[发明专利]用于生成对抗样本的方法、模型评估方法、装置和计算机设备

权利要求书

1.一种用于生成第一自然样本的对抗样本的方法，包括：

获取第一对抗样本，所述第一对抗样本的标签与第一自然样本不同，所述第一对抗样本和所述第一自然样本均为图像数据；

使第一对抗样本接近第一自然样本，直至第一对抗样本与第一自然样本之间的相似程度满足条件并且第一对抗样本的标签与第一自然样本不同；所述条件包括：第一对抗样本的像素矩阵与第一自然样本的像素矩阵之间的距离小于或等于阈值；所述使第一对抗样本接近第一自然样本，包括：计算第一对抗样本与第一自然样本之间的差值数据；判断差值数据是否与服从预设数学分布的随机数数据的正负号相同；根据判断结果，确定扰动数据，所述扰动数据用于使第一对抗样本接近第一自然样本；根据扰动数据和第一对抗样本，生成第二对抗样本；根据第二对抗样本与第一自然样本之间标签的异同，确定新的第一对抗样本；

将新的第一对抗样本确定为第一自然样本的对抗样本，所述第一自然样本的对抗样本包括图像数据。

2.根据权利要求1所述的方法，所述获取第一对抗样本，包括：

获取第二自然样本作为第一对抗样本，所述第二自然样本的标签与第一自然样本不同。

3.根据权利要求1所述的方法，所述确定扰动数据，包括：

若是，将随机数数据确定为扰动数据；或者，若否，将预设数据确定为扰动数据。

4.根据权利要求1所述的方法，所述确定新的第一对抗样本，包括：

若第二对抗样本的标签与第一自然样本不同，将第二对抗样本确定为新的第一对抗样本；或者，若第二对抗样本的标签与第一自然样本相同，保持第一对抗样本为新的第一对抗样本。

5.根据权利要求1所述的方法，所述生成第二对抗样本，包括：

根据迭代次数确定迭代步长，所述迭代步长与所述迭代次数反相关，所述迭代次数为所述使第一对抗样本接近第一自然样本的执行次数；

根据迭代步长，将扰动数据叠加到第一对抗样本上，从而生成第二对抗样本。

6.一种模型评估方法，应用于计算机设备，包括：

将若干数量的自然样本输入至模型，以确定所述模型的第一性能指标，所述自然样本包括图像数据，所述模型包括用于对图像数据进行分类的分类模型；

将若干数量的对抗样本输入至所述模型，以确定所述模型的第二性能指标，所述对抗样本为所述自然样本的对抗样本，所述对抗样本包括图像数据，所述对抗样本根据权利要求1-5中任一项所述的方法生成；

将第一性能指标与第二性能指标进行融合，得到复合性能指标，所述复合性能指标用于表示所述模型在图像数据上的性能，能够用于评估所述模型对于对抗攻击的鲁棒性。

7.根据权利要求6所述的方法，所述将第一性能指标与第二性能指标进行融合，包括：

计算第一性能指标和第二性能指标的差值数据；

根据差值数据和第一性能指标，计算几何平均数作为复合性能指标。

8.一种用于生成第一自然样本的对抗样本的装置，包括：

获取模块，用于获取第一对抗样本，所述第一对抗样本的标签与第一自然样本不同，所述第一对抗样本和所述第一自然样本均为图像数据；

接近模块，用于使第一对抗样本接近第一自然样本，直至第一对抗样本与第一自然样本之间的相似程度满足条件并且第一对抗样本的标签与第一自然样本不同；所述条件包括：第一对抗样本的像素矩阵与第一自然样本的像素矩阵之间的距离小于或等于阈值；所述使第一对抗样本接近第一自然样本，包括：计算第一对抗样本与第一自然样本之间的差值数据；判断差值数据是否与服从预设数学分布的随机数数据的正负号相同；根据判断结果，确定扰动数据，所述扰动数据用于使第一对抗样本接近第一自然样本；根据扰动数据和第一对抗样本，生成第二对抗样本；根据第二对抗样本与第一自然样本之间标签的异同，确定新的第一对抗样本；

确定模块，用于将新的第一对抗样本确定为第一自然样本的对抗样本，所述第一自然样本的对抗样本包括图像数据。