[发明专利]对抗样本的生成方法、装置和服务器

说明书

本说明书提供了对抗样本的生成方法、装置和服务器。具体实施前，可以先通过拆分并组合与目标模型相匹配的初始模型，得到包含有长度不同的多个初始的子网络模型的初始的多轨道模型；再通过训练该初始的多轨道模型，得到包含有长度不同的多个子网络模型的目标多轨道模型；进一步可以从该目标多轨道模型中确定出融合了处理低层特征的模型块，同时又降低了处理高层特征的模型块的影响的，用于对目标模型进行对抗攻击测试的目标模型结构。进而具体实施时，可以通过利用该目标多轨道模型中的目标模型结构，生成得到迁移性较好的对抗样本，以便后续能利用上述对抗样本地对目标模型进行较为有效的安全性测试。

技术领域

本说明书属于深度学习技术领域，尤其涉及对抗样本的生成方法、装置和服务器。

背景技术

通常通过深度学习训练得到的深度神经网络模型（DNN）虽然具有较好的模型性能，但对于对抗样本的鲁棒性往往较差。

例如，如果将较为微小、人类无法察觉到的对抗性噪声添加到输入后，模型在处理时很有可能会对上述添加有对抗性噪声的输入进行具有较高置信度的误分类，导致所训练得到的模型容易存在较高的安全性风险。

因此，需要生成并使用合适的对抗样本，通过对模型进行黑盒攻击测试，来对模型进行鲁棒性评估以及相应改进。

目前，亟需一种能够生成得到迁移性较好的对抗样本的方法。

发明内容

本说明书提供了一种对抗样本的生成方法、装置和服务器，能够生成得到迁移性较好的对抗样本。

本说明书提供的对抗样本的生成方法、装置和服务器是这样实现的：

一种对抗样本的生成方法，包括：接收针对目标模型的对抗样本生成请求；根据所述对抗样本生成请求，构建与所述目标模型对应的目标多轨道模型；其中，所述目标多轨道模型包括长度不同的多个子网络模型；所述多个子网络模型连接有共同的输入模块；所述子网络模型包含有串联的多个模型块；所述子网络模型的末尾还分别连接有对应的输出模块；从所述目标多轨道模型中确定出目标模型结构；其中，所述目标模型结构为用于对目标模型进行对抗攻击测试的模型结构；利用所述目标模型结构生成针对所述目标模型的对抗样本。

一种用于获取与目标模型对应的目标多轨道模型的方法，包括：获取并拆分初始模型，得到长度不同的多个初始的子网络模型；其中，所述初始模型为与目标模型相匹配的模型；所述多个初始的子网络模型包含有相同的输入模块；组合多个初始的子网络模型，得到初始的多轨道模型；训练所述初始的多轨道模型，得到与所述目标模型对应的目标多轨道模型。

一种对抗样本的生成装置，包括：接收模块，用于接收针对目标模型的对抗样本生成请求；构建模块，用于根据所述对抗样本生成请求，构建与所述目标模型对应的目标多轨道模型；其中，所述目标多轨道模型包括长度不同的多个子网络模型；所述多个子网络模型连接有共同的输入模块；所述子网络模型包含有串联的多个模型块；所述子网络模型的末尾还分别连接有对应的输出模块；确定模块，用于从所述目标多轨道模型中确定出目标模型结构；其中，所述目标模型结构为用于对目标模型进行对抗攻击测试的模型结构；生成模块，用于利用所述目标模型结构生成针对所述目标模型的对抗样本。

一种用于获取与目标模型对应的目标多轨道模型的装置，包括：拆分模块，用于获取并拆分初始模型，得到长度不同的多个初始的子网络模型；其中，所述初始模型为与目标模型相匹配的模型；所述多个初始的子网络模型包含有相同的输入模块；组合模块，用于组合多个初始的子网络模型，得到初始的多轨道模型；训练模块，用于训练所述初始的多轨道模型，得到与所述目标模型对应的目标多轨道模型。

一种服务器，包括处理器以及用于存储处理器可执行指令的存储器，所述处理器执行所述指令时实现所述对抗样本的生成方法和所述用于获取与目标模型对应的目标多轨道模型的方法的相关步骤。