[发明专利]一种对抗样本生成方法及装置

说明书

本申请公开了一种对抗样本生成方法及装置，包括：将原始样本中的区域划分为目标区域和非目标区域；所述目标区域为视觉系统关注度高的区域，所述非目标区域为视觉系统关注度低的区域；确定所述原始样本的梯度噪声，分别为所述目标区域和所述非目标区域动态分配不同的步长；基于所述步长和所述梯度噪声分别对所述目标区域和所述非目标区域添加干扰噪声，得到与所述原始样本对应的对抗样本；所述非目标区域的干扰强度强于所述目标区域的干扰强度。本申请通过在目标区域微小扰动、非目标区域高扰动，从而能够在人眼不易觉察的情况下增大扰动噪声幅度和噪声信息能量强度，以提高对抗样本的攻击性，使得被训练后的网络模型更具鲁棒性。

技术领域

本发明涉及人工智能技术领域，特别涉及一种对抗样本生成方法、装置、设备及存储介质。

背景技术

在计算机视觉技术领域，深度神经网络技术广泛应用于目标识别应用中，具有代表性的有人脸识别、自动驾驶识别等。随着目标识别技术的不断发展和被越来越多的生产生活领域引入，目标识别技术的安全问题也逐渐暴露，日益引起人们重视，深度神经网络模型的安全性面临着诸多挑战。对抗样本攻击针对深度神经网络缺陷，通过添加肉眼难以察觉的干扰噪声生成对抗样本，使得网络模型对对抗样本的识别判断产生误判，误导目标识别系统行为，从而达到逃逸或者目标识别结果指向性误导的效果。

现有技术中，对抗样本生成方法包括快速梯度符号攻击(FGSM，fast gradientsign method)、投影梯度下降攻击(PGD，Project Gradient Descent)等攻击方法，核心理论是通过添加网络模型损失增加方向梯度噪声构造对抗攻击样本，达到降低正确识别结果概率，增加错误识别结果概率的效果。这类对抗样本噪声本质为微小、高频扰动，容易被采用高频滤波等消除噪声的防御方法防御且简单的增加扰动幅度极容易被肉眼察觉发现。

因此，如何在肉眼难以觉察的情况下提高对抗样本攻击性是本领域技术人员亟待解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种对抗样本生成方法、装置、设备及存储介质，能够在人眼不易觉察的情况下增大扰动噪声幅度和噪声信息能量强度，以提高对抗样本的攻击性，使得被训练后的网络模型更具鲁棒性。

其具体方案如下：

本申请的第一方面提供了一种对抗样本生成方法，包括：

将原始样本中的区域划分为目标区域和非目标区域；其中，所述目标区域为视觉系统关注度高的区域，所述非目标区域为视觉系统关注度低的区域；

确定所述原始样本的梯度噪声，并分别为所述目标区域和所述非目标区域动态分配不同的步长；

基于所述步长和所述梯度噪声分别对所述目标区域和所述非目标区域添加干扰噪声，以得到与所述原始样本对应的对抗样本；其中，所述非目标区域的干扰强度强于所述目标区域的干扰强度。

可选的，所述将原始样本中的区域划分为目标区域和非目标区域，包括：

利用目标检测算法对所述原始样本进行处理以得到所述将原始样本的所述目标区域和所述非目标区域，并确定所述目标区域中的目标识别类型。

可选的，所述确定所述原始样本的梯度噪声，包括：

如果生成的所述对抗样本用于有目标攻击场景，则以有目标攻击场景中的目标识别类型权重对所述原始样本对应矩阵进行求导计算，得到所述原始样本的梯度矩阵；

如果生成的对抗样本用于无目标攻击场景，则以所述原始样本的目标识别类型权重对所述原始样本对应矩阵进行求导计算并对计算结果取反后得到所述原始样本的梯度矩阵。

可选的，所述分别为所述目标区域和所述非目标区域动态分配不同的步长，包括：