【技术实现步骤摘要】
一种对抗样本生成方法、装置、存储介质及电子设备
[0001]本说明书涉及计算机
,尤其涉及一种对抗样本生成方法、装置、存储介质及电子设备。
技术介绍
[0002]随着人工智能技术的发展,许多经过精心设计的样本在输入后能够刻意地使神经网络模型识别错误,通常将这一类样本称为对抗样本。对抗样本的存在使许多基于神经网络模型的程序与应用存在安全隐患,因此,对于对抗样本的研究十分重要。
[0003]然而目前,现有方法在生成对抗样本时通常采用固定的扰动和固定的轮次来对原始样本进行扰动,生成对抗样本。但是,对于不同的原始样本,往往需要不同的扰动来生成合适的对抗样本。当扰动过大时,可能导致生成的对抗样本与原始样本相似度太低,失去作为对抗样本的意义;当扰动过小时,可能导致生成的对抗样本变化太少,无法骗过神经网络模型。
[0004]可以看出,采用现有方法生成对抗样本时的自适应能力较差,生成出的对抗样本质量较低。
[0005]为解决上述技术问题,本说明书提供一种自适应能力较强的对抗样本生成方法。
技术实现思路
<...
【技术保护点】
【技术特征摘要】
1.一种对抗样本生成方法,其特征在于,包括:获取原始图像以及所述原始图像的标注;将所述原始图像作为目标图像,输入预先训练的图像分类模型,得到所述图像分类模型输出的分类结果;判断所述分类结果与所述标注是否匹配;若否,则将所述目标图像确定为对抗样本图像;若是,则确定所述分类结果与所述标注的差异,根据所述差异确定状态,将所述状态输入预先训练的样本生成模型,通过所述样本生成模型输出所述状态下的动作值,根据所述目标图像与所述动作值确定扰动图像,将所述扰动图像重新确定为目标图像。2.如权利要求1所述的方法,其特征在于,获取原始图像的标注,具体包括:将所述原始图像输入预先训练的图像分类模型,将所述图像分类模型的输出确定为所述原始图像的标注。3.如权利要求1所述的方法,其特征在于,得到所述图像分类模型输出的分类结果,具体包括:得到所述图像分类模型输出的所述目标图像属于各类别的概率。4.如权利要求3所述的方法,其特征在于,判断所述分类结果与所述标注是否匹配,具体包括:根据所述目标图像属于各类别的概率,确定所述目标图像所属的类别;当所述类别与所述标注相同时,确定所述分类结果与所述标注匹配;当所述类别与所述标注不同时,确定所述分类结果与所述标注不匹配。5.如权利要求1所述的方法,其特征在于,确定所述分类结果与所述标注的差异,具体包括:确定所述分类结果与所述标注之间的交叉熵损失。6.如权利要求5所述的方法,其特征在于,根据所述差异确定状态,具体包括:根据所述分类结果与所述标注之间的交叉熵损失,确定所述交叉熵损失的梯度;将所述目标图像与所述梯度确定为状态。7.如权利要求1所述的方法,其特征在于,根据所述目标图像与所述动作值确定扰动图像,具体包括:根据所述动作值,确定与所述动作值对应的动作;将所述动作作为扰动因子,对所述目标图像进行加扰,得到扰动图像。8.如权利要求1所述的方法,其特征在于,将所述扰动图像重新确定为目标图像,具体包括:确定当前的扰动轮次,所述扰动轮次的值随着确定出扰动图像的次数增加而增加;当所述扰动轮次大于第一指定阈值时,将所述扰动图像确定为对抗样本图像;当所述扰动轮次不大于所述第一指定阈值时,将所述扰动图像重新确定为目标图像。9.如权利要求1所述的方法,其特征在于,预先训练样本生成模型,具体包括:获取样本原始图像以及所述样本原始图像的样本标注;将所述样本原始图像作为样本目标图像,输入预先训练的图像分类模型,得到所述图像分类模型输出的样本分类结果;
判断所述样本分类结果与所述样本标注是否匹配;若是,则确定奖励为第一预设值,并确定所述样本分类结果与所述样本标注的差异,根据所述差异确定样本状态,将所述样本状态输入待训练的样本...
【专利技术属性】
技术研发人员:王乐乐,李炳强,郑黄河,叶晓辉,王永恒,王超,邵彬,王海平,刘冰洁,朱锦文,
申请(专利权)人:之江实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。