[发明专利]基于优化算法和不变性的智能对抗样本生成方法及系统

权利要求书

1.一种基于优化算法和不变性的智能对抗样本生成方法，其特征在于，包含如下内容：

收集带有正确标签的原始图像数据；并构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；

基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法梯度迭代法及裁剪不变性方法对原始输入图像进行迭代求解，依据迭代终止条件来获取最终生成的对抗样本，其中，每轮迭代求解中，利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本，并为每个裁剪图像副本设置权重并分配给对应的神经网络模型，利用裁剪图像副本求取神经网络模型损失函数梯度，将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动；利用约束条件对对抗扰动进行约束，并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。

2.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，利用裁剪函数对部分区域进行随机裁剪，生成若干对应的裁剪图像副本数据，其中，部分区域为边界区域。

3.根据权利要求1或2所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，针对每个迭代轮次，依据预设的衰减因子及上一轮迭代生成对抗样本时神经网络模型损失结果获取当前迭代轮次中损失函数的梯度及当前梯度对生成的对抗样本的影响参数，并求解对抗扰动。

4.根据权利要求3所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，利用上一轮迭代时的影响参数及当前迭代梯度和累计迭代梯度差值的平方来获取当前迭代轮次对对抗样本的影响参数。

5.根据权利要求3所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，损失函数的梯度包含当前迭代梯度和累计迭代梯度；并根据累计梯度、影响参数及预设迭代步长计算扰动参数权重，根据该扰动参数权重来约束对抗扰动。

6.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，依据约束的对抗扰动及上一轮迭代生成的对抗样本来获取当前迭代轮次的对抗样本，并利用裁剪函数clip将当前迭代轮次的对抗样本约束在无穷范数范围内。

7.根据权利要求6所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，当前迭代轮次的对抗样本生成过程表示为其中，m_t收集前t轮迭代的梯度，其衰减因子为β₁，s_t收集第t轮梯度与m_t之间差值的平方，其衰减因子为β₂，α为迭代步长，sign(·)为符号函数，为将输入x的对抗样本x^adv约束在无穷范数范围内的裁剪函数clip，ε为对抗扰动的最大值。

8.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，模型损失函数采用交叉熵损失函数。

9.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，迭代终止条件为达到预设的迭代轮数。

10.一种基于优化算法和不变性的智能对抗样本生成系统，其特征在于，包含：预处理模块和生成模块，其中，

预处理模块，用于收集带有正确标签的原始图像数据；并构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；

生成模块，用于基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法及裁剪不变性方法对原始输入图像进行迭代求解，依据迭代终止条件来获取最终生成的对抗样本，其中，每轮迭代求解中，利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本，并为每个裁剪图像副本设置权重并分配给对应的神经网络模型，利用裁剪图像副本求取神经网络模型损失函数梯度，将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动；利用约束条件对对抗扰动进行约束，并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。