[发明专利]通用扰动获取方法、装置、存储介质及计算机设备

权利要求书

1.一种通用扰动获取方法，其特征在于，所述方法包括：

获取样本图像集，所述样本图像集包括多个样本图像；

将所述多个样本图像分别与原始图像进行比对，获取变换矩阵特征的概率分布；

根据所述变换矩阵特征的概率分布构建图像分类模型的损失函数；

将所述样本图像集输入所述图像分类模型，得到各样本图像的预测结果；

根据各样本图像的预测结果确定攻击参数值大于预设攻击参数值的目标扰动噪声；

将所述目标扰动噪声作为目标通用扰动并输出；

所述将所述样本图像集输入图像分类模型，得到各样本图像的预测结果，包括：

将初始扰动添加到第一样本图像后，输入图像分类模型；

获取所述图像分类模型的第一预测结果；

若所述第一预测结果为失败，则获取历史扰动噪声，以及从所述样本图像集中选择候选样本图像；

将所述历史扰动噪声添加到所述候选样本图像后，输入所述图像分类模型；

获取所述图像分类模型的第二预测结果；

所述根据所述变换矩阵特征的概率分布构建图像分类模型的损失函数，包括：

根据所述变换矩阵特征的概率分布，抽取多个变换矩阵特征，并根据所述多个变换矩阵特征，生成多个变换函数；

根据所述变换函数以及所述概率分布的期望，构建所述损失函数。

2.根据权利要求1所述的方法，其特征在于，所述历史扰动噪声包括历史样本图像输入所述图像分类模型后对应的历史预测结果为失败时生成的扰动噪声，以及所述第一样本图像输入所述图像分类模型后对应的第一预测结果为失败时生成的扰动噪声；

所述根据各样本图像的预测结果确定攻击参数值大于预设攻击参数值的目标扰动噪声；将所述目标扰动噪声作为目标通用扰动，包括：

若所述第二预测结果为失败，则将所述第二预测结果对应的扰动噪声更新到所述历史扰动噪声中，直至攻击参数值大于预设攻击参数值，则将大于所述预设攻击参数值时获取的历史扰动噪声输出并作为所述目标通用扰动。

3.根据权利要求2所述的方法，其特征在于，所述将所述第二预测结果对应的扰动噪声更新到所述历史扰动噪声中，包括：

根据所述第二预测结果和所述候选样本图像对应的实际结果，构建预测损失函数；

根据所述候选样本图像与添加历史扰动噪声后的候选样本图像之间的距离，构建距离损失函数；

基于所述距离损失函数对应的权重参数，将所述预测损失函数与所述距离损失函数相减；

当预测损失函数与所述距离损失函数的差值达到最大时，输出所述第二预测结果对应的扰动噪声，并将所述第二预测结果对应的扰动噪声更新到所述历史扰动噪声中。

4.根据权利要求2所述的方法，其特征在于，在所述将所述第二预测结果对应的扰动噪声更新到所述历史扰动噪声中之前，所述方法还包括：

对所述第二预测结果对应的扰动噪声进行扰动范数限制，得到限制后的扰动噪声；

所述将所述第二预测结果对应的扰动噪声更新到所述历史扰动噪声中，包括：

将所述第二预测结果对应的限制后的扰动噪声更新到所述历史扰动噪声中。

5.根据权利要求4所述的方法，其特征在于，所述对所述第二预测结果对应的扰动噪声进行扰动范数限制，得到限制后的扰动噪声，包括：

将与所述第二预测结果对应的扰动噪声的范数距离最小的扰动噪声，确定为所述限制后的扰动噪声，其中，所述范数距离最小的扰动噪声满足预设扰动范数限制。

6.根据权利要求2至5任一项所述的方法，其特征在于，在所述直至攻击参数值大于预设攻击参数值，则将大于所述预设攻击参数值时获取的历史扰动噪声输出并作为所述目标通用扰动之前，所述方法还包括：

根据所述各样本图像的预测结果，确定攻击成功的样本图像数量；

根据所述攻击成功的样本图像数量和所述样本图像集对应的总样本图像数量，计算针对所述样本图像集的攻击参数值。