[发明专利]一种生成攻击样本的方法和系统

权利要求书

1.一种生成攻击样本的方法，所述方法包括：

获取第一样本集，将所述第一样本集作为目标模型的测试数据；

使用所述第一样本集，获取重要特征；其中，所述重要特征为对目标模型测试结果的影响超过预设影响阈值的特征，所述重要特征包括正重要特征和负重要特征；

从所述第一样本集中选取至少一条样本作为原始样本，并基于所述原始样本和所述重要特征，构造第二样本集；其中，所述第二样本集包括正第二样本和负第二样本；

将所述第二样本集输入所述目标模型，基于所述目标模型输出的结果，确定扰动特征；其中，所述扰动特征包括正扰动特征和负扰动特征，所述扰动特征由所述重要特征中的至少一个组成；

使用所述扰动特征构造攻击样本；其中，所述攻击样本用于攻击所述目标模型。

2.根据权利要求1所述的方法，其中，所述获取第一样本集包括：

将特征空间随机划分为多个特征序列，每个所述特征序列构成一条样本；

分别将多条所述样本输入所述目标模型，将所述目标模型输出的结果作为所述样本的标签，将带标签的多条所述样本作为第一样本集。

3.根据权利要求2所述的方法，其中，所述使用所述第一样本集，获取重要特征包括：

使用所述第一样本集训练线性模型，获取多个权重，所述多个权重对应于组成所述第一样本集的所述多个特征；

将所述多个权重中符号为正的权重按照值由大到小的顺序进行排序，选取前N个权重对应的特征作为所述正重要特征；

将所述多个权重中符号为负的权重按照值由大到小的顺序进行排序，选取前N个权重对应的特征作为所述负重要特征。

4.根据权利要求3所述的方法，其中，所述基于所述原始样本和所述重要特征，构造第二样本集包括：

从所述重要特征中的正重要特征中任意选取至少一个按照不同的组合添加到所述原始样本中，构造至少一条所述正第二样本；

从所述重要特征中的负重要特征中任意选取至少一个按照不同的组合添加到所述原始样本中，构造至少一条所述负第二样本。

5.根据权利要求4所述的方法，其中，所述将所述第二样本集输入所述目标模型，基于所述目标模型输出的结果，确定扰动特征包括：

将所述第二样本集中的所述至少一条正第二样本输入所述目标模型，获取所述目标模型输出的至少一个分数；

将所述至少一个分数中最高分数对应的正第二样本中包含的所述正重要特征作为所述正扰动特征；

将所述第二样本集中的至少一条负第二样本输入所述目标模型，获取所述目标模型输出的至少一个分数；

将所述至少一个分数中最低分数对应的负第二样本中包含的所述负重要特征作为所述负扰动特征。

6.根据权利要求5所述的方法，其中，所述使用所述扰动特征构造攻击样本包括：

从所述目标模型的测试数据中选取至少一条样本作为测试样本，将所述正扰动特征添加到所述测试样本中，获取正攻击样本；

将所述负扰动特征添加到所述测试样本中，获取负攻击样本。

7.根据权利要求1所述的方法，其中，所述目标模型基于实体对象的数据进行预测，并根据预测结果确定后续的操作，使用所述方法构造所述目标模型的攻击样本。