[发明专利]一种对抗样本生成方法、装置、电子设备及存储介质

说明书

本申请实施例提供一种对抗样本生成方法、装置、电子设备及存储介质，通过对样本生成器生成的攻击样本数据进行频域分离，并采用分离获得的高频样本数据及低频样本数据，训练设计好的高频判别器及低频判别器，从而利用训练好的两个判别器，实现样本生成器的对抗训练，基于上述方式，本申请实施例保障了预先设计的样本生成器能够同时学习到原始样本数据在不同频域条件下的数据分布信息，从而使得训练得到的目标生成器具有更强的攻击能力，进一步丰富了目标生成器最终所能够输出的对抗样本的数据类别，有效提升了对抗样本的攻击泛化性。

技术领域

本发明涉及数据样本处理技术领域，尤其涉及一种对抗样本生成方法、装置、电子设备及存储介质。

背景技术

对抗样本(Adversarial Examples，AE)是在原始样本图像或原始视频帧的数据集中添加微小噪声而生成的数据样本，常用来使性能优异的网络识别模型在对此类样本进行图像识别时，获得置信度高而分类错误的识别结果。因此，对抗样本在对网络识别模型的机理研究以及结构设计等领域发挥着重大作用。

相关技术中，普遍采用单一对抗的方式进行对抗样本的生成，具体来讲，利用预先设计的样本生成器，通过随机产生的噪声数据对输入样本生成器中的训练样本进行攻击，生成对应的攻击样本，并利用预先设计的样本判别器，对生成的攻击样本与攻击前的原始训练样本进行分类判别，从而在每轮迭代训练的过程中，不断调整样本判别器的模型参数。进一步的，在样本判别器的模型参数相对固定时，将其作为目标判别器以对上述设计的样本生成器进行对抗训练，基于上述方式，样本生成器不断学习训练样本的数据分布，从而使得最终获得的目标生成器能够基于学习到的数据分布，生成特定样本类别下的对抗样本。

然而，由于实际状况下，训练样本的数据分布通常较为复杂，基于上述方式，往往会导致目标生成器所生成的对抗样本的攻击泛化性不高。

例如，当训练样本所对应的样本类别包含多个可辨别的子类别时，为使生成的对抗样本符合训练样本的数据分布，需要令样本生成器同时捕捉到多个子类别下的多个不同的数据模式。由于相关技术中，样本生成器的模型参数通常对应为单一样本判别器所给出判别结果下的局部最优，因此，采用上述单一样本生成器以及单一样本判别器的训练方式，容易使得训练的样本生成器通常仅能捕捉到单一子类别下的数据模式，这一状况会导致最终获得的目标生成器无法输出更多样性的对抗样本类别，使得相关技术中，对抗样本的攻击泛化性不高。

发明内容

本申请实施例提供一种对抗样本生成方法、装置、电子设备及存储介质，用于提升对抗样本的攻击泛化性。

第一方面，本申请实施例提供一种对抗样本生成方法，包括：

将原始样本数据输入预设的样本生成器，生成相应的攻击样本数据。

对攻击样本数据进行频域分离，获得相应的高频样本数据及低频样本数据。

采用高频样本数据，训练预设的高频判别器，并采用低频样本数据，训练预设的低频判别器。

基于训练的高频判别器及低频判别器，对样本生成器进行对抗训练，并基于获得的目标生成器，生成与原始样本数据相应的对抗样本。

第二方面，本申请实施例还提供一种对抗样本生成装置，包括：

获取模块，用于将原始样本数据输入预设的样本生成器，生成相应的攻击样本数据。

分离模块，用于对攻击样本数据进行频域分离，获得相应的高频样本数据及低频样本数据。

训练模块，用于采用高频样本数据，训练预设的高频判别器，并采用低频样本数据，训练预设的低频判别器。

生成模块，用于基于训练的高频判别器及低频判别器，对样本生成器进行对抗训练，并基于获得的目标生成器，生成与原始样本数据相应的对抗样本。