[发明专利]神经网络的对抗训练方法、装置、计算机设备及存储介质

权利要求书

1.一种神经网络的对抗训练方法，其特征在于，所述方法包括：

将第一原始样本输入策略网络，得到所述策略网络输出的所述第一原始样本对应的第一攻击策略，所述第一攻击策略是指对所述第一原始样本进行扰动处理的处理方式；

基于所述第一攻击策略和目标神经网络的网络参数，对所述第一原始样本进行扰动处理，得到第一对抗样本；

基于所述第一对抗样本以及第一样本标注，对抗训练所述目标神经网络和所述策略网络，所述第一样本标注是所述第一原始样本对应的样本标注。

2.根据权利要求1所述的方法，其特征在于，所述基于所述第一对抗样本以及第一样本标注，对抗训练所述目标神经网络和所述策略网络，包括：

基于所述第一对抗样本以及所述第一样本标注，训练所述目标神经网络；

基于训练后的所述目标神经网络，训练所述策略网络。

3.根据权利要求2所述的方法，其特征在于，所述基于所述第一对抗样本以及所述第一样本标注，训练所述目标神经网络，包括：

将所述第一对抗样本输入所述目标神经网络，得到所述目标神经网络输出的第一预测标注；

基于所述第一预测标注和所述第一样本标注，确定第一预测损失，所述第一预测损失用于评估所述目标神经网络对于对抗样本的预测准确性；

以提高对对抗样本的预测准确性为训练目标，基于所述第一预测损失，训练所述目标神经网络。

4.根据权利要求3所述的方法，其特征在于，所述基于训练后的所述目标神经网络，训练所述策略网络，包括：

基于训练后的所述目标神经网络，确定第二预测损失或第三预测损失，所述第二预测损失用于评估训练后的目标神经网络对于对抗样本的预测准确性，所述第三预测损失用于评估训练后的目标神经网络对于原始样本的预测准确性；

以提高对对抗样本以及原始样本的预测准确性为训练目标，基于所述第一预测损失，以及所述第二预测损失和所述第三预测损失中的至少一种，训练所述策略网络。

5.根据权利要求4所述的方法，其特征在于，所述基于训练后的所述目标神经网络，确定第二预测损失或第三预测损失，包括：

将第二对抗样本输入训练后的所述目标神经网络，得到所述目标神经网络输出的第二预测标注；

基于所述第二预测标注和第二样本标注，确定所述第二预测损失，所述第二样本标注是所述第二对抗样本对应第二原始样本的样本标注。

6.根据权利要求5所述的方法，其特征在于，所述网络参数是第i次对抗训练后所述目标神经网络对应的第i网络参数，i为正整数；

所述将第二对抗样本输入训练后的所述目标神经网络，得到所述目标神经网络输出的第二预测标注之前，所述方法还包括：

获取训练后的所述目标神经网络对应的第i+1网络参数；

基于第二攻击策略和所述第i+1网络参数，对所述第二原始样本进行扰动处理，得到所述第二对抗样本，所述第二攻击策略不同于所述第一攻击策略。

7.根据权利要求4所述的方法，其特征在于，所述基于训练后的所述目标神经网络，确定第二预测损失或第三预测损失，包括：

将第三原始样本输入训练后的所述目标神经网络，得到所述目标神经网络输出的第三预测标注；

基于所述第三预测标注和第三样本标注，确定所述第三预测损失，所述第三样本标注是所述第三原始样本对应的样本标注。

8.根据权利要求1至7任一所述的方法，其特征在于，所述第一攻击策略包含至少一个攻击参数，每个攻击参数对应至少两个候选参数值；

所述将第一原始样本输入策略网络，得到所述策略网络输出的所述第一原始样本对应的第一攻击策略，包括：

将所述第一原始样本输入所述策略网络，得到所述策略网络输出的各个候选参数值的预测选取概率；

将同一攻击参数中预测选取概率最高的候选参数值确定为目标参数值；

将各个攻击参数对应所述目标参数值的集合确定为所述第一攻击策略。