一种分类模型鲁棒性能评估方法技术

本发明专利技术公开了一种分类模型鲁棒性能评估方法，属于计算机软件领域，首先将测试数据输入分类模型，得到所述测试数据的标签；对所述测试数据进行预处理；利用预处理后的测试数据，采用遗传算法生成对抗样本；最后利用所述对抗样本和所述标签对所述分类模型进行评估，得到所述分类模型鲁棒性能的性能指标，本发明专利技术能够针对多种数据如图像，语音，流量，同时只需要模型的输入与标签就能得到评估到模型的鲁棒性能。

A robust performance evaluation method for classification model

The invention discloses a classification model robust performance evaluation method, which belongs to the field of computer software. First, the test data is input into the classification model to obtain the label of the test data; the test data is preprocessed; the test data after preprocessing is used to generate the countermeasure sample by the legacy algorithm; finally, the classification model is generated by the countermeasure sample and the label The performance index of the robust performance of the classification model can be obtained through the evaluation of the model. The invention can be used for a variety of data, such as image, voice, traffic, and at the same time, the robust performance of the model can be evaluated only by the input and label of the model.

【技术实现步骤摘要】
一种分类模型鲁棒性能评估方法
本专利技术涉及计算机软件领域，具体涉及一种分类模型鲁棒性能评估方法。
技术介绍
近年来，深度学习得到了广泛的应用，无论在图像分类，人脸识别，还在语言处理方面都取得了不错的效果。尤其在图像识别上甚至可匹配人类的性能，现有技术已经可以达到99％以上的识别率。然而，大多数研究者更关心模型的性能(如正确率)，却忽略了模型的脆弱性和鲁棒性。国外Szegedy等人在实验中发现通过给图像添加肉眼难以分辨的扰动，使得最终模型无法得到正确的分类结果。随后Szegedy等人提出了使用有约束的L-BFGS算法来计算扰动，Goodfellow等人提出了基于快速梯度符号算法来计算扰动，Papernot等人用一个替代的神经网络来拟合未知的神经网络，然后根据替代的神经网络生成扰动。这些算法都能生成不错的扰动，从而使得模型分类出错，或者分类成攻击者想要的分类。从而可以通过对抗样本来评估模型的鲁棒性，鲁棒性越高则表示对对抗样本的抵抗力越高。但是现有常见的对抗样本生成算法往往只能在白盒模式下生成，需要模型的参数或者梯度，但是模型的参数往往无法获取。
技术实现思路
本专利技术的目的在于：本专利技术提供了一种分类模型鲁棒性能评估方法，解决了在没有分类模型参数或者梯度信息时也能对分类模型鲁棒性进行评估的技术问题。本专利技术采用的技术方案如下：一种分类模型鲁棒性能评估方法，包括以下步骤：步骤1：将测试数据输入分类模型，得到所述测试数据的标签；步骤2：对所述测试数据进行预处理；r>步骤3：利用预处理后的测试数据，采用遗传算法生成对抗样本；步骤4：利用所述对抗样本和所述标签对所述分类模型进行评估，得到所述分类模型鲁棒性能的性能指标。进一步的，所述步骤1中，测试数据包括图片数据、语音数据和网络流数据。进一步的，所述步骤2中预处理具体为：图片数据：采用直方图均衡化进行处理；语音数据：采用min-max标准化进行处理；网络流数据：将连续型特征进行归一化处理。进一步的，所述步骤3中，采用遗传算法生成对抗样本具体步骤如下：步骤31：在预处理后的测试数据上添加扰动参数a，得到改动数据；步骤32：将所述改动数据输入所述分类模型，得到分类结果；步骤33：利用所述分类结果构造所述遗传算法的目标函数；步骤34：利用遗传算法对所述改动数据求解最优解，更新所述扰动参数a，重复步骤31-34，直到迭代次数到达与预设值，结束对抗样本生成流程。进一步的，所述步骤33中，目标函数为：minD(x，x′)+M*LF，1(x′)，x′∈[0，1]n(1)，或minD(x，x′)+M*LF，t(x′)，x′∈[0，1]n(3)，其中x表示预处理后的测试数据，x′表示待求解的对抗样本，D(x，x)表示距离L0算法，l表示真实标签，t表示待生成的目标标签，i表示标签信息，F(x)的输出表示分类模型各类标签的概率，n表示数据的维度，M表示常数且远大于D(x，x′)的最大值。进一步的，遗传算法具体为：步骤341：初始化种群；步骤342：利用所述目标函数和分类模型对种群中的个体计算适应度值，保存当前种群中的最优个体作为最优解；步骤343：根据所述适应度值，采用锦标赛算法，将适应度值超过阈值的个体从当前种群中选择出来；步骤344：对步骤343选择出的个体，系统产生随机数A，当随机数A小于概率Pc，则采用均匀交叉生成新个体，否则不生成；步骤345：系统产生随机数B，当随机数B小于概率Pm时，对步骤344产生的新个体的基因进行变异，否则不进行变异；步骤346：重复步骤342-345，直到迭代次数超过阈值，终止算法。进一步的，所述自定义高斯变异算法具体为：将种群基因初始化为预处理后的测试数据x，在变异过程中，将个体中的基因随机加上高斯噪声。进一步的，所述性能指标包括失误率和平均相似度，所述失误率为对所述对抗样本分类错误程度，计算公式为：其中f表示错误分类个数，tp表示正确分类个数；所述平均相似度为分类模型分类错误的样本与原始样本的差异，计算公式为：其中n为满足错误分类条件的对抗样本的个数，D(xi，y)为计算xi与y在L0算法下的距离。综上所述，由于采用了上述技术方案，本专利技术的有益效果是：本专利技术可以处理多种数据类型，能对多种模型进行评估；同时仅需要模型输出各类标签的概率，但不需要目标网络的内部参数，如梯度和结构。本专利技术由于采用遗传算法来搜索最优解，可以快速地将解空间中的全体解搜索出，并且不会陷入局部最优解；并且利用它的内在并行性，可以方便地进行分布式计算，加快求解速度。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1为本专利技术的总体框架图；图2为本专利技术中改进遗传算法的流程图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术，即所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。以下结合实施例对本专利技术的特征和性能作进一步的详细描述。一种分类模型鲁棒性能评估方法，包括以下步骤：步骤1：将测试数据输入分类模型，得到所述测试数据的标签；步骤2：对所述测试数据进行预处理；步骤3：利用预处理后的测试数据，采用遗传算法生成对抗样本；步骤4：利用所述对抗样本和所述标签对所述分类模型进行评估，得到所述分类模型鲁棒性能的性能指标本文档来自技高网...

【技术保护点】
1.一种分类模型鲁棒性能评估方法，其特征在于：包括以下步骤：/n步骤1：将测试数据输入分类模型，得到所述测试数据的标签；/n步骤2：对所述测试数据进行预处理；/n步骤3：利用预处理后的测试数据，采用遗传算法生成对抗样本；/n步骤4：利用所述对抗样本和所述标签对所述分类模型进行评估，得到所述分类模型鲁棒性能的性能指标。/n

【技术特征摘要】
1.一种分类模型鲁棒性能评估方法，其特征在于：包括以下步骤：
步骤1：将测试数据输入分类模型，得到所述测试数据的标签；
步骤2：对所述测试数据进行预处理；
步骤3：利用预处理后的测试数据，采用遗传算法生成对抗样本；
步骤4：利用所述对抗样本和所述标签对所述分类模型进行评估，得到所述分类模型鲁棒性能的性能指标。


2.根据权利要求1所述的一种分类模型鲁棒性能评估方法，其特征在于：所述步骤1中，测试数据包括图片数据、语音数据和网络流数据。


3.根据权利要求2所述的一种分类模型鲁棒性能评估方法，其特征在于：所述步骤2中预处理具体为：
图片数据：采用直方图均衡化进行处理；
语音数据：采用min-max标准化进行处理；
网络流数据：将连续型特征进行归一化处理。


4.根据权利要求1所述的一种分类模型鲁棒性能评估方法，其特征在于：所述步骤3中，采用遗传算法生成对抗样本具体步骤如下：
步骤31：在预处理后的测试数据上添加扰动参数a，得到改动数据；
步骤32：将所述改动数据输入所述分类模型，得到分类结果；
步骤33：利用所述分类结果构造所述遗传算法的目标函数；
步骤34：利用遗传算法对所述改动数据求解最优解，更新所述扰动参数a，重复步骤31-34，直到迭代次数到达与预设值，结束对抗样本生成流程。


5.根据权利要求4所述的一种分类模型鲁棒性能评估方法，其特征在于：所述步骤33中，目标函数为：
minD(x，x′)+M*LF，1(x′)，x′∈[0，1]n(1)，



或
minD(x，x′)+M*LF，t(x′)，x′∈[0，1]n(3)，


<...

【专利技术属性】
技术研发人员：牛伟纳，罗宇恒，张小松，张瑾昀，
申请(专利权)人：四川大学，
类型：发明
国别省市：四川;51