1.面向深度学习模型对抗攻击的拟态防御方法，包括以下步骤：

1)准备对抗样本；

对训练数据集使用多种攻击方法生成对抗样本S，采用的生成对抗样本方法有FGSM、JSMA、迭代计算法以及图像旋转等等；将使用不同攻击方法生成的对抗样本分批保存，攻击模型用A表示；

2)训练对抗样本检测器，过程如下：

2.1)将每个对抗样本分成8×8个互相没有交叉和重叠的图像块(batch)，并为补丁提取重采样特征，然后将从图像中提取的重采样特征按顺序输入到GRU网络中；

2.2)使用卷积层来设计编码器，对原图进行编码过滤，每个编码器的基本构建块使用卷积、池、和激活函数；为每个编码器使用剩余单元，剩余块使用无参连接；编码器中的每个剩余单元生成一组特征映射；在每个卷积层使用批量标准化；批处理归一化对协方差漂移具有较强的鲁棒性；选择Relu激活函数max(0,x)用在每个剩余单元的末尾来减小特征图的大小；

2.3)将2.1)的特征映射经两层卷积与原图经2.2)输出的特征值进行融合；再采用解码器对上一层学到的特征图进行上采样，然后进行卷积运算和批处理归一化；解码器网络采用3×3大小的内核，第一层和第二层分别使用64和16个特征图；最后，利用两幅热图对解码器网络末端的操纵类和非操纵类进行了预测；在网络的最后，得到了更精细的空间图表示，显示了图像中被攻击的区域；

3)检测对抗样本；

3.1)将用于检测的图片x输入到对抗样本检测器即1)中的模型，根据最终输出结果判断是否有对抗扰动；

3.2)根据检测结果，对样本进行分类；计算分类样本x被分成各类的次数，将被分类结果次数最多的类型作为图像检测的分类结果，即CL(x)＝max{n(cl1),n(cl2),...,n(cln)}，其中CL(x)检测样本的分类结果，n(cl1)表示检测样本被判为第1类攻击的次数，cl1表示被分为1类；

4)防御对抗扰动，具体如下：

4.1)主动防御对抗扰动；

4.1.1)首先是选取模型，选用AlexNet模型，AlexNet模型的一个优点是使用了LRN创新层，局部响应归一化借鉴侧抑制的思想实现局部抑制，使得响应比较大的值相对更大，提高了模型的泛化能力；LRN只对数据相邻区域做归一化处理，不改变数据的大小和维度；

AlexNet还应用了重叠池化Overlapping，在fc6、fc7全连接层引入了dropout的功能；

4.1.2)对卷积层使用的过滤器参数进行调整，使用wix,y,z来表示对于输出单位节点矩i阵的第i个节点，过滤器输入节点(x,y,z)的权重，使用b表示第i个输出节点对应的偏置项参数，单位矩阵中第i个节点的取值g(i)为：其中ax,y,z为过滤器中节点(x,y,z)的取值，f为激活函数；

为使该模型有自动防御功能，给权重wix,y,z加上一个扰动S，A为wix,y,z的权重，S为扰动变量，加扰动后单位矩阵中第i个节点的取值g′(i)为：其中A指定值为0.5，S为扰动变量，根据检测到对抗样本的变化而自动调整，对新型攻击方法同样适用；

4.1.3)输出层采用全连接层，输出为y1,y2,y3,...,yn，然后经softmax回归处理之后再输出，softmax函数为：其中，yi为经过全连接层的输出值；

4.2)被动防御对抗扰动；

若被检测图像存在被添加扰动的倾向，则对检测器参数进行更改；给GRU网络添加扰动，并使用正则化使结果更平滑，同时外加Fast R-CNN模型并对模型进行优化；此时整个网络的损失函数包括两部分Lcls和Lloc,分别对应分类的损失和回归的损失；分类的输出是q(q0,q1,......,qn),共n个类，回归的输出是一个四元组分类的损失和回归的损失分别为：

Lcls(q,u)＝-logqu          (4)

其中u是真实类别，v是真实的平移缩放参数，q为分类的输出，zu是回归的输出；

通过给FastR-CNN模型添加扰动减小损失来达到有效防御；加扰动之后的输出为：fi(xi,θi)＝xi-θi+log2(axi+bθi)       (6)其中xi[x1,x2,......,xk]为输入图像像素值，θi[θ1,θ2,......,θk]是输出像素值，a和b为训练得到的优化参数。