[发明专利]对抗图像的生成方法、装置、终端及存储介质

说明书

本申请公开了一种对抗图像的生成方法、装置、终端及存储介质，属于机器学习领域。该方法在生成对抗图像的过程中，可以根据图像处理模型对更新后的初始图像的处理结果，对用于更新初始图像的对抗扰动量进行更新。因此可以确保基于更新后的对抗扰动量对初始图像进行更新时，图像处理模型对更新后的初始图像的处理结果满足约束条件的概率更高，即更新后的初始图像的对抗攻击成功的概率更高，从而有效提高了对抗图像的生成效率。

技术领域

本申请涉及机器学习领域，特别涉及一种对抗图像的生成方法、装置、终端及存储介质。

背景技术

在机器学习领域，为了验证基于深度神经网络训练得到的图像分类模型的可靠性，可以采用对抗图像对图像分类模型进行对抗攻击。其中，对抗图像可以是基于目标图像生成的图像，且人类观察者无法明显察觉两个图像的区别。若图像分类模型将对抗图像和目标图像识别为不同的类别，则可以确定对抗攻击成功。

相关技术中，在生成对抗图像时，可以采用随机变量不断对初始图像进行更新，每次更新后可以获取图像分类模型对该更新后的初始图像的分类结果。若根据该分类结果确定对抗攻击成功，则可以继续对更新后的初始图像进行更新；若对抗攻击不成功，则可以放弃上一次的更新，并重新对该初始图像进行更新。直至更新后的初始图像对抗攻击成功，且与目标图像的差异小于一定阈值时，可以将该更新后的初始图像确定为对抗图像。

但是，该方法在采用随机变量更新初始图像的过程中，仅可以根据图像分类模型的输出结果确定是否接收上一次的更新，对抗图像的生成效率较低。

发明内容

本发明实施例提供了一种对抗图像的生成方法、装置、终端及存储介质，可以解决相关技术中的对抗图像生成效率较低的问题。所述技术方案如下：

一方面，提供了一种对抗图像的生成方法，所述方法包括：

将对抗扰动量与初始图像叠加，以更新所述初始图像；

获取图像处理模型对更新后的所述初始图像的处理结果；

若所述处理结果满足对抗攻击的约束条件，且更新后的所述初始图像与目标图像之间的差异收敛，则将更新后的所述初始图像确定为对抗图像；

若所述处理结果不满足对抗攻击的约束条件，或者若所述处理结果满足对抗攻击的约束条件，且更新后的所述初始图像与目标图像之间的差异不收敛，则根据所述处理结果更新所述对抗扰动量，并继续执行更新所述初始图像和获取处理结果的操作。

另一方面，提供了一种对抗图像的生成装置，所述装置包括：

第一更新模块，用于将对抗扰动量与初始图像叠加，以更新所述初始图像；

获取模块，用于获取图像处理模型对更新后的所述初始图像的处理结果；

确定模块，用于若所述处理结果满足对抗攻击的约束条件，且更新后的所述初始图像与目标图像之间的差异收敛，则将更新后的所述初始图像确定为对抗图像；

第二更新模块，用于若所述处理结果不满足对抗攻击的约束条件，或者若所述处理结果满足对抗攻击的约束条件，且更新后的所述初始图像与目标图像之间的差异不收敛，则根据所述处理结果更新所述对抗扰动量，并继续执行更新所述初始图像和获取处理结果的操作。

可选的，所述第二更新模块，用于：

根据所述处理结果与前次处理结果的差值更新所述对抗扰动量；

其中，所述前次处理结果为所述图像处理模型对上一次更新后的所述初始图像的处理结果。

可选的，所述对抗扰动量为服从目标概率分布的N维随机变量，所述N为所述初始图像包括的像素个数，且所述N为大于1的整数；所述第二更新模块，包括：