[发明专利]一种基于生成模型的对抗样本生成方法

说明书

本发明公开一种基于生成模型的对抗样本生成方法，包括以下步骤：步骤1、获取需要进行对抗训练的模型在训练阶段使用的数据集，并进行预处理，将得到的数据集划分为训练集X_train和测试集X_test两部分；步骤2、使用训练集X_train训练所需的对抗样本生成模型，批量生成对抗样本。本发明对抗样本生成方法将迭代带来的时间代价集中至生成模型的训练阶段，从而避免在样本生成阶段重复的进行迭代，可以快速、批量地生成对抗样本，并且，通过让随机模型参与生成器的训练，本方法生成的对抗样本将具有更强的泛化性能，这将使得生成的样本可以用于多个模型的对抗训练，从而间接地降低对抗训练的成本。

技术领域

本发明涉及深度学习领域，具体的是一种基于生成模型的对抗样本生成方法。

背景技术

对抗样本是一类特殊的样本，它们通常由正常样本添加人眼难以察觉的微小扰动得来。对抗样本可以误导深度神经网络使其犯错，严重影响了深度学习模型的可靠性。为此，很多对抗样本的防御方法被提出。在已有的典型防御方法中，对抗训练是最直接有效的方法。通过在深度学习模型的训练阶段投入对抗样本，对抗训练可以使得模型的鲁棒性大幅度提升。但是，实施对抗训练必须以大量的对抗样本作为数据基础，为了驱动对抗训练，需要一种高效的、能够批量生成对抗样本的方法。

传统的对抗样本生成方法包括基于梯度的方法和基于优化的方法。基于梯度的方法以FGSM为代表，攻击者需要知道目标模型的参数以计算损失函数的梯度。基于优化的方法以CW方法为代表，它们通常会将生成视为优化问题，攻击者通过设置多种约束条件最终得到对抗性扰动。大多数时候，基于优化的方法能计算出冗余较小的摄动，但也会花费更多的时间。这些传统的对抗样本生成方法通常对单个样本进行优化迭代，对于大规模生成对抗样本的场合，重复的迭代过程将耗费大量的时间。此外，传统方法生成的对抗样本具有很强的针对性，在指定的目标模型上生成的对抗样本很大程度上只对该模型生效，这使得耗费大量时间代价生成的对抗样本只能用于指定模型的对抗训练。

发明内容

为解决上述背景技术中提到的不足，本发明的目的在于提供一种基于生成模型的对抗样本生成方法，将迭代带来的时间代价集中至生成模型的训练阶段，从而避免在样本生成阶段重复的进行迭代，可以快速、批量地生成对抗样本，并且，通过让随机模型参与生成器的训练，本方法生成的对抗样本将具有更强的泛化性能，这将使得生成的样本可以用于多个模型的对抗训练，从而间接地降低对抗训练的成本。

本发明的目的可以通过以下技术方案实现：

一种基于生成模型的对抗样本生成方法，包括以下步骤：

步骤1、获取需要进行对抗训练的模型在训练阶段使用的数据集，并进行预处理，将得到的数据集划分为训练集X_train和测试集X_test两部分；

步骤2、使用训练集X_train训练所需的对抗样本生成模型，批量生成对抗样本。

进一步优选地，步骤1包括：

步骤1.1、将获得的数据集中的图像大小调整至需要进行对抗训练的模型在训练时使用的大小，将对应的标签转化为独热形式；

步骤1.2、用转化完成的图像数据和对应的标签组成数据集，将得到的数据集划分为训练集X_train和测试集X_test两部分。

进一步优选地，步骤2包括：

步骤2.1、使用训练集X_train训练所需的对抗样本生成模型；

步骤2.2、使用测试集X_test作为训练完成的对抗样本生成模型的输入，生成对抗样本，将生成的对抗样本作为目标模型的输入，测试生成器G的效果；