[发明专利]一种有目标的攻击样本生成方法、装置、设备及存储介质

权利要求书

1.一种有目标的攻击样本生成方法，其特征在于，包括以下步骤：

获取待识别图像X和特定数字j，遍历所述待识别图像X的每个像素点，在每个像素点采样K个像素值，并分别计算每一个所述像素点的K个像素值在预设的神经网络N中的识别概率，得到将所述待识别图像X，识别为所述特定数字j的识别结果中最大识别概率的像素点的位置P；其中，255≥K≥1；

遍历所述像素点的位置P的每个像素值，并分别计算每个数值在所述预设的神经网络N中的识别概率，得到将所述待识别图像X，识别为所述特定数字j的最大识别概率时的像素值V’；

将所述待识别图像X中像素位置P的像素值修改为V’，得到对抗样本X’。

2.如权利要求1所述的有目标的攻击样本生成方法，其特征在于，所述预设的神经网络N是通过输入多个数字样本图像进行识别训练，直到正确识别每一个数字时构建而成；

所述预设的神经网络N，用于对输入的数字样本图片进行识别，并输出识别结果。

3.如权利要求2所述的有目标的攻击样本生成方法，其特征在于，所述识别结果为bj；其中，bj为将所述待识别图像X，识别为所述特定数字j时的最大识别概率，0≤j≤9。

4.如权利要求3所述的有目标的攻击样本生成方法，其特征在于，所述识别结果bj的概率满足：b0+b1+b2+b3+b4+b5+b6+b7+b8+b9＝1。

5.如权利要求4所述的有目标的攻击样本生成方法，其特征在于，所述分别计算每个数值在预设的神经网络N中的识别概率，得到将所述待识别图像X，识别为所述特定数字j的识别结果中最大识别概率的像素点的位置P，具体为：

所述待识别图像X的像素为M*N个，遍历所述M*N个像素点，并在每个像素点采样K个值，得到M*N*K个数值；

分别将所述M*N*K个数值输入至所述预设的神经网络N中进行识别，得到M*N*K个输出的识别结果；

获取所述M*N*K个输出的识别结果中将所述待识别图像X，识别为所述特定数字j的识别结果中最大识别概率bj，并根据所述识别结果bj，得到对应像素点的位置P。

6.如权利要求5所述的有目标的攻击样本生成方法，其特征在于，所述K＝10。

7.一种单像素有目标的攻击样本生成装置，其特征在于，包括位置确认模块、像素值确认模块以及对抗样本生成模块；

所述位置确认模块，用于获取待识别图像X和特定数字j，遍历所述待识别图像X的每个像素点，在每个像素点采样K个像素值，并分别计算每一个所述像素点的K个像素值在预设的神经网络N中的识别概率，得到将所述待识别图像X，识别为所述特定数字j的识别结果中最大识别概率的像素点的位置P；其中，255≥K≥1；

所述像素值确认模块，用于遍历所述像素点的位置P的每个像素值，并分别计算每个数值在所述预设的神经网络N中的识别概率，得到将所述待识别图像X，识别为所述特定数字j的最大识别概率时的像素值V’；

所述对抗样本生成模块，用于将所述待识别图像X中像素位置P的像素值修改为V’，得到对抗样本X’。

8.如权利要求7所述的单像素有目标的攻击样本生成装置，其特征在于，所述位置确认模块包括像素个数确认单元、识别单元以及位置识别单元；

所述像素个数确认单元，用于所述待识别图像X的像素为M*N个，遍历所述M*N个像素点，并在每个像素点采样K个值，得到M*N*K个数值；

所述识别单元，用于分别将所述M*N*K个数值输入至所述预设的神经网络N中进行识别，得到M*N*K个输出的识别结果；

所述位置识别单元，用于获取所述M*N*K个输出的识别结果中将所述待识别图像X，识别为所述特定数字j的识别结果中最大识别概率bj，并根据所述识别结果bj，得到对应像素点的位置P。