[发明专利]一种对抗样本生成方法、装置、电子设备及存储介质

权利要求书

1.一种对抗样本生成方法，其特征在于，包括：

分别由恶意文档样本集和良性文档样本集获取第一关联规则和第二关联规则，其中，所述第一关联规则用于基于所述恶意文档的第一类特征与第二类特征指示所述恶意文档的特征，所述第二关联规则用于基于所述良性文档的第一类特征与第二类特征指示所述良性文档的特征；

基于第一预设规则，由所述第一关联规则与第二关联规则获取约束规则；

以攻击样本对机器学习模型进行迭代攻击，将成功攻击所述机器学习模型的攻击样本作为对抗样本，其中在每轮迭代攻击前基于所述约束规则对所述攻击样本进行迭代修改。

2.根据权利要求1所述的对抗样本生成方法，其特征在于，所述第一预设规则为：

获取所述第一关联规则与所述第二关联规则的交集，以所述第一关联规则中去除所述交集得到的剩余规则作为所述约束规则。

3.根据权利要求1或2所述的对抗样本生成方法，其特征在于，所述由恶意文档样本集获取第一关联规则包括：

对所述恶意文档样本集中的恶意文档样本，提取所述恶意文档样本的每一种第一类特征和每一种第二类特征进行排列组合，得到所述恶意文档的多个特征对，使得每一个所述特征对包括一种第一类特征和一种第二类特征，并基于第二预设规则由所述恶意文档的多个特征对，得到所述第一关联规则；

所述由良性文档样本集获取第二关联规则包括：

对所述良性文档样本集中的良性文档样本，提取所述良性文档样本的每一种第一类特征和每一种第二类特征进行排列组合，得到所述良性文档的多个特征对，使得每一个所述特征对包括一种所述第一类特征和一种所述第二类特征，并基于所述第二预设规则由所述良性文档的多个特征对，得到所述第二关联规则。

4.根据权利要求3所述的对抗样本生成方法，其特征在于：所述第二预设规则包括：置信度规则、支持度规则、提升度规则以及所述第一类特征和第二类特征对的两个特征之间的物理结构关系规则。

5.根据权利要求1或2所述的对抗样本生成方法，其特征在于，所述攻击样本为攻击向量，相应地，所述在每轮迭代攻击前基于所述约束规则对所述攻击样本进行迭代修改包括：

每轮迭代攻击前，基于所述约束规则修改攻击向量，并由所述攻击向量反向生成攻击样本，再将规则化的所述攻击样本转化为攻击向量输入至下一轮迭代攻击。

6.根据权利要求1或2所述的对抗样本生成方法，其特征在于，所述迭代攻击为动量迭代攻击。

7.根据权利要求1或2所述的对抗样本生成方法，其特征在于：所述第一类特征为基于内容的特征，所述第二类特征为基于结构的特征。

8.一种对抗样本生成装置，其特征在于，所述装置包括：

关联规则生成模块，用于分别由恶意文档样本集和良性文档样本集获取第一关联规则和第二关联规则，其中，所述第一关联规则用于基于所述恶意文档的第一类特征与第二类特征指示所述恶意文档的特征，所述第二关联规则用于基于所述良性文档的第一类特征与第二类特征指示所述良性文档的特征；

约束规则生成模块，用于第一预设规则，由所述第一关联规则与第二关联规则获取约束规则；

对抗样本生成模块，用于以攻击样本对对机器学习模型进行迭代攻击，将成功攻击所述机器学习模型的攻击样本作为对抗样本，其中在每轮迭代攻击前基于所述约束规则对所述攻击样本进行迭代修改。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述对抗样本生成方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至7任一项所述对抗样本生成方法的步骤。