[发明专利]一种基于攻击能力的对抗样本生成方法

说明书

一种基于攻击能力的对抗样本生成方法，包括数据集与神经网络模型处理模块、对抗样本生成模块和距离评估模块。数据集与神经网络模型处理模块将数据集转化成本项目中用于数值计算的python的numpy数据。对抗样本生成模块随机筛选出一部分的数据，用不同的对抗样本生成方法生成对抗样本，并评估每个生成方法生成单个对抗样本的平均时间。在距离评估模块，我们根据输出信息的分布，从两个维度分析:错误分类的数量，错误分类的最高概率。二，如果原数据无标签，则无法得知原数据的正确标签，只能根据输出的分类数量和分类的概率分布，来计算其有效性。

技术领域

本发明属于软件测试领域，特别是涉及到对抗样本生成，基于生成的对抗样本对神经网络的攻击能力，评估生成对抗样本的质量。

背景技术

近年来，深度学习与深度神经网络发展迅猛，深度学习模型已经关系到社会生活的方方面面。因此，保障深度学习模型质量的测试技术也随之有着越发重要的地位。传统的软件测试技术已然无法满足深度学习模型复杂多样，难以理解等特点。因此，针对深度学习模型的新的测试技术成为当前学术界和工业界的重要热点问题。事实证明，在某些领域，对抗样本可以有效的找出深度学习模型的bug，提升深度学习模型的质量。对抗样本为对输入样本故意添加一些人无法察觉的细微的干扰，导致模型以高置信度给出一个错误的输出。对抗样本生成只需要对原数据进行计算，可以有效的生成性质与原样本性质一致，但是使得神经网络出错的数据，节省了大量的人力成本。

在深度学习模型测试中，对抗样本生成测试已成为主流方法，这是因为深度学习数据的碎片化，深度学习模型的的不可解释性，以及测试场景的多样性。但是，对抗样本生成的开放性也容易导致质量差的结果。质量控制是对抗样本生成的重大挑战，尤其是对于多次迭代的对抗样本生成方法，如up。对抗样本生成中的质量控制策略主要分为对抗样本攻击能力，对抗样本扰动大小等。对于大多数数据(甚至是普通的应用用户)来说，很容易在迭代计算中得到对抗样本。但未经验证的对抗样本，可能并不能使得神经网络，从而导致对抗样本质量低下，并不能用于修复神经网络。这些问题对于深度学习模型的缺陷定位与修复工作造成了很大的不便与负担。现阶段对于对抗样本的质量管理是缺乏有效手段的，因此，我们希望研究一种辅助手段来帮助评估对抗样本性质，从而达到对抗样本质量管理的目的。

在对抗样本方面，已经有一些研究者做了一些初步的工作，但是现有工作局限于对抗样本的生成，对对抗样本质量评估支持较弱。

基于上述工作，本发明深度挖掘了在深度学习模型的对抗样本在神经网络中的输出信息。这些信息对于人员来说是简单而可理解的。但对于机器来说，想要自动化地识别这些信息并将其归纳为失败的对抗样本是需要进一步技术处理工作的。因此，本发明基于这些已有的研究成果，将相应的对抗样本生成技术进行总结，修改，并添加新的技术方法，将其应用于深度学习模型中的对抗样本的生成与评估，加强对生成对抗样本的质量筛选，从而自动化地生成对抗样本。

发明内容

本发明要解决的问题是：深度学习模型测试中对抗样本生成方法生成的对抗样本质量地下，难以形成有效缺陷修复作用的问题。我们的发明能够评估其对神经网络的攻击能力，并由此自动化生成高质量的对抗样本，解决对抗样本质量低下的问题。

本发明的技术方案为：一种基于攻击能力评估的对抗样本生成的方法，其特征是能够根据一张深度学习原数据生成一份可靠的对抗样本。该生成方法包含以下三个模块/步骤：

1)数据集与神经网络模型处理模块：首先，获取用户输入的数据集和神经网络模型文件，获取神经网络模型的结构信息，神经元数量，每个神经元权重，激活函数，对神经网络模型进行还原，在本地生成一个用户的神经网络模型。将输入的数据集进行解码等操作，将数据集转化成本项目中用于数值计算的python的numpy数据。