一种基于固定像素点获取低频信息的对抗样本防御方法与流程.docx

本文介绍了一种针对对抗样本防御的方法，主要应用于深度学习领域，特别是卷积神经网络（CNN）的安全性和鲁棒性增强。对抗样本是指通过微小扰动使得原本能正确分类的图像被模型错误分类的特殊样本，对AI系统的安全性构成威胁。 该方法的核心是通过固定像素点提取图像的低频信息，利用两个卷积神经网络（CNN）模型分别处理高频和低频信息，以提高模型的鲁棒性和准确性。具体流程如下： 1. 压缩原始图像，将相邻的4个像素点压缩为1个像素点，形成第一低频信息图像。这种压缩方式有助于保留图像的基本结构，同时减少高频噪声。 2. 接着，设定两个相同的CNN模型，第一个模型（第一卷积神经网络）用于处理未压缩的原始图像，侧重利用高频信息；第二个模型（其次卷积神经网络）则对第一低频信息图像进行训练，专门捕捉低频信息。 3. 当面临对抗样本时，第一卷积神经网络对对抗样本进行识别，其次卷积神经网络则处理提取出的低频信息图像。 4. 结合两个模型的识别结果，通过比较对抗样本的扰动值（ε）与预设阈值，确定最终的识别结果。若扰动值较大，使用其次卷积神经网络的结果；反之，采用第一卷积神经网络的结果。 5. 在生成对抗样本时，根据公式θ, x, x', y, j()和∇_xj()，调整扰动值ε，以创建不同强度的对抗样本。 6. 在实践中，两个模型都采用了Lenet这样的基础卷积神经网络架构。 这种方法的优势在于，对于扰动较小的对抗样本，第一卷积神经网络对高频信息的敏感性使其识别结果更可靠；而对于高扰动的对抗样本，其次卷积神经网络对高频扰动不敏感，能提供更准确的识别。通过两者的结合，整体防御性能得到提升，增强了模型在对抗样本攻击下的鲁棒性。 总结起来，该方法通过固定像素点提取低频信息，结合两个CNN模型分别处理高频和低频信息，提高了深度学习模型对抗对抗样本的能力，从而提升了模型的稳定性和安全性，尤其适用于人脸识别、目标检测和自动驾驶等对模型鲁棒性要求高的应用场景。