[发明专利]对抗样本生成方法、装置、介质和计算设备

说明书

本发明提供了对抗样本生成的方法，包括：获取第一样本图像，其中，所述第一样本图像为攻击对象的图像；基于所述第一样本图像，以预设的白盒替代模型的识别对象的相似度函数在不同拍摄条件下的数学期望为目标函数进行求解，生成特定区域的干扰图像；将所述第一样本图像叠加所述干扰图像，生成对抗样本。本发明利用白盒替代模型生成对抗样本，可以提升攻击效率，快速检测图像识别模型是否存在潜在漏洞，提高图像识别模型的评估，提升图像识别模型的安全性。此外，本发明的实施方式提供了一种对抗样本生成装置、介质和计算设备。

技术领域

本发明涉及计算机视觉技术领域，尤其是涉及对抗样本生成方法、装置、介质和计算设备。

背景技术

图像识别作为计算机视觉中的一个重要的任务，由于深度神经网络的带动，也取得了巨大的发展。并且图像识别系统在金融/支付，公共交通以及罪犯识别等现实场景中有很多的应用。虽然图像识别系统取得了很大的成功与实际应用，但是这些系统还无法完全确保具备足够的安全性。

近几年来，深度学习在图像、语音和自然语言等领域取得突破性成果。但是，对于一些可以达到很高准确识别率的深度神经网络模型，在对抗环境中却也很容易受到攻击。在对抗环境中，深度神经网络模型会被输入一些基于正常样本恶意构造的对抗样本(例如，图片或者语音信息)，在对抗样本的攻击下，深度神经网络模型会做出错误的预测。因此，采用对抗样本对深度神经网络进行攻击可以检测出深度神经网络模型潜在的漏洞，继而用于评估和提升深度神经网络模型的安全性。

目前，市面上大部分图像识别系统都是黑盒封装、只提供摄像头输入的一体化设备，无法知悉具体的模型结构和参数，这类系统的安全性难以验证。

发明内容

有鉴于此，本发明的目的在于提供一种对抗样本生成方法，能够针对无法知悉具体的模型结构和参数的黑盒模型生成有效的对抗样本，所述方法包括：

获取第一样本图像，其中，所述第一样本图像为攻击对象的图像；

基于所述第一样本图像，以预设的白盒替代模型的识别对象的相似度函数在不同拍摄条件下的数学期望为目标函数进行求解，生成特定区域的干扰图像；

将所述第一样本图像叠加所述干扰图像，生成对抗样本。

本发明还提供一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行前述任一对抗样本生成方法。

本发明还提供一种计算设备，所述计算设备包括：处理器；用于存储所述处理器可执行指令的存储器；

所述处理器，用于执行前述任一对抗样本生成方法。

本发明实施例提供了一种对抗样本生成方法、装置、介质和计算设备，针对图像识别模型，利用白盒替代模型可以提升攻击效率，从而快速检测图像识别模型是否存在潜在漏洞，可以提高图像识别模型的评估，提升图像识别模型的安全性，此外，本发明针对不同的攻击方式，可以普遍使用。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的本发明的人脸识别模型的攻击流程的场景示意图；