[发明专利]对抗样本生成方法、装置、介质和计算设备

权利要求书

1.一种对抗样本生成方法，其特征在于，所述方法包括：

获取第一样本图像，其中，所述第一样本图像为攻击对象的图像；

基于所述第一样本图像，以预设的白盒替代模型的识别对象的相似度函数在不同拍摄条件下的数学期望最大为目标函数进行求解，生成特定区域的干扰图像；

将所述第一样本图像叠加所述干扰图像，生成对抗样本；

其中，所述对抗样本满足：

与第一样本图像在l_∞无穷范数下的距离不大于扰动值∈；

在特定区域外的图像与第一样本图像特定区域外的图像一致。

2.根据权利要求1所述的方法，其特征在于，所述对抗样本输入图像识别模型后，能够使所述图像识别模型得到错误的识别结果。

3.根据权利要求2所述的方法，其特征在于，求解所述预设的白盒替代模型的目标函数为：

s.t.|x^adv-x^src|_∞≤∈

x^adv⊙(1-M)＝x^src⊙(1-M)

其中，E为数学期望，为图像变换的集合，T为任一图像变换，表示T服从概率分布L为所述预设的白盒替代模型中基于第一样本图像和对抗样本得到的识别对象的相似度函数，x^src为所述第一样本图像，x^adv为所述对抗样本，|·|_∞是无穷范数，∈是最大可达到的扰动值，M是一个二值矩阵用于约束扰动的区域，⊙是向量逐元素乘积。

4.根据权利要求3所述的方法，其特征在于，表示随机变量L在概率分布下的数学期望，|x^adv-x^src|_∞≤∈以及x^adv⊙(1-M)＝x^src⊙(1-M)分别表示对抗样本满足与第一样本图像在无穷范数下的距离不大于扰动值∈；以及在特定区域外的图像与第一样本图像特定区域外的图像一致。

5.根据权利要求3或4所述的方法，其特征在于，错误的识别结果包括从所述对抗样本中识别出的对象不是攻击对象。

6.根据权利要求5所述的方法，其特征在于，所述识别对象的相似度函数为：

其中，为所述攻击对象的图像集，f为所述预设的白盒替代模型的输出表示，·为向量点乘，|·|₂表示L2范数。

7.根据权利要求3或4所述的方法，其特征在于，所述方法还包括：

获取第二样本图像，其中，所述第二样本图像为受害对象的图像；

基于所述第一样本图像和第二样本图像，以预设的白盒替代模型的识别对象的相似度函数在不同拍摄条件下的数学期望为目标函数进行求解，生成特定区域的干扰图像；

执行将所述第一样本图像叠加所述干扰图像的步骤，生成对抗样本。

8.根据权利要求7所述的方法，其特征在于，错误的识别结果包括从所述对抗样本中识别出的对象为受害对象。

9.根据权利要求8所述的方法，其特征在于，所述识别对象的相似度函数为：

其中，是所述受害对象的图像集，·是向量点乘，|·|₂表示L2范数，f为所述预设的白盒替代模型的输出表示。

10.根据权利要求6或9所述的方法，其特征在于，采用基于蒙特卡洛和基于动量的迭代方法对所述预设的白盒替代模型的目标函数进行求解。

11.根据权利要求10所述的方法，其特征在于，所述图像变换至少包括投影变换、图像旋转、光照变换、图像放缩和加高斯噪声中的一种。