【技术实现步骤摘要】
一种生成攻击样本的方法和系统
本说明书涉及对抗机器学习领域,特别涉及一种生成针对输入为离散特征的模型的攻击样本的方法和系统。
技术介绍
目前,机器学习已经广泛应用于各行各业,承载着大量国计民生的重要应用,例如信息检索、金融支付、智能驾驶和智能安防等。然而,这些机器学习模型天然携带着容易被“攻击”的漏洞。如果模型不能抵御攻击样本的攻击,甚至会威胁资金安全和公共安全。通常把机器学习模型抵御攻击样本的能力称为机器学习模型的鲁棒性。如何测试和提高机器学习模型的鲁棒性尤为重要。目前此项研究在学术界和工业界还处于比较初期的探索阶段,大部分算法是针对输入为连续特征的模型。因此需要一种基于输入为离散、稀疏特征的模型的黑盒攻击算法,用于生成攻击样本,评估模型的鲁棒性。
技术实现思路
本说明书实施例之一提供一种生成攻击样本的方法。所述方法包括:获取第一样本集,将所述第一样本集作为目标模型的测试数据;使用所述第一样本集,获取重要特征;其中,所述重要特征为对目标模型测试结果的影响超过预设影响阈值的特征,所述重要特征包括正重要特征和负重要特征;从所述第一样本集中选取至少一条样本作为原始样本,并基于所述原始样本和所述重要特征,构造第二样本集;其中,所述第二样本集包括正第二样本和负第二样本;将所述第二样本集输入所述目标模型,基于所述目标模型输出的分数,确定扰动特征;其中,所述扰动特征包括正扰动特征和负扰动特征,所述扰动特征由所述重要特征中的至少一个组成;使用所述扰动特征构造攻击样本;其中,所述攻击样本用于攻击所 ...
【技术保护点】
1.一种生成攻击样本的方法,所述方法包括:/n获取第一样本集,将所述第一样本集作为目标模型的测试数据;/n使用所述第一样本集,获取重要特征;其中,所述重要特征为对目标模型测试结果的影响超过预设影响阈值的特征,所述重要特征包括正重要特征和负重要特征;/n从所述第一样本集中选取至少一条样本作为原始样本,并基于所述原始样本和所述重要特征,构造第二样本集;其中,所述第二样本集包括正第二样本和负第二样本;/n将所述第二样本集输入所述目标模型,基于所述目标模型输出的结果,确定扰动特征;其中,所述扰动特征包括正扰动特征和负扰动特征,所述扰动特征由所述重要特征中的至少一个组成;/n使用所述扰动特征构造攻击样本;其中,所述攻击样本用于攻击所述目标模型。/n
【技术特征摘要】
1.一种生成攻击样本的方法,所述方法包括:
获取第一样本集,将所述第一样本集作为目标模型的测试数据;
使用所述第一样本集,获取重要特征;其中,所述重要特征为对目标模型测试结果的影响超过预设影响阈值的特征,所述重要特征包括正重要特征和负重要特征;
从所述第一样本集中选取至少一条样本作为原始样本,并基于所述原始样本和所述重要特征,构造第二样本集;其中,所述第二样本集包括正第二样本和负第二样本;
将所述第二样本集输入所述目标模型,基于所述目标模型输出的结果,确定扰动特征;其中,所述扰动特征包括正扰动特征和负扰动特征,所述扰动特征由所述重要特征中的至少一个组成;
使用所述扰动特征构造攻击样本;其中,所述攻击样本用于攻击所述目标模型。
2.根据权利要求1所述的方法,其中,所述获取第一样本集包括:
将特征空间随机划分为多个特征序列,每个所述特征序列构成一条样本;
分别将多条所述样本输入所述目标模型,将所述目标模型输出的结果作为所述样本的标签,将带标签的多条所述样本作为第一样本集。
3.根据权利要求2所述的方法,其中,所述使用所述第一样本集,获取重要特征包括:
使用所述第一样本集训练线性模型,获取多个权重,所述多个权重对应于组成所述第一样本集的所述多个特征;
将所述多个权重中符号为正的权重按照值由大到小的顺序进行排序,选取前N个权重对应的特征作为所述正重要特征;
将所述多个权重中符号为负的权重按照值由大到小的顺序进行排序,选取前N个权重对应的特征作为所述负重要特征。
4.根据权利要求3所述的方法,其中,所述基于所述原始样本和所述重要特征,构造第二样本集包括:
从所述重要特征中的正重要特征中任意选取至少一个按照不同的组合添加到所述原始样本中,构造至少一条所述正第二样本;
从所述重要特征中的负重要特征中任意选取至少一个按照不同的组合添加到所述原始样本中,构造至少一条所述负第二样本。
5.根据权利要求4所述的方法,其中,所述将所述第二样本集输入所述目标模型,基于所述目标模型输出的结果,确定扰动特征包括:
将所述第二样本集中的所述至少一条正第二样本输入所述目标模型,获取所述目标模型输出的至少一个分数;
将所述至少一个分数中最高分数对应的正第二样本中包含的所述正重要特征作为所述正扰动特征;
将所述第二样本集中的至少一条负第二样本输入所述目标模型,获取所述目标模型输出的至少一个分数;
将所述至少一个分数中最低分数对应的负第二样本中包含的所述负重要特征作为所述负扰动特征。
6.根据权利要求5所述的方法,其中,所述使用所述扰动特征构造攻击样本包括:
从所述目标模型的测试数据中选取至少一条样本作为测试样本,将所述正扰动特征添加到所述测试样本中,获取正攻击样本;
将所述负扰动特征添加到所述测试样本中,获取负攻击样本。
7.根据权利要求1所述的方法,其中,所述目标模型基于实体对象的数据进行预测,并根据预测结果确定后续的操作,使用所述方法构造所述目标模型的攻击样本。
8.一种生成攻击样本的系统,所述系统包括:
第一获取模块,用于获取第一样本集...
【专利技术属性】
技术研发人员:林建滨,
申请(专利权)人:支付宝杭州信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。