[发明专利]基于多先验的黑盒对抗测试样本生成方法及装置

权利要求书

1.一种基于多先验的黑盒对抗测试样本生成方法，其特征在于，包括以下步骤：

S1，设置对抗样本生成所需的多个超参数；

S2，将对抗样本初始化后开始进行迭代；

S3，获取多个先验估计，将所述先验估计进行施密特正交化，得到多个单位正交向量；

S4，估计真实梯度和所述多个单位正交向量的相似度；

S5，优化目标函数，根据所述相似度最小化估计梯度与真实梯度的期望之差；

S6，获取多个随机向量，根据所述多个随机向量和梯度计算公式进行梯度估计；

S7，根据估计的梯度进行计算，得到当前轮次的对抗样本，将迭代轮次加一，判断迭代轮次是否等于最大迭代轮次，若不等，则执行S3，若相等，则结束迭代，输出最终的对抗样本。

2.根据权利要求1所述的方法，其特征在于，所述多个超参数包括：最大迭代轮次T、允许的噪声扰动大小∈、投影梯度下降的学习率η。

3.根据权利要求1所述的方法，其特征在于，所述获取多个先验估计，包括：

训练一个代理模型，对所述代理模型进行梯度估计，将所述代理模型的梯度作为先验估计；

或将上一迭代轮次得到的梯度作为先验估计；或

获取大噪声的对抗样本，将大噪声的对抗样本与对抗样本的差进行向量归一化后的结果作为先验估计。

4.根据权利要求1所述的方法，其特征在于，估计真实梯度和所述多个单位正交向量的相似度，具体包括：

S41，随机获取S个向量t₁，t₂…，t_S，其中，t_i是在D维单位球上均匀采样的一个随机向量；

S42，根据估计其中，为

S43，根据估计

S44，计算相似度

5.根据权利要求1所述的方法，其特征在于，所述目标函数为：

其中，K为先验估计得个数，λ_i为待优化变量，满足约束条件0≤λ_i≤1，α_i为相似度，D为对抗样本原图的维度，q为采样数。

6.根据权利要求5所述的方法，其特征在于，所述优化目标函数的求解步骤包括：

S51，令Λ＝[λ₁，…，λ_K]，将目标函数为两个二次型的比值：其中A，B为已知的对称阵，Λ满足Λ^T1≤1，0≤λ_i≤1，1表示元素全为1的向量；

S52，以0作为优化目标下界l，依次尝试1，2，4…，找出优化目标上界r以满足在约束范围内无解，判定无解的条件为Λ^T(A-rB)Λ在约束条件下的最大值为负数；

S53，令mid←(l+r)/2，判断在约束范围内是否有解，若有解，令l←mid，否则令r←mid，无解的条件为Λ^T(A-mid·B)Λ在约束条件下的最大值为负数；

S54，若r-l＞δ，其中δ为预设一极小阈值，执行S53，否则，解Λ^T(A-lB)Λ在约束条件下的最大值，对应的Λ即为S53中要求的λ₁，…，λ_K。

7.根据权利要求1所述的方法，其特征在于，所述多个随机向量u_j为：

其中，w＝[w₁，w₂，…，w_K]，是一个D×K的矩阵，w_K为单位正交向量，D为对抗样本原图的维度，K为先验估计得个数，λ_k为待优化变量，I为D×D的单位阵，ξ_i是在D维单位球上均匀采样的一个随机向量。