[发明专利]基于自适应组样本扰动约束的对抗训练方法、装置及设备

说明书

本申请提供一种基于自适应组样本扰动约束的对抗训练方法、装置及设备，该方法包括：将训练图像输入给初始网络模型，得到训练图像对应的网络输出向量和预测类别；若基于预测类别和训练图像的实际类别确定训练图像的分类结果为错误，将训练图像确定为自然样本图像；若基于预测类别和实际类别确定训练图像的分类结果为正确，基于网络输出向量确定训练图像对应的目标自适应组；基于目标自适应组对应的目标样本扰动约束确定训练图像对应的目标扰动向量，基于目标扰动向量和训练图像生成扰动样本图像；基于自然样本图像和扰动样本图像对初始网络模型进行训练，得到目标网络模型。通过本申请的技术方案，显著提高目标网络模型对于攻击样本的抗干扰能力。

技术领域

本申请涉及人工智能安全技术领域，尤其是涉及一种基于自适应组样本扰动约束的对抗训练方法、装置及设备。

背景技术

深度学习是机器学习领域中一个新的研究方向，被引入机器学习使其更接近于最初的目标，即，实现人工智能。深度学习是学习样本数据的内在规律和表示层次，这些学习过程中获得的信息，对诸如文字，图像和声音等数据的解释有很大帮助。深度学习的最终目标是让机器能够具有分析学习能力，能够识别文字、图像和声音等数据。深度学习是复杂的机器学习算法，在图像识别、语音识别、自然语言处理等领域均取得了显著效果，从而被广泛应用。

在使用深度学习实现图像识别、语音识别、自然语言处理等功能时，需要先训练出一个深度神经网络模型，例如，CNN(Convolutional Neural Network，卷积神经网络)模型等，基于该深度神经网络模型实现图像识别，语音识别，自然语言处理等功能。但是，在深度学习领域中，包括CNN模型在内的各种深度神经网络模型，对于攻击样本具有比较高的脆弱性。比如说，若攻击者对输入样本添加微小的扰动，形成攻击样本，则将攻击样本输入给深度神经网络模型后，深度神经网络模型会以高置信度输出一个错误结果，从而导致深度神经网络模型的可靠性降低。比如说，在使用深度神经网络模型实现图像分类功能时，需要将图像输入给深度神经网络模型，由深度神经网络模型对图像进行人工智能处理，得到图像分类结果。但是，若攻击者对图像添加微小的扰动，在将修改后的图像输入给深度神经网络模型后，深度神经网络模型对图像进行人工智能处理后，得到的图像分类结果就可能是错误分类结果。

发明内容

本申请提供一种基于自适应组样本扰动约束的对抗训练方法，包括：

获取多个训练图像；针对每个训练图像，将所述训练图像输入给初始网络模型，得到所述训练图像对应的网络输出向量和预测类别；

若基于所述预测类别和所述训练图像的实际类别确定所述训练图像的分类结果为错误，则将所述训练图像确定为自然样本图像；

若基于所述预测类别和所述实际类别确定所述训练图像的分类结果为正确，则基于所述网络输出向量确定所述训练图像对应的目标自适应组；基于所述目标自适应组对应的目标样本扰动约束确定所述训练图像对应的目标扰动向量，基于所述目标扰动向量和所述训练图像生成扰动样本图像；

基于所述多个训练图像对应的自然样本图像和扰动样本图像，对所述初始网络模型进行训练，得到已训练的目标网络模型；

其中，所述目标网络模型用于对待分类图像进行分类。

本申请提供一种基于自适应组样本扰动约束的对抗训练装置，包括：

获取模块，用于获取多个训练图像；针对每个训练图像，将所述训练图像输入给初始网络模型，得到所述训练图像对应的网络输出向量和预测类别；

确定模块，用于若基于所述预测类别和所述训练图像的实际类别确定所述训练图像的分类结果为错误，则将所述训练图像确定为自然样本图像；