[发明专利]模型评估方法、装置、计算机设备和存储介质

权利要求书

1.一种模型评估方法，其特征在于，所述方法包括：

获取第一图像样本数据；

根据动量迭代梯度算法对所述第一图像样本数据进行处理，得到原始图像对抗样本；

基于预设迭代策略以及物理变换，对所述原始图像对抗样本进行迭代处理，得到满足迭代条件的目标图像对抗样本，并将所述目标图像对抗样本对应的第一对抗扰动确定为目标通用扰动；对于图像样本，所述物理变换包括加性因子重新缩放、旋转、变亮或变暗、添加高斯噪声和图像的平移；所述物理变换的方法包括EOT算法；

基于所述目标通用扰动以及第二图像样本数据生成第二图像对抗样本，并根据输入所述第二图像对抗样本的待测图像分类模型对于输入所述第二图像样本数据的所述待测图像分类模型的准确率变化，进行稳定性评估，将通过稳定性评估的所述待测图像分类模型用于图像分类；

所述基于预设迭代策略以及物理变换，对所述原始图像对抗样本进行迭代处理，得到满足迭代条件的目标图像对抗样本，并将所述目标图像对抗样本对应的第一对抗扰动确定为目标通用扰动，包括：

将第一对抗扰动添加至所述原始图像对抗样本中，得到第一图像对抗样本；

在不满足预设输出条件的情况下，更新所述第一对抗扰动；

基于更新后的第一对抗扰动以及物理变换，对所述第一图像对抗样本进行处理，得到第三图像对抗样本；

将所述第三图像对抗样本作为新的第一图像对抗样本，执行所述在不满足预设输出条件的情况下，更新所述第一对抗扰动的步骤，直至满足所述预设输出条件，将当前的第一图像对抗样本作为目标图像对抗样本，并确定当前的第一对抗扰动为目标通用扰动。

2.根据权利要求1所述的方法，其特征在于，所述根据动量迭代梯度算法对所述第一图像样本数据进行处理，得到原始图像对抗样本，所述方法包括：

根据当前动量以及交叉熵损失，确定第一梯度，并根据所述第一图像样本数据以及所述第一梯度，确定第一动量迭代数据；

基于所述第一图像样本数据与所述第一动量迭代数据的输出差异，确定特征空间损失；

根据所述特征空间损失，确定第二梯度，并根据所述第一动量迭代数据以及所述第二梯度，确定第二动量迭代数据；

将所述第二动量迭代数据作为新的所述第一动量迭代数据，执行所述基于所述第一图像样本数据与所述第一动量迭代数据的输出差异，确定特征空间损失的步骤，直至达到预设迭代次数阈值的情况下，得到所述原始图像对抗样本。

3.根据权利要求1所述的方法，其特征在于，所述在不满足预设输出条件的情况下，更新所述第一对抗扰动，包括：

通过目标模型对所述第一图像对抗样本中的样本数据进行分类判别，得到所述目标模型分类判别对应的错误率；

在所述错误率不满足预设阈值的情况下，针对所述第一图像样本数据中扰动程度满足预设扰动条件的目标样本数据，更新所述第一对抗扰动。

4.根据权利要求3所述的方法，其特征在于，所述在所述错误率不满足预设阈值的情况下，针对所述第一图像样本数据中扰动程度满足预设扰动条件的目标样本数据，更新所述第一对抗扰动，包括：

在所述错误率不满足预设阈值的情况下，将所述第一图像对抗样本中的目标样本数据输入至模型分类器，得到第一分类结果；所述目标样本数据为当前循环的样本数据；

将所述原始图像对抗样本中的目标样本数据输入至模型分类器，得到第二分类结果；

在所述第一分类结果与所述第二分类结果一致的情况下，确定所述目标样本数据扰动程度满足预设扰动条件，更新所述第一对抗扰动。

5.根据权利要求4所述的方法，其特征在于，所述将所述第一图像对抗样本中的目标样本数据输入至模型分类器，得到第一分类结果之前，所述方法还包括：

判断所述第一对抗扰动是否在预设扰动范围；

当所述第一对抗扰动满足所述预设扰动范围，执行将所述第一图像对抗样本中的目标样本数据输入至模型分类器，得到第一分类结果步骤；

当所述第一对抗扰动不满足所述预设扰动范围，对所述第一对抗扰动进行裁剪，将裁剪后的所述第一对抗扰动作为新的第一对抗扰动，执行所述判断所述第一对抗扰动是否在预设扰动范围步骤。