对抗训练方法和系统

1.本技术涉及神经网络的技术领域，具体涉及一种对抗训练方法和系统。


背景技术：

2.对抗攻击是指通过对原始输入数据进行有意义的修改，使得机器学习模型对其进行错误分类的攻击方式。基于这个特点，对抗攻击常常出现在图像识别的领域中。对抗攻击的出现不仅损害了模型的可靠性和安全性，也影响了机器学习在实际应用中的可靠性。因此，对于对抗攻击的防御显得尤为重要。
3.目前，最常用的防御方式通过对深度模型进行对抗训练，在训练数据中加入对抗样本，使得深度模型在训练过程中可以学习到对抗样本的特征，从而提高深度模型的鲁棒性。
4.然而，在相关技术中往往不能判断输入图像是否为对抗样本，从而导致深度模型出现误判的情况。


技术实现要素：

5.本技术提供了一种对抗训练方法和系统。通过将待检测图像与预设对抗样本库中的图像进行相似度计算，从而确定出待检测图像是否为对抗样本，以便于后续采取针对对抗样本的防御措施，进而减少深度模型出现误判的情况。
6.第一方面，本技术提供了一种对抗训练方法，应用于服务器，所述方法包括：获取待检测图像；采用相似度算法对所述待检测图像与第一图像进行计算，得到所述待检测图像与所述第一图像的相似度值，所述第一图像为预设对抗样本库中任意一张图像，所述预设对抗样本库包括多张经过攻击处理的图像；当所述相似度值大于或等于预设相似度值时，确定所述待检测图像为对抗样本。
7.通过采用上述技术方案，基于相似度算法，将待检测图像与预设对抗样本库中的图像进行相似度比较，当相似度值大于或等于预设相似度值时，确定待检测图像为对抗样本。在这个过程中，不需要重新训练模型或者重新设计模型结构，而是通过在服务器端对输入图像进行检测的方式，可以快速、有效地检测对抗样本。从而可以在不影响深度模型性能的情况下，提高深度模型的鲁棒性和安全性，减少对抗攻击对深度模型的威胁。
8.第二方面，本技术提供一种对抗训练装置，所述装置为服务器，所述服务器包括获取模块与处理模块，其中，所述获取模块，用于获取待检测图像；所述处理模块，用于采用相似度算法对所述待检测图像与第一图像进行计算，得到所述待检测图像与所述第一图像的相似度值，所述第一图像为预设对抗样本库中任意一张图像，所述预设对抗样本库包括多张经过攻击处理的图像；当所述相似度值大于或等于预设相似度值时，确定所述待检测图像为对抗样本。
9.通过采用上述技术方案，该装置基于相似度算法，将待检测图像与预设对抗样本库中的图像进行相似度比较，当相似度值大于或等于预设相似度值时，确定待检测图像为
对抗样本。在这个过程中，不需要重新训练模型或者重新设计模型结构，而是通过在服务器端对输入图像进行检测的方式，可以快速、有效地检测对抗样本。从而可以在不影响深度模型性能的情况下，提高深度模型的鲁棒性和安全性，减少对抗攻击对深度模型的威胁。
10.可选的，处理模块用于将所述待检测图像进行灰度处理，得到灰度图像；获取所述灰度图像的像素平均值；将所述灰度图像中的每一点的像素与所述像素平均值进行比较，得到所述待检测图像的特征序列；将所述待检测图像的特征序列与所述第一图像的特征序列进行比较，得到所述待检测图像与所述第一图像的相似度值。
11.通过采用上述技术方案，通过对待检测图像进行灰度处理，获取像素平均值，并将每一点的像素与平均值进行比较，得到待检测图像的特征序列。然后将待检测图像的特征序列与预设对抗样本库中的图像的特征序列进行比较，得到相似度值。此时，不需要复杂的模型或者大量的计算资源，可以在较短时间内完成对待检测图像的判断，从而提高了相似度值的计算效率。
12.可选的，所述获取待检测图像之前，还包括：处理模块用于将初始待检测图像进行基波变换，得到初始待检测图片的第一频域数列；将所述第一频域数列中的低频系数进行保留，其余系数置0，得到第二频域数列；将所述第二频域数列进行逆基波变换，生成第二图像；将所述第二图像作为所述待检测图像。
13.通过采用上述技术方案，将初始待检测图像进行基波变换，并将第一频域数列中的低频系数保留，其余系数置0，再进行逆基波变换，可以实现对图像的降噪和平滑处理，从而提高对抗检测的准确性和鲁棒性。
14.可选的，所述确定所述待检测图像为对抗样本之后，还包括：获取模块用于从预设样本类型库中获取所述待检测图像对应的第一图像类型；当所述第一图像类型与预设图像类型一致时，则处理模块用于将所述待检测图像进行拦截并加入黑名单。
15.通过采用上述技术方案，通过从预设样本类型库中获取待检测图像对应的第一图像类型，并将其与预设图像类型进行比较，可以判断待检测图像的类型是否与预设类型一致。如果一致，则说明该对抗样本是有害的，从而及时对待检测图像进行拦截，防止有害的待检测图像流入公众视野中。
16.可选的，获取模块用于获取多张原始图像；处理模块用于将第三图像发送输入至图像分类模型中，得到所述第三图像对应的错误类型，所述第三图像为所述多张原始图像中任意一张图像；获取模块用于获取所述第三图像的正确类型；将所述第三图像、所述第三图像的正确类型以及所述第三图像的错误类型构建为对应关系，并将所述对应关系存储至预设样本类型库中。
17.通过采用上述技术方案，将多张原始图像中任意一种图像作为第三图像输入至图像分类模型中，从而得到第三图像对应的错误类型，再将第三图像、正确类型以及错误类型构建为对应关系；从而便于服务器更加快速的得到待检测图片的正确类型，并且提高了检测的准确性。
18.可选的，所述从预设样本类型库中获取所述待检测图像对应的第一图像类型，具体为：处理模块用于将所述待检测图像与第四图像进行比较，所述第四图像为预设样本类型库中任意一张图像；若所述待检测图像与所述第四图像的相似度值大于预设相似度值时，确定所述待检测图像的错误类型；基于所述错误类型从所述预设样本类型库中查询所
述待检测图像的正确类型。
19.通过采用上述技术方案，服务器首先将待检测图像和样本类型库中的图像进行比较，从而得到与待检测图像相似度较高的第四图像；再根据第四图像在预设样本类型库中的对应关系，从而得到待检测图像对应的正确类型；在这个过程中，不仅提高了图像类型查询的准确性，还提高了图像类型查询的效率。
20.可选的，所述将所述待检测图像进行拦截并加入黑名单之后，还包括：获取模块用于从预设样本类型库中获取所述待检测图像对应的第二图像类型；若所述第二图像类型与所述第一图像类型不一致时，处理模块用于将所述待检测图像发送至用户设备，以使用户设备对应的用户判断所述待检测图像的正确类别。
21.通过采用上述技术方案，通过对待检测图像再次进行检测，得到第二图像类型；若第二图像类型与第一图像类型不一致，则可以确定待检测图像对应图像类型存在争议；此时，通过人工介入的方式，重新确定待检测图像的图像类型，从而避免因服务器的误判而导致违规图像通过检测。
22.第三方面，本技术提供了一种电子设备，包括处理器、存储器、用户接口及网络接口，所述存储器用于存储指令，所述用户接口和网络接口用于给其他设备通信，所述处理器用于执行所述存储器中存储的指令，以使所述电子设备执行如第一方面中任意一项所述的方法。
23.第四方面，本技术提供了一种计算机可读存储介质，所述计算机可读存储介质存储有指令，当所述指令被执行时，执行如第一方面中任意一项所述的方法。
24.综上所述，本技术实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：1、基于相似度算法，将待检测图像与预设对抗样本库中的图像进行相似度比较，当相似度值大于或等于预设相似度值时，确定待检测图像为对抗样本。在这个过程中，不需要重新训练模型或者重新设计模型结构，而是通过在服务器端对输入图像进行检测的方式，可以快速、有效地检测对抗样本。从而可以在不影响深度模型性能的情况下，提高深度模型的鲁棒性和安全性，减少对抗攻击对深度模型的威胁；2、通过对待检测图像进行灰度处理，获取像素平均值，并将每一点的像素与平均值进行比较，得到待检测图像的特征序列。然后将待检测图像的特征序列与预设对抗样本库中的图像的特征序列进行比较，得到相似度值。此时，不需要复杂的模型或者大量的计算资源，可以在较短时间内完成对待检测图像的判断，从而提高了相似度值的计算效率。
附图说明
25.图1是本技术实施例提供的一种对抗训练方法的流程示意图。
26.图2是本技术实施例提供的一种待检测图像预处理的流程示意图。
27.图3是本技术实施例提供的一种待检测图像相似度计算的可视化示意图。
28.图4是本技术实施例提供的另一种对抗训练方法的流程示意图。
29.图5是本技术实施例提供的一种对抗训练装置的结构示意图。
30.图6是本技术实施例的公开的一种电子设备的结构示意图。
31.附图标记说明：1、获取模块；2、处理模块；600、电子设备；601、处理器；602、通信总
线；603、用户接口；604、网络接口；605、存储器。
具体实施方式
32.为了使本领域的技术人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。
33.在本技术实施例的描述中，“例如”或者“举例来说”等词用于表示作例子、例证或说明。本技术实施例中被描述为“例如”或者“举例来说”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“例如”或者“举例来说”等词旨在以具体方式呈现相关概念。
34.在本技术实施例的描述中，术语“多个”的含义是指两个或两个以上。例如，多个系统是指两个或两个以上的系统，多个屏幕终端是指两个或两个以上的屏幕终端。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。
35.对抗攻击是指通过对原始输入数据进行有意义的修改，使得机器学习模型对其进行错误分类的攻击方式。基于这个特点，对抗攻击常常出现在图像识别的领域中。对抗攻击的出现不仅损害了模型的可靠性和安全性，也影响了机器学习在实际应用中的可靠性。因此，对于对抗攻击的防御显得尤为重要。目前，最常用的防御方式通过对深度模型进行对抗训练，在训练数据中加入对抗样本，使得深度模型在训练过程中可以学习到对抗样本的特征，从而提高深度模型的鲁棒性。然而，在相关技术中往往不能判断输入图像是否为对抗样本，从而导致深度模型出现误判的情况。
36.为了解决上述问题，本技术提供一种对抗训练方法，需要进行说明的是，在一些实施例中，本技术中的对抗训练方法也可以被称为一种对抗攻击防御方法，此处不做限定。该方法应用于服务器，如图1所示，该方法包括步骤s101至步骤s103。
37.s101、获取待检测图像。
38.具体地，待检测图像可以理解为用户上传的图像，由于服务器在获取待检测图像之前，并不知道待检测图像是否为经过修改后的对抗样本。因此服务器需要将待检测图像进行预处理。预处理的步骤具体为：首先对初始待检测图像进行基波变换，从而将初始待检测图像以频域形式进行表现。其中，基波变换可采用离散余弦变换算法或者离散傅里叶变换算法。此时，服务器可获取初始待检测图像的第一频域数列；由于对抗攻击通常会对高频系数部分进行篡改，因此将第一频域数列中的低频系数进行保留，将其余系数置0，从而得到第二频域数列；在第二频域数列中，由于受到篡改的高频系数部分被置为0，因此，初始待检测图像此时更加接近与原始图像，从而提高了图像识别的准确度。最后，再将第二频域数列进行逆基波变换，得到第二图像。再将第二图像作为待检测图像，从而降低了对抗攻击给服务器图像识别带来的干扰。最后，服务器获取经过预处理后的待检测图像。
39.举例来说，如图2所示，图2中的a图为初始待检测图像的频域形式的频域矩阵。该频域矩阵为6x6的频域矩阵。由于待检测图像由时域空间转换为频域空间的过程中低频系
数通常分布在左上角，高频系数通常分布在右下角。因此，如图2中b图所示，将低频系数进行保留，其余系数置0。最后将b图中的频域矩阵进行逆基波变换，生成第二图像。此时，将第二图像作为待检测图像。
40.s102、采用相似度算法对待检测图像与第一图像进行计算，得到待检测图像与第一图像的相似度值，第一图像为预设对抗样本库中任意一张图像，预设对抗样本库包括多张经过攻击处理的图像。
41.具体地，将待检测图像输入至预设对抗样本库中；此时，服务器将待检测图像进行灰度处理，得到灰度图像。其中，灰度处理可以理解为将彩色图像中的每一个像素的rgb值进行加权平均，得到一个灰度值，一个像素点对应一个灰度值；通过灰度处理可以将彩色图像中每个像素点的颜色转换为灰度值。然后计算灰度图像的像素平均值，即将所有像素点的灰度值求平均值得到像素平均值。将灰度图像中的每一点的像素与像素平均值进行比较，根据比较结果生成特征序列。其中，大于或等于像素平均值的像素点的特征序列置为1，小于像素平均值的像素点置为0。最后将待检测图像的特征序列与预设对抗样本库中第一图像的特征序列进行对比，从而得到待检测图像与第一图像的相似度值。其中，相似度值计算方式为特征序列相同位数与特征序列总位数的比值。例如，若待检测图像的特征序列为10111，第一图像的特征序列为10110，则可以看出待检测图像的特征序列与第一图像的特征序列相同位数有4位。则相似度值为80%。
42.举例来说，如图3所示，当待检测图像的像素大小为4x4时。如图3中a图所示，该图为待检测图像经灰度处理后的灰度图像，其中，每个数值均表示一个像素点的灰度值。根据图中16个灰度值得到待检测图像的像素平均值，在本实施例中，像素平均值为118。如图3中b图所示，再将16个像素点的像素逐一与像素平均值进行比较，得到每个像素点的特征值。如图3中c图所示，将大于或等于0的特征值置为1，将小于0的特征值置为0，得到待检测图像的特征序列。如图3中d图所示将待检测图像的特征序列与第一图像的特征序列进行对比，得到相似度值为87.5%。
43.s103、当相似度值大于或等于预设相似度值时，确定待检测图像为对抗样本。
44.具体地，当待检测图像与第一图像的相似度值大于预设相似度值时，则说明待检测图像存在已经被修改的可能。因此，从而确定待检测图像为对抗样本。其中，预设相似度值优选为85%。
45.在一种可能的实施方式中，在确定待检测图像为对抗样本后，还需要确定待检测图像的图像类型，从而进一步确定待检测图像是否违规。如图4所示，该方法包括步骤s201至步骤s202。
46.s201、从预设样本类型库中获取待检测图像对应的第一图像类型。
47.具体地，预设样本类型库可以理解为用于确定待检测图像对应图像类型的数据库。其中，预设样本类型库的构建方式为：首先获取多种原始图像，其中，原始图像的获取来源可以为网页、用户上传的图像等。然后将多种原始图像中任意原始图像作为第三图像，将第三图像输入预先训练好的图像分类模型中，得到第三图像对应的错误类型。其中，图像分类模型可以理解为用于对图像进行分类和识别的深度模型。该模型通常基于深度学习算法进行构建，在此不做限定；确定第三图像对应的错误类型后，获取用户预先输入的正确类型。简单来说，若第三图像实际是一只猫，但将第三图像输入至图像分类模型后，输出的图
像为一只狗；则此时正确类型为猫，错误类型为狗。最后，服务器将第三图像、第三图像对应的正确类型以及第三图像对应的错误类型构建为对应关系，并存储至预设样本类型库；采用上述同样的步骤，将多张原始图像、多张原始图像各对应的正确类型以及多张原始图像各对应的错误类型的对应关系共同构建为预设样本类型库。
48.因此，根据预设样本类型库中存储的对应关系，将待检测图像输入至预设样本类型库中。此时，服务器将待检测图像与预设样本类型库中的任意一张图像进行比较，计算它们的相似度值。如果相似度值大于或等于预设相似度值，就认为待检测图像属于与第四图像相同的类型。如果待检测图像与第四图像的相似度值小于预设相似度值，就认为待检测图像与第四图像不是相同的类型。基于待检测图像的错误类型，从预设样本类型库中查询该类型的正确类型。
49.举例来说，若待检测图像的图像类型实际为暴力图像，但服务器将待检测图像与预设样本类型库中的图像进行比较后，确定待检测图像与动物图像的相似度值大于预设相似度值，从而确定出待检测图像的图像类型为动物类型。但实际上待检测图像并不是动物类型。此时，动物类型为错误类型，再根据错误类型与正确类型的对应关系，从而确定动物类型对应的正确类型为暴力类型，即确定待检测图像的正确图像类型为暴力类型。
50.s202、当第一图像类型与预设图像类型一致时，则将待检测图像进行拦截并加入黑名单。
51.具体地，预设图像类型可以理解为违规的图像类型，例如，涉黄类型、暴力类型以及血腥类型等。当待检测图像的类型与预设图像类型一致时，则说明待检测图像为违规图像。此时，为了防止违规图像流入公众，将待检测图像进行拦截并加入黑名单。
52.在一种可能的实施方式中，将待检测图像进行拦截并加入黑名单之后，还包括：从预设样本类型库中获取待检测图像对应的第二图像类型；若第二图像类型与第一图像类型不一致时，将待检测图像发送至用户设备，以使用户设备对应的用户判断待检测图像的正确类别。
53.具体地，第二图像类型可以理解为待检测图像在重新进行图像分类后确定的图像类型。此时，服务器将第二图像类型与第一图像类型进行比较，若地热图像类型与第一图像类型不一致，则说明第一次图像分类并不准确。此时，服务器将待检查图像发送至工作人员的用户设备，以使工作人员判断待检测图像的正确类型，从而避免因服务器的误判而导致违规图像通过检测。
54.本技术还提供一种对抗训练装置，该装置为服务器，如图5所示，服务器包括获取模块1和处理模块2，其中，获取模块1，用于获取待检测图像；处理模块2，用于采用相似度算法对待检测图像与第一图像进行计算，得到待检测图像与第一图像的相似度值，第一图像为预设对抗样本库中任意一张图像，预设对抗样本库包括多张经过攻击处理的图像；当相似度值大于或等于预设相似度值时，确定待检测图像为对抗样本。
55.在一种可能的实施方式中，处理模块2用于将待检测图像进行灰度处理，得到灰度图像；获取灰度图像的像素平均值；将灰度图像中的每一点的像素与像素平均值进行比较，得到待检测图像的特征序列；将待检测图像的特征序列与第一图像的特征序列进行比较，
processing unit，cpu）、图像处理器（graphics processing unit，gpu）和调制解调器等中的一种或几种的组合。其中，cpu主要处理操作系统、用户界面和应用程序等；gpu用于负责显示屏所需要显示的内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器601中，单独通过一块芯片进行实现。
67.其中，存储器605可以包括随机存储器（random access memory，ram），也可以包括只读存储器（read-only memory）。可选的，该存储器605包括非瞬时性计算机可读介质（non-transitory computer-readable storage medium）。存储器605可用于存储指令、程序、代码、代码集或指令集。存储器605可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令（比如触控功能、声音播放功能、图像播放功能等）、用于实现上述各个方法实施例的指令等；存储数据区可存储上面各个方法实施例中涉及的数据等。存储器605可选的还可以是至少一个位于远离前述处理器601的存储装置。参照图6，作为一种计算机存储介质的存储器605中可以包括操作系统、网络通信模块、用户接口模块以及一种对抗训练方法的应用程序。
68.在图6所示的电子设备600中，用户接口603主要用于为用户提供输入的接口，获取用户输入的数据；而处理器601可以用于调用存储器605中存储一种对抗训练方法的应用程序，当由一个或多个处理器601执行时，使得电子设备600执行如上述实施例中一个或多个所述的方法。需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本技术所必需的。
69.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
70.在本技术所提供的几种实施方式中，应该理解到，所披露的装置，可通过其他的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些服务接口，装置或单元的间接耦合或通信连接，可以是电性或其他的形式。
71.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
72.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
73.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储器中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干指令用以使得一台计算机设备（可为
个人计算机、服务器或者网络设备等）执行本技术各个实施例方法的全部或部分步骤。而前述的存储器包括：u盘、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
74.以上所述者，仅为本公开的示例性实施例，不能以此限定本公开的范围。即但凡依本公开教导所作的等效变化与修饰，皆仍属本公开涵盖的范围内。本领域技术人员在考虑说明书及实践真理的公开后，将容易想到本公开的其他实施方案。
75.本技术旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的范围和精神由权利要求限定。

技术特征：
1.一种对抗训练方法，其特征在于，应用于服务器，所述方法包括：获取待检测图像；采用相似度算法对所述待检测图像与第一图像进行计算，得到所述待检测图像与所述第一图像的相似度值，所述第一图像为预设对抗样本库中任意一张图像，所述预设对抗样本库包括多张经过攻击处理的图像；当所述相似度值大于或等于预设相似度值时，确定所述待检测图像为对抗样本。2.根据权利要求1所述的方法，其特征在于，所述采用相似度算法对所述待检测图像与第一图像进行计算，得到所述待检测图像与所述第一图像的相似度值，具体为：将所述待检测图像进行灰度处理，得到灰度图像；获取所述灰度图像的像素平均值；将所述灰度图像中的每一点的像素与所述像素平均值进行比较，得到所述待检测图像的特征序列；将所述待检测图像的特征序列与所述第一图像的特征序列进行比较，得到所述待检测图像与所述第一图像的相似度值。3.根据权利权利要求1所述的方法，其特征在于，所述获取待检测图像之前，还包括：将初始待检测图像进行基波变换，得到初始待检测图片的第一频域数列；将所述第一频域数列中的低频系数进行保留，其余系数置0，得到第二频域数列；将所述第二频域数列进行逆基波变换，生成第二图像；将所述第二图像作为所述待检测图像。4.根据权利要求1所述的方法，其特征在于，所述确定所述待检测图像为对抗样本之后，还包括：从预设样本类型库中获取所述待检测图像对应的第一图像类型；当所述第一图像类型与预设图像类型一致时，则将所述待检测图像进行拦截并加入黑名单。5.根据权利要求1所述的方法，其特征在于，所述从预设样本类型库中获取所述待检测图像对应的第一图像类型之前，所述预设样本类型库的构建方法具体为:获取多张原始图像；将第三图像发送输入至图像分类模型中，得到所述第三图像对应的错误类型，所述第三图像为所述多张原始图像中任意一张图像；获取所述第三图像的正确类型；将所述第三图像、所述第三图像的正确类型以及所述第三图像的错误类型构建为对应关系，并将所述对应关系存储至预设样本类型库中。6.根据权利要求5所述的方法，其特征在于，所述从预设样本类型库中获取所述待检测图像对应的第一图像类型，具体为：将所述待检测图像与第四图像进行比较，所述第四图像为预设样本类型库中任意一张图像；若所述待检测图像与所述第四图像的相似度值大于预设相似度值时，确定所述待检测图像的错误类型；基于所述错误类型从所述预设样本类型库中查询所述待检测图像的正确类型。
7.根据权利要求4所述的方法，其特征在于，所述将所述待检测图像进行拦截并加入黑名单之后，还包括：从预设样本类型库中获取所述待检测图像对应的第二图像类型；若所述第二图像类型与所述第一图像类型不一致时，将所述待检测图像发送至用户设备，以使用户设备对应的用户判断所述待检测图像的正确类别。8.一种对抗攻击防御装置，其特征在于，所述装置为服务器，所述服务器包括获取模块(1)与处理模块(2)，其中，所述获取模块(1)，用于获取待检测图像；所述处理模块(2)，用于采用相似度算法对所述待检测图像与第一图像进行计算，得到所述待检测图像与所述第一图像的相似度值，所述第一图像为预设对抗样本库中任意一张图像，所述预设对抗样本库包括多张经过攻击处理的图像；当所述相似度值大于或等于预设相似度值时，确定所述待检测图像为对抗样本。9.一种电子设备，其特征在于，包括处理器(601)、存储器(605)、用户接口(603)及网络接口(604)，所述存储器(605)用于存储指令，所述用户接口(603)和网络接口(604)用于给其他设备通信，所述处理器(601)用于执行所述存储器(605)中存储的指令，以使所述电子设备(600)执行如权利要求1至7任意一项所述的方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有指令，当所述指令被执行时，执行如权利要求1至7任意一项所述的方法。

技术总结
本申请提供一种对抗训练方法和系统。涉及神经网络的技术领域。所述方法应用于服务器，所述方法包括：获取待检测图像；采用相似度算法对所述待检测图像与第一图像进行计算，得到所述待检测图像与所述第一图像的相似度值，所述第一图像为预设对抗样本库中任意一张图像，所述预设对抗样本库包括多张经过攻击处理的图像；当所述相似度值大于或等于预设相似度值时，确定所述待检测图像为对抗样本。通过将待检测图像与预设对抗样本库中的图像进行相似度计算，从而确定出待检测图像是否为对抗样本，以便于后续采取针对对抗样本的防御措施，进而减少深度模型出现误判的情况。进而减少深度模型出现误判的情况。进而减少深度模型出现误判的情况。


技术研发人员：薛陶涛 殷光强 王治国 李超 刘学婷 周松
受保护的技术使用者：电子科技大学（深圳）高等研究院
技术研发日：2023.04.07
技术公布日：2023/8/9