具体实施方式

本发明将对抗性扰动视为一种噪声，提出了一种结合自适应标量量化算法(Adaptive Scalar Quantization，简称ASQ)和快速三维块匹配算法(Fast BlockMatching and 3D Filtering，简称FastBM3D)算法的自适应去噪框架ASQ-FastBM3D。ASQ算法和FastBM3D算法是标量量化和BM3D算法的升级版本。我们的发明可以消除灰度图像中的大多数敌对干扰，例如对于现实生活中的车牌检测，路牌检测等，往往输入的图片噪声很大，这样会导致神经网络将噪声识别为对抗扰动，导致错误的识别结果。通过本发明的算法，可以对输入的图片先进行去噪处理，消除图片中的对抗扰动，再将图片输入至机器学习模型中进行识别，可以提升现实生活中机器学习模型识别的准确率。因此它可以保证机器学习系统的质量。

1、整体架构

本系统共分为四个模块，如图3所示：

·计算图像熵。将图片转换为灰度图，并计算图像的熵值，若熵值大于设定的阈值则说明该图片可能存在对抗扰动，若熵值小于设定的阈值则不进行处理。

·利用自适应标量量化算法对扰动图片进行处理。选取合适的滤波器和滤波函数对图像进行去噪处理。

·利用FastBM3D对图像质量进行优化。

·将图片输入至神经网络中进行处理。

2、计算图像熵

图像熵是一种信息熵，它反映了图像中的平均信息量。对于8位灰度图像，将图像熵定义为等式

p_i表示图像中像素与值i的比例。由于对抗性扰动的本质是噪声，所以加入部分扰动的对抗性例子的熵一般比原始例子的熵大。因此，我们可以设置T_e的阈值，以便对于图像熵值高于T_e的示例，我们对其进行去噪。这使得程序运行更高效。

3、利用自适应标量量化算法(ASQ)对扰动图片进行处理

自适应标量量化的原理是设置卷积滤波器和阈值T_e。然后使用卷积滤波器扫描图像中的每个像素。对于卷积滤波器中的每个像素值x，如果x小于阈值T_e，则直接将其设置为0；如果x大于阈值T_e，它将由过滤函数f(x)计算。

对于过滤函数f(x)，我们提出了三种方法：

(1)均值函数:取卷积滤波器中大于T_e的所有像素值的平均值，并用平均值替换它们。

(2)中值函数：取卷积滤波器中大于T_e的所有像素值的中值，用中值代替。

f(x)＝mid(x)

其中输入的x是所有像素值的有序数组。mid()函数用于查找中值。

(3)最大值函数：取卷积滤波器中所有大于T_e像素值的最大值，并用最大值替换它们。

f(x)＝max(x)

输入的x是所有像素值的有序数组。max()函数用于查找最大值。

阈值T_e和f(x)的选择对于消除敌对干扰和保持图像的原始特征具有重要意义。如果阈值太低，可能无法消除大多数敌对干扰。如果阈值T_e过高，可能会删除大部分关键图像信息，导致分类错误。总之，对于具有明显特征的图像，我们使用阈值T_e和滤波函数f(x)来确保在保留大部分图像特征的同时去除一些扰动。

4、利用FastBM3D对图像质量进行优化

BM3D对灰度图像去噪效果较好，但分组部分和最终估计时间较长，计算效率较低。因此，传统的BM3D算法不适用于实时系统，例如自动驾驶中的车牌识别和交通信号识别。基于这两个原因，本发明对BM3D算法做了两个改进。

(1)由于给定图像的特征是明显的，并且BM3D中的分组操作消耗的时间最长，因此可以减少分组部分中相似块的数目，并且可以增加所选参考块的步长。在减少相似块的数目和增大步长后，去噪效果与原算法相差不大，但去噪效率大大提高。

(2)本发明大胆地从原始的BM3D算法中删除了最终的估计。由于图像特征是明显的，本发明认为量化后的图像仅受BM3D算法的基本估计。

5、将图片输入至神经网络中进行处理

将熵值小于阈值的图片或者利用ASQ-FastBM3D去噪后的图片输入到神经网络中，得出结果进行对比分析。

表1正常图片与对抗样本图片熵值对比

表2不同种类对抗样本的恢复率

表3 ASQ-FastBM3D与其他现有方法的对比效果

本发明最终的实现一个机器学习系统中防御对抗攻击的自适应去噪框架。该系统主要利用自适应标量量化的方法对图片中的对抗扰动进行清除，并利用FastBM3D算法对图片质量进行提升。本发明的流程图见图4，具体实施方式如下：

步骤一:对系统进行初始化工作，设定相应的阈值，滤波函数，滤波器尺寸等；

步骤二:计算输入图片的图像熵，若图像熵大于阈值则进行下一步，否则执行步骤五；

步骤三:利用设置好的标量量化算法对输入图片进行去噪处理；

步骤四:利用FastBM3D算法对图像质量进行提升；

步骤五：将图像输入至神经网络中进行识别。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。