CN115546003B 基于对抗训练网络的后门水印图像数据集生成方法 （西安电子科技大学）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN115546003B(45)授权公告日2025.07.04

(21)申请号202211242857.5

(22)申请日2022.10.11

(65)同一申请的已公布的文献号申请公布号CN115546003A

(43)申请公布日2022.12.30

(73)专利权人西安电子科技大学

地址710071陕西省西安市太白南路2号

(72)发明人朱笑岩谢雨欣马建峰韩雪雪张琳杰

(74)专利代理机构陕西电子工业专利中心

61205

专利代理师田文英王品华

(51)Int.CI.

GO6T1/00(2006.01)

GO6N3/045(2023.01)

GO6N3/0475(2023.01)

GO6N3/094(2023.01)

GO6N3/084(2023.01)

(56)对比文件

CN110097103A,2019.08.06

CN111598761A,2020.08.28

审查员张盈利

权利要求书2页说明书5页附图1页

(54)发明名称

基于对抗训练网络的后门水印图像数据集生成方法

(57)摘要

CN115546003B本发明公开了一种基于对抗训练网络的后门水印图像数据集生成方法。该方法是通过分别构建生成器网络和鉴别器网络，并对两个网络进行对抗训练，得到的图片样本被鉴别器以50%的概率判定为真实图片样本，以50%的概率判定为生成器生成的假样本，使得本发明的后门水印图像数据集与真实图片样本集统计分布相似，不易被攻击者检测到，具有隐蔽性较强的优点；同时，本发明的后门水印图像数据集修改生成器网络生成的所有假样本的标签，没有引入无效或者错误特征，不会影响图像分类模型在原始任务上的

CN115546003B

度。

构建生成器网络

构建生成器网络

构建鉴别器网络

生成图片样本集和噪声样本集

对生成器网络和鉴别器网络进行对抗训练

生成后门水印图像数据集

CN115546003B权利要求书1/2页

2

1.一种基于对抗训练网络的后门水印图像数据集生成方法，其特征在于，分别构建生成器网络和鉴别器网络，对生成器网络和鉴别器网络进行对抗训练，生成后门水印图像数据集，该方法的步骤包括如下：

步骤1,构建生成器网络：

构建一个由5个全连接层级联的生成器网络，将第一至第五全连接层的输入神经元个数依次设置为100,128,256,512,1024,输出神经元个数依次设置为128,256,512,1024,784;第一至第四全连接层的激活函数均采用Relu函数实现，第五全连接层的激活函数采用tanh函数实现；

步骤2,构建鉴别器网络：

构建一个由3个全连接层级联的鉴别器网络，将第一至第三全连接层的输入神经元个数依次设置为784,512,256,输出神经元个数依次设置为512,256,1;第一，第二全连接层的激活函数均采用Relu函数实现，第三全连接层的激活函数采用Sigmoid函数实现；

步骤3,生成图片样本集和噪声样本集：

步骤3.1,将包含C个目标类别的N幅图像中的一半图像及其标签组成图片样本集，其中，C≥2,N≥2000;

步骤3.2,随机生成符合高斯分布的包含有m个噪声的噪声样本集，每个噪声样本的维度为100,其中，m的取值与N相同；

步骤4,对生成器网络和鉴别器网络进行对抗训练：

步骤4.1,将噪声样本集输入到生成器网络中，通过生成器网络对每个噪声样本进行非线性映射，将映射后的所有噪声样本组成假样本集；将假样本集输入到鉴别器网络中，输出每个假样本的预测值；将图片样本集输入到鉴别器网络中，输出每个图片样本的预测值；

步骤4.2,计算所有噪声样本输入到生成器网络后输出的噪声样本平均损失值，计算所有图片样本和所有假样本输入到鉴别器网络后输出的样本平均损失值，分别计算生成器网络和鉴别器网络损失函数的梯度，采用梯度下降算法，对生成器网络和鉴别器网络的参数进行交替更新，直至噪声样本平均损失值和样本平均损失值均不再变化为止，得到训练好的生成器网络和鉴别器网络；

步骤5,生成后门水印图像数据集：

修改生成器网络和鉴别器网络均训练好时生成器网络输出的每个假样本的标签，将所有的假样本及其修改后的标签组成