本发明专利技术提供一种模型对抗训练方法、介质及终端,方法包括:获取训练样本,通过所述训练样本对神经网络模型进行训练;计算神经网络模型训练后的损失值;在所述损失值中加入对于输入的梯度惩罚项,获取新的损失值;根据所述新的损失值,重新训练所述神经网络模型,完成模型对抗训练;本发明专利技术中的模型对抗训练方法、介质及终端,通过将对输入样本添加对抗扰动等价转化为在损失函数中加入梯度惩罚项来达到模型对抗训练的目的,提高了模型的精度与鲁棒性。本发明专利技术中的训练方法较目前已有的方法更简单高效,无需在模型训练前对训练样本增加额外的处理或采用两个模型进行生成对抗训练,避免了额外的开发成本和计算资源消耗。额外的开发成本和计算资源消耗。额外的开发成本和计算资源消耗。
【技术实现步骤摘要】
一种模型对抗训练方法、介质及终端
[0001]本专利技术涉及计算机应用领域,尤其涉及一种模型对抗训练方法、介质及终端。
技术介绍
[0002]随着计算机技术的不断进步,深度学习的得到了发展,对抗样本得到了越来越多的关注。经研究发现,只要对深度学习模型的输入添加一些微小的扰动就能改变模型的识别结果,因对抗样本而导致的模型预测错误在实际应用中可能会带来严重的后果。因此,需要通过对模型的对抗攻击和防御来增强模型的稳健型。
[0003]目前,在图像处理领域中,例如在自动驾驶系统中,要防止模型因为一些随机噪声就将红灯识别为绿灯;在人脸识别中,要防止通过对人脸图像像素内容的修改而识别成其他人的,导致用户信息的泄露等。在自然语言处理领域中,如对于文本分类、情感分类等,一些特殊关键词、关键字的同音字替换攻击都可能导致模型识别错误,比如在情感分类中,
‘
我今天很伤心
’
为消极情感,但通过同音字的替换为
‘
我今天很上心
’
,模型很可能识别为中性情感或积极情感。因此,如何能简单有效的提高模型的鲁棒性成为目前深度学习领域一个亟待解决的问题。
技术实现思路
[0004]鉴于以上所述现有技术的缺点,本专利技术提供一种模型对抗训练方法、介质及终端,以解决上述技术问题。
[0005]本专利技术提供的模型对抗训练方法,包括:
[0006]获取训练样本,通过所述训练样本对神经网络模型进行训练;
[0007]计算神经网络模型训练后的损失值,所述损失值包括训练样本预测值与训练样本的真实值间的差异;
[0008]在所述损失值中加入对于输入的梯度惩罚项,获取新的损失值;
[0009]根据所述新的损失值,重新训练所述神经网络模型,完成模型对抗训练。
[0010]可选的,计算神经网络模型训练后的梯度惩罚值,所述梯度惩罚值为损失函数关于模型输入的梯度的单调递增函数;根据所述损失值和梯度惩罚值,获取所述新的损失值。
[0011]可选的,以最小化所述新的损失值为目标反复迭代训练模型至收敛或满足停止迭代条件,完整模型对抗训练。
[0012]可选的,所述训练样本包括文本样本、图像样本。
[0013]可选的,在模型训练过程中,在每一轮训练完成后对模型的损失值进行计算,确定模型损失的增减情况,所述损失值随着模型的迭代次数的增加,向值减少的方向变化。
[0014]可选的,通过如下公式获取所述损失值:
[0015][0016]其中,其中x为输入样本,y为真实标签值,θ为模型参数,D为训练集。
[0017]可选的,所述梯度惩罚项满足利普希茨约束条件,所述梯度惩罚项通过如下函数
表示:
[0018]ε||
▽
x
L(x,y;θ)||
[0019]其中,L(x,y;θ)为单个样本损失函数,所述梯度惩罚项是对输入x的梯度惩罚,且满足利普希茨约束条件,所述梯度惩罚值为具体的函数值。
[0020]可选的,以所述损失值和梯度损失值之和作为新的损失值,且每个轮次训练完成后,重新计算一次新的损失值,若在第n轮的新的损失函数关于模型参数θ
n
的梯度下降值为Δθ
n
,则模型参数需要更新为θ
n+1
=θ
n
+Δθ
n
,然后继续下一个轮次的模型训练。
[0021]本专利技术还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述中任一项所述方法。
[0022]本专利技术还提供一种电子终端,包括:处理器及存储器;
[0023]所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述终端执行如上述中任一项所述方法。
[0024]本专利技术的有益效果:本专利技术中的模型对抗训练方法、介质及终端,通过将对输入样本添加对抗扰动等价转化为在损失函数中加入梯度惩罚项来达到模型对抗训练的目的,提高了模型的精度与鲁棒性。本专利技术中的训练方法较目前已有的方法更简单高效,无需在模型训练前对训练样本增加额外的处理或采用两个模型进行生成对抗训练,避免了额外的开发成本和计算资源消耗。
附图说明
[0025]图1是本专利技术实施例中模型对抗训练方法的流程示意图。
具体实施方式
[0026]以下通过特定的具体实例说明本专利技术的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本专利技术的其他优点与功效。本专利技术还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本专利技术的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
[0027]需要说明的是,以下实施例中所提供的图示仅以示意方式说明本专利技术的基本构想,遂图式中仅显示与本专利技术中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
[0028]在下文描述中,探讨了大量细节,以提供对本专利技术实施例的更透彻的解释,然而,对本领域技术人员来说,可以在没有这些具体细节的情况下实施本专利技术的实施例是显而易见的,在其他实施例中,以方框图的形式而不是以细节的形式来示出公知的结构和设备,以避免使本专利技术的实施例难以理解。
[0029]如图1所示,本实施例中的模型对抗训练方法,包括:
[0030]S1.获取训练样本,通过所述训练样本对神经网络模型进行训练;
[0031]S2.计算神经网络模型训练后的损失值,所述损失值包括训练样本预测值与训练样本的真实值间的差异;
[0032]S3.在所述损失值中加入对于输入的梯度惩罚项,获取新的损失值;
[0033]S4.根据所述新的损失值,重新训练所述神经网络模型,完整模型对抗训练。
[0034]在本实施例中,首先获取训练样本,通过训练样本对神经网络模型进行训练。本实施例中的模型输入训练样本可以为文本样本、图像样本等。可选的,本实施例中的文本样本、图像样本为常规任务的训练样本,无需特意加入随机干扰生成对抗样本。具体地,文本样本可以为新闻资讯文本、商品评论文本、法律文书文本等。例如新闻资讯文本的标签可以为新闻资讯的类别,如体育、财经、政治等;例如商品评论文本的标签可以为好评、中评、差评。图像样本可以为垃圾图像样本、雷达图像样本等。垃圾图像样本标签可以为干垃圾、湿垃圾、厨余垃圾等等。
[0035]在本实施例的步骤S1中,神经网络模型根据目标任务可以为文本分类模型、图像分类模型等,本实施例中的训练过程为模型搜索最优神经网络参数的过程,表现为多轮次的反复迭代过程,直至最终获得最优的模型参数。本实施例中的模型训练为对抗训练,即通过某种方法让在样本中添加一些微小的扰动,然后使神经网络适应这种改变,从而让模型对对抗样本具有鲁棒性。在本实施例中的神本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种模型对抗训练方法,其特征在于,包括:获取训练样本,通过所述训练样本对神经网络模型进行训练;计算神经网络模型训练后的损失值,所述损失值包括训练样本预测值与训练样本的真实值间的差异;在所述损失值中加入对于输入的梯度惩罚项,获取新的损失值;根据所述新的损失值,重新训练所述神经网络模型,完成模型对抗训练。2.根据权利要求1所述的模型对抗训练方法,其特征在于,计算神经网络模型训练后的梯度惩罚值,所述梯度惩罚值为损失函数关于模型输入的梯度的单调递增函数;根据所述损失值和梯度惩罚值,获取所述新的损失值。3.根据权利要求2所述的模型对抗训练方法,其特征在于,以最小化所述新的损失值为目标反复迭代训练模型至收敛或满足停止迭代条件,完成模型对抗训练。4.根据权利要求1所述的模型对抗训练方法,其特征在于,所述训练样本包括文本样本、图像样本。5.根据权利要求1所述的模型对抗训练方法,其特征在于,在模型训练过程中,在每一轮训练完成后对模型的损失值进行计算,确定模型损失的增减情况,所述损失值随着模型的迭代次数的增加,向值减少的方向变化。6.根据权利要求5所述的模型对抗训练方法,其特征在于,通过如下公式获取所述损失值:其中,其中x为输入样本,...
【专利技术属性】
技术研发人员:熊永福,
申请(专利权)人:重庆紫光华山智安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。