[发明专利]基于代理模型的对抗样本生成方法和装置

权利要求书

1.一种基于代理模型的对抗样本生成方法，包括：

提供代理模型、原始样本和一基于迭代的对抗样本生成算法；

基于代理模型、原始样本和对抗样本生成算法迭代生成对抗样本，直到达到预设终止条件；

在每个迭代轮次中：

获取上一轮次迭代生成对抗样本时，所述代理模型的损失结果和各个参数自身的权重；

基于所述代理模型的损失结果和所述参数自身的权重计算各个参数自身的梯度；

将各个参数的梯度作为对应参数的重要性分数，所述重要性分数用于表示相应轮次中代理模型的对应参数对生成的对抗样本的影响程度；

根据预设规则以及所述代理模型的各个参数的重要性分数剪除所述代理模型的部分参数；

根据剪除部分参数后保留的各个参数更新所述代理模型；

将达到预设终止条件时生成的对抗样本作为最终的对抗样本；

其中，所述基于迭代的对抗样本生成算法包括动量迭代式对抗样本生成算法；

在第i轮迭代时，通过以下方式生成对抗样本：

；

；

其中，表示第i轮更新得到的动量，μ表示动量衰减速度，表示代理模型的损失函数计算得到的损失结果关于第i-1轮生成的对抗样本的梯度，|·|₁表示L1范数，y表示所对应的原始样本X的类别，表示将修改中的对抗样本投影到距离原始样本X不超过ϵ的范围内，其中α是超参数；

其中，在第i轮迭代时，通过以下方式计算某个参数对上一轮次生成的对抗样本的重要性分数：

；

其中，ΔX为随机生成的白噪声，N(0,δ²I)表示一个期望为0，标准差为δ的高斯分布，I表示单位矩阵，ΔX∼N(0,δ²I)表示ΔX服从概率分布N，d表示微分，w表示参数的权重。

2.如权利要求1所述的基于代理模型的对抗样本生成方法，其中，获取上一轮次迭代生成对抗样本时，所述代理模型的损失结果，包括：

根据预设方式随机采样生成多个服从预设概率分布的白噪声；

在该轮次生成的对抗样本上叠加所述白噪声得到多个输入样本；

将所述多个输入样本输入所述代理模型得到多个损失结果；

基于所述代理模型的损失结果和所述参数自身的权重计算各个参数自身的梯度，包括：

基于所述多个损失结果和各个参数自身的权重计算得到每一个参数的多个梯度；

将各个参数的梯度作为对应参数的重要性分数，包括：

根据每一个参数的多个梯度计算对应参数的重要性分数。

3.如权利要求1所述的基于代理模型的对抗样本生成方法，其中，提供包括多个原始样本的原始样本集；

在每个迭代轮次中，剪除部分参数之前，所述方法包括：

基于所述代理模型的损失结果和所述参数自身的权重，计算在生成每一对抗样本时各个参数自身的梯度；

基于各个参数的多个梯度计算对应参数的重要性分数。

4.如权利要求1-3中任一项所述的基于代理模型的对抗样本生成方法，其中，某一参数的重要性分数为所述参数的梯度的绝对值或所述参数的多个梯度的平均数值。

5.如权利要求1所述的基于代理模型的对抗样本生成方法，其中，所述预设规则包括剪除重要性分数低于预设阈值的参数和/或以预设的剪枝率进行参数剪除。