術問題在于一種采用該多空間對抗樣本防御方法的自動駕駛訓練裝置。

為了實現上述目的，本發明采用下述的技術方案：

根據本發明實施例提供的第一方面，提供一種基于批標準化的多空間對抗樣本防御方法，用在自動駕駛訓練場景中，包括如下步驟：

利用來自不同域的對抗樣本對門控批歸一化模塊進行訓練，所述對抗樣本為影響自動駕駛車輛識別圖像的干擾因素；

預測神經網絡中對應前一層輸出數據所屬的域；

將來自不同域的數據標準化對齊，得到域不變的特征；其中，利用批歸一化層的每條分支標準化對齊來自某一特定域的數據；將每條分支標準化對齊后的數據進行聚合，得到域不變的特征；

所述域不變的特征的表達式為：

式中，x為來自某一域的數據，g_k表示門控子網絡預測的x屬于第k個域的置信度，為第k條分支標準化對齊后的數據。

根據本發明實施例提供的第二方面，提供一種自動駕駛訓練裝置，包括處理器和存儲器，所述處理器讀取所述存儲器中的計算機程序，用于執行以下操作：

利用來自不同域的對抗樣本對門控批歸一化模塊進行訓練，所述對抗樣本為影響自動駕駛車輛識別圖像的干擾因素；

預測神經網絡中對應前一層輸出數據所屬的域；