[发明专利]基于模糊测试的对抗样本生成方法、系统、终端及介质

权利要求书

1.一种基于模糊测试的对抗样本生成方法，其特征在于，所述基于模糊测试的对抗样本生成方法包括：

基于黑盒模型生成对抗样本，对生成样本的对抗性通过深度神经网络的输出结果进行评价，所述黑盒模型为对被测试模型的参数和神经网络架构完全未知；

基于线性变换的突变、基于仿射变换的突变、基于噪声的突变和基于点的突变，提升整个突变过程的可解释性以及使突变过程具有可重复性；

在白盒模型下对生成的对抗样本于该模型中的激活覆盖率数值进行分析，计算突变方向以生成对抗性更强的对抗样本，同时对模型进行进一步优化。

2.根据权利要求1所述的基于模糊测试的对抗样本生成方法，其特征在于，所述基于模糊测试的对抗样本生成方法具体包括以下步骤：

(1)输入一个输入空间的生成种子池，生成种子池随机生成正常输入样本集X_input,放入正常输入池中；

(2)从正常输入池X_input中选出一个输入样本x_input；

(3)对该输入样本x_input进行以函数M(x)为映射的变异生成变异样本

x′_input＝M(x_input)；

(4)将输入样本x_input和变异输入样本x′_input都通过目标神经网络H(x)运行，得到正常输入样本的输出y_output＝H(x_input)和变异输出样本的输出y′_output＝H(x′_input)；

(5)比对正常输入样本得到的输出和变异输入样本得到的输出，若有明显差异,即|y_output-y′_output|δ,则将该变异样本x′_input加入对抗样本池。

3.根据权利要求2所述的基于模糊测试的对抗样本生成方法，其特征在于，所述步骤(3)中，对输入样本的变异根据不同类型的样本约束有不同的变换方法，包括：

对于图像类的样本变异，

对于文本类的样本的变异。

4.根据权利要求3所述的基于模糊测试的对抗样本生成方法，其特征在于，所述对于图像类的样本变异包括：

1)灰度和对比度上的变异：通过对每一个像素的当前值增加或减少一个连续系数β来调节图像的灰度亮度；

通过对每一个像素的当前值乘以一个连续系数α来调节图像的对比度；

2)基于仿射变换的变异：仿射变换模拟角度的变化导致不同于随机的变异，仿射变换的可解释性对生成对抗样本的性能做出反馈；

3)基于添加噪声的变异：随机噪声、椒盐噪声和高斯白噪声或相结合的方式添加噪声。

5.根据权利要求3所述的基于模糊测试的对抗样本生成方法，其特征在于，所述对于文本类的样本变异包括：

在随机位置增加一个字符、在随机位置减少一个字符或是在随机位置更替一个字符。

6.根据权利要求2所述的基于模糊测试的对抗样本生成方法，其特征在于，所述步骤(5)中，在对抗样本池大小小于需求数量时，重复步骤(2)-步骤(5)直至满足需求。