[发明专利]一种对抗样本生成方法、系统、计算机设备和存储介质

权利要求书

1.一种对抗样本生成方法，其特征在于，所述方法包括以下步骤：

获取待攻击的原始图像样本和神经网络模型；

将所述原始图像样本输入所述神经网络模型，得到对应的梯度符号矩阵，具体包括：

采用快速梯度下降法，获取损失函数相对于所述原始图像样本的梯度信息矩阵；所述损失函数与所述神经网络模型相对应；

将所述梯度信息矩阵输入sign符号函数，得到所述梯度符号矩阵；

获取所述原始图像样本的信息熵分布矩阵，并根据所述信息熵分布矩阵和所述梯度符号矩阵，生成对应的扰动矩阵，具体包括：

通过熵值滤波器，得到所述原始图像样本的信息熵值矩阵；

将所述信息熵值矩阵进行特征变换，得到所述信息熵分布矩阵；

将所述信息熵分布矩阵与所述梯度符号矩阵作矩阵乘法，得到所述扰动矩阵；所述信息熵分布矩阵的元素作为对应所述梯度符号矩阵中对应位置元素的权重；

采用所述扰动矩阵对所述原始图像样本添加扰动，得到噪声图像样本；

判断所述噪声图像样本是否满足对抗样本生成要求，若未满足，则将所述噪声图像样本输入所述神经网络模型，进行下一轮噪声图像样本生成迭代，反之，则停止迭代，将所述噪声图像样本作为对抗样本；

其中，所述通过熵值滤波器，得到所述原始图像样本的信息熵值矩阵的步骤包括：

根据所述熵值滤波器的大小，采用边缘填充法对所述原始图像样本的四个侧边按照大小为1且填充值采用对应图像边缘像素值的方式进行填充，得到填充图像样本；所述熵值滤波器大小为3*3，步长为1；

通过熵值滤波器，将所述填充图像样本的每个像素值按照预设类别数目分类，再基于预设类别数目和分类原则计算信息熵，得到所述信息熵值矩阵。

2.如权利要求1所述的对抗样本生成方法，其特征在于，所述判断所述噪声图像样本是否满足对抗样本生成要求的步骤包括：

判断所述噪声图像样本生成迭代的次数是否已达到预设最大迭代次数；

或判断所述噪声图像样本是否已能成功攻击所述神经网络模型。

3.如权利要求1所述的对抗样本生成方法，其特征在于，所述采用所述扰动矩阵对所述原始图像样本添加扰动，得到噪声图像样本的步骤包括：

将所述扰动矩阵与所述原始图像样本叠加，得到所述噪声图像样本；所述噪声图像样本表示为：

t＝x+ε

ε＝M′_e·M_g

式中，t为噪声图像样本；x为原始图像样本；ε为扰动矩阵；M′_e为原始图像样本的信息熵分布矩阵；M_g为原始图像样本的梯度符号矩阵。

4.如权利要求1所述的对抗样本生成方法，其特征在于，所述将所述信息熵值矩阵进行特征变换，得到所述信息熵分布矩阵的步骤包括：

将所述信息熵值矩阵进行数值归一化处理，得到归一化信息熵值矩阵；

将所述归一化信息熵值矩阵进行标准化处理，得到所述信息熵分布矩阵。

5.一种对抗样本生成系统，其特征在于，能够执行如权利要求1所述 的对抗样本生成方法，所述系统包括：

样本获取模块，用于获取待攻击的原始图像样本和神经网络模型；

梯度符号模块，用于将所述原始图像样本输入所述神经网络模型，得到对应的梯度符号矩阵；

扰动生成模块，用于获取所述原始图像样本的信息熵分布矩阵，并根据所述信息熵分布矩阵和所述梯度符号矩阵，生成对应的扰动矩阵；

扰动添加模块，用于采用所述扰动矩阵对所述原始图像样本添加扰动，得到噪声图像样本；

样本生成模块，用于判断所述噪声图像样本是否满足对抗样本生成要求，若未满足，则将所述噪声图像样本输入所述神经网络模型，进行下一轮噪声图像样本生成迭代，反之，则停止迭代，将所述噪声图像样本作为对抗样本。

6.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至4中任一所述方法的步骤。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至4中任一所述方法的步骤。