[发明专利]一种神经网络模型的对抗鲁棒性评估方法

权利要求书

1.一种神经网络模型的对抗鲁棒性评估方法，其特征在于，包括：

步骤1：将神经网络模型中的分类器分为非线性部分f_h和线性部分f_t两个部分；

步骤2：利用所述非线性部分f_h来定义输入样本的表征向量；以表征向量作为自变量，利用所述线性部分f_t来定义表征向量到各类别的绝对分类边界的距离公式；

步骤3：根据输入至神经网络模型的原始样本x随机生成一个对抗样本，并将其作为最初的起始点；

步骤4：利用所述距离公式和梯度下降法对给定的起始点进行优化更新，使得更新后的起始点的表征向量接近各类别的绝对分类边界；

步骤5：重复步骤4，直至达到停止条件，将此时的起始点作为最终的起始点；

步骤6：将所述最终的起始点作为原始样本x的对抗样本x′，基于所述对抗样本x′使用给定攻击算法对神经网络模型进行迭代攻击以确定神经网络模型的对抗鲁棒性。

2.根据权利要求1所述的一种神经网络模型的对抗鲁棒性评估方法，其特征在于，步骤2中，定义表征向量到各类别的绝对分类边界的距离公式为公式(2)所示：

其中，F_(y,k)(v)＝w_(y,k)*v+b_(y,k)，w表示线性部分f_t的权重参数，由K个行向量组成，N为f_t的输入神经元的个数，w_(y,k)表示第y个行向量和第k个行向量之间的差值，即w_y-w_k；b是线性部分f_t的偏置参数，b_(y,k)＝b_y-b_k，v表示输入样本的表征向量，y表示输入样本的真实类别标签，k表示第k个类别的标签，k≠y，k∈[0,K)，K表示类别标签个数，若表明表征向量v未落入标签y所在的S_y区域，且其值越大，表明表征向量v距离S_y区域越远，若表明表征向量v落入标签y所在的S_y区域。

3.根据权利要求1所述的一种神经网络模型的对抗鲁棒性评估方法，其特征在于，步骤3中，按照公式(3)生成最初的起始点

其中，δ₀∈U(-∈,+∈)^D，U表示均匀分布，∈表示均匀分布采样的边界，D表示维度。

4.根据权利要求1所述的一种神经网络模型的对抗鲁棒性评估方法，其特征在于，步骤4中，按照公式(4)对给定的起始点进行优化更新：

其中，t表示迭代次数，表示更新后的起始点，表示更新前的起始点，表示最初的起始点，表示的表征向量，η_init为迭代过程中的步长，函数P_(x,∈)(·)表示将原始样本x裁剪到x的∈-ball范围内。