(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210317095.4 (22)申请日 2022.03.29 (71)申请人 清华大学 地址 100084 北京市海淀区清华园 (72)发明人 李兆麟　范仁昊　庞猛　 (74)专利代理 机构 北京华进京联知识产权代理 有限公司 1 1606 专利代理师 颜潇 (51)Int.Cl. G06V 10/774(2022.01) G06V 10/80(2022.01) G06V 10/82(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 对抗样本检测方法、 装置、 计算机设备和存 储介质 (57)摘要 本申请涉及一种对抗样本检测方法、 装置、 计算机设备和存储介质。 方法包括： 获取当前图 像数据和异构融合网络结构； 当前图像数据为自 动驾驶车辆周围环境的 图像数据， 异构融合网络 结构包括卷积神经网络、 攻击信息提取网络、 以 及攻击信息检测 网络； 将当前图像数据， 输入卷 积神经网络， 得到卷积神经网络包含的各池化层 输出的图像特征数据； 将各池化层的图像特征数 据， 输入攻击信息提取网络， 得到融合攻击信息； 根据融合攻击信息和攻击信息检测网络， 确定融 合攻击信息对应的特征信息， 并在融合攻击信息 与特征信息之间的差异度大于差异度阈值的情 况下， 确定当前图像数据为对抗样本。 采用本方 法能够提升自动驾驶领域的图像识别分类的效 率。 权利要求书2页 说明书14页 附图6页 CN 114648678 A 2022.06.21 CN 114648678 A 1.一种对抗样本检测方法， 其特 征在于， 所述方法包括： 获取当前图像数据和 异构融合网络结构； 所述当前图像数据为自动驾驶车辆周围环境 的图像数据， 所述异构融合网络结构包括卷积神经网络、 攻击信息提取网络、 以及攻击信息 检测网络； 将所述当前图像数据， 输入所述卷积神经网络， 得到所述卷积神经网络包含的各池化 层输出的图像特 征数据； 将各所述池化层的图像特 征数据， 输入所述 攻击信息提取网络， 得到融合 攻击信息； 根据所述融合攻击信 息和所述攻击信 息检测网络， 确定所述融合攻击信 息对应的特征 信息， 并在所述融合攻击信息与所述特征信息之间的差异度大于差异度阈值的情况下， 确 定所述当前图像数据为对抗样本 。 2.根据权利要求1所述的方法， 其特征在于， 所述卷积神经网络包括卷积层； 所述将所 述当前图像数据， 输入所述卷积神经网络， 得到所述卷积神经网络包含的各池化层输出 的 图像特征数据， 包括： 通过所述卷积层， 对所述当前图像数据进行 卷积操作， 得到各 卷积图像特 征数据； 通过所述池化层， 对各所述卷积图像数据进行池化操作， 得到所述当前图像数据对应 的各池化层的图像特 征数据。 3.根据权利要求1所述的方法， 其特征在于， 所述攻击信 息提取网络包括降维层和信 息 融合网络； 所述将各所述池化层的图像特征数据， 输入所述攻击信息提取网络， 得到融合攻 击信息， 包括： 针对每个池化层的图像特征数据， 将所述池化层的图像特征数据， 输入所述池化层对 应的降维层， 进行降维提取操作， 得到所述图像特征数据对应的降维层的攻击信息； 所述降 维层和所述池化层一 一对应； 通过所述信息融合网络， 将各 所述降维层的攻击信息进行拼接， 得到融合 攻击信息 。 4.根据权利要求1所述的方法， 其特征在于， 所述攻击信息检测网络包括编码层、 解码 层和判断层； 所述根据所述融合攻击信息和所述攻击信息检测网络， 确定所述融合攻击信 息对应的特征信息， 并在所述融合攻击信息与所述特征信息之 间的差异度大于差异度阈值 的情况下， 确定所述当前图像数据为对抗样本， 包括： 将所述融合 攻击信息， 输入所述编码层， 得到所述融合 攻击信息的低维流形信息； 通过所述解码层， 将所述低维流形信息映射到原始高维空间， 得到所述融合攻击信息 对应的特 征信息； 所述原 始高维空间为所述融合 攻击信息所处的高维空间； 通过所述判断层， 判断所述融合攻击信 息与所述特征信 息之间的差异度 是否大于差异 度阈值， 在所述融合攻击信息与所述特征信息之间的差异度大于差异度阈值的情况下， 确 定所述当前图像数据为对抗样本 。 5.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 获取常规样本 图像数据、 对抗样本 图像数据和初始异构融合网络结构； 所述常规样本 图像数据为非对抗样本图像数据； 将所述常规样本 图像数据， 输入所述初始异构融合网络结构， 对所述初始异构融合网 络结构进行训练， 得到所述异构融合网络结构； 将所述对抗样本图像数据、 以及所述常规样本图像数据， 分别输入所述卷积神经网络，权　利　要　求　书 1/2 页 2 CN 114648678 A 2得到对抗样本图像数据对应的各池化层的对抗图像特征数据、 以及常规样本图像数据对应 的各池化层的常规图像特 征数据； 将各所述对抗图像特征数据、 以及各所述常规图像特征数据， 分别输入所述攻击信息 提取网络， 得到对抗融合 攻击信息、 以及常规融合 攻击信息； 根据所述对抗融合攻击信 息、 所述常规融合攻击信息、 以及所述攻击信息检测网络， 确 定所述对抗融合攻击信息对应的对抗特征信息、 以及所述常规融合攻击信息对应的常规特 征信息； 根据所述对抗融合攻击信 息与所述对抗特征信 息之间的差异度、 以及所述常规融合攻 击信息与所述常规特 征信息之间的差异度， 确定 差异度阈值。 6.根据权利要求5所述的方法， 其特 征在于， 所述确定 差异度阈值之后， 还 包括： 将各所述对抗图像特征数据、 以及各所述样本 图像特征数据， 分别输入所述攻击信息 提取网络的降维层， 得到各所述对抗图像特征数据对应的降维层的对抗攻击信息、 以及各 所述样本图像特征数据对应的降维层的攻击信息； 所述降维层包含一个对抗攻击信息、 以 及一个样本攻击信息； 在各所述降维层中， 选择同一降维层中的对抗攻击信 息和样本攻击信 息之间的差异度 大于预设差异度的降维层， 作为目标降维层； 根据各所述目标降维层， 确定各目标池化层， 并基于各目标池化层对所述异构融合网 络结构进行优化， 得到优化后的异构融合网络结构。 7.一种对抗样本检测装置， 其特 征在于， 所述装置包括： 第一获取模块， 用于获取当前图像数据和异构融合网络结构； 所述当前图像数据为自 动驾驶车辆周围环境的图像数据， 所述异构 融合网络结构包括卷积神经网络、 攻击信息提 取网络、 以及攻击信息检测网络； 第一卷积模块， 用于将所述当前图像数据， 输入所述卷积神经网络， 得到所述卷积神经 网络包含的各池化层输出的图像特 征数据； 第一提取模块， 用于将各所述池化层的图像特征数据， 输入所述攻击信息提取网络， 得 到融合攻击信息； 第一确定模块， 用于根据所述融合攻击信息和所述攻击信息检测网络， 确定所述融合 攻击信息对应的特征信息， 并在所述融合攻击信息与所述特征信息之 间的差异度大于差异 度阈值的情况 下， 确定所述当前图像数据为对抗样本 。 8.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至 6中任一项所述的方法的步骤。 9.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被 处理器执行时实现权利要求1至 6中任一项所述的方法的步骤。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 该计算机程序被处理器执行 时实现权利要求1至 6中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114648678 A 3