对抗样本生成方法、装置、终端及可读存储介质制造方法及图纸

本发明专利技术公开了一种对抗样本生成方法、装置、终端及可读存储介质，所述方法包括：基于对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法，基于目标教师模型以及目标攻击算法进行强化学习，得到中间对抗样本，并基于所述中间对抗样本优化对抗样本生成策略，基于中间对抗样本确定参与学生模型训练的对抗样本，基于优化后的对抗样本生成策略进行迭代强化学习训练，直到检测到迭代停止条件，迭代强化学习训练结束。通过强化学习算法针对当前学生模型动态地找到攻击强度最大的一种或几种攻击算法以及对应的参数，进而高效生成包含难样本的对抗样本用来训练学生模型，在加速模型训练的同时，显著提升了模型面对攻击的鲁棒性。

【技术实现步骤摘要】
对抗样本生成方法、装置、终端及可读存储介质
本专利技术涉及金融科技领域，尤其涉及一种对抗样本生成方法、装置、终端及可读存储介质。
技术介绍
目前在金融领域，人脸核身在业务中使用非常广泛，带来了极大便利。与此同时，这又要求人脸核身的具备极高的准确性和安全性。然而目前基于利益驱动，人脸核身业务极易遭受恶意攻击，攻击手段和方法也是多种多样。近些年深度学习的发展非常迅速，目前主流的人脸识别技术基本基于深度学习技术。在深度学习领域，有一类攻击技术被称为对抗攻击，它通过对输入样本故意添加一些人无法察觉的细微干扰生成新的图像样本(也称为对抗样本)作为输入，从而导致模型以高置信度输出错误的结果。例如：在人脸核身业务中，攻击者通过伪造对抗样本，使得模型对两个不同人的照片，识别成同一个人。现有模型除了面对对抗攻击时较为脆弱外，另一方面就是模型在精度得到极大提升的同时，模型对计算资源(存储资源和计算能力)的需求越来越大，导致在移动端、嵌入式端难以部署。目前的方法缺少同时考虑二者并进行高效解决的整体方案，模型的训练时间长且鲁棒性差。上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种对抗样本生成方法、装置、终端及可读存储介质，旨在解决现有兼顾模型压缩和对抗攻击的集成对抗训练过程中，无法高效的生成难样本，导致模型的训练时间长且鲁棒性差的技术问题。为实现上述目的，本专利技术提供一种对抗样本生成方法，所述的对抗样本生成方法包括以下步骤：获取对抗样本生成策略，基于所述对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法；基于所述目标教师模型以及所述目标攻击算法进行强化学习，得到中间对抗样本，并基于所述中间对抗样本优化所述对抗样本生成策略；基于所述中间对抗样本确定参与学生模型训练的对抗样本；基于优化后的对抗样本生成策略进行迭代强化学习训练，直到检测到迭代停止条件，迭代强化学习训练结束。进一步地，所述基于所述目标教师模型以及所述目标攻击算法进行强化学习，得到中间对抗样本的步骤包括：采用目标攻击算法基于所述目标教师模型生成中间对抗样本；所述基于所述中间对抗样本优化所述对抗样本生成策略的步骤包括：计算所述中间对抗样本对所述学生模型的攻破概率，基于所述攻破概率以及生成中间对抗样本的时间确定奖励值；基于所述奖励值更新对抗样本生成策略。进一步地，所述基于所述奖励值更新对抗样本生成策略，包括：基于所述奖励值控制所述控制器采样下次各教师模型的使用概率、各攻击算法的使用概率和使用参数；根据所述下次各教师模型的使用概率、各攻击算法的使用概率和使用参数，更新所述对抗样本生成策略。进一步地，所述基于所述中间对抗样本确定参与学生模型训练的对抗样本，包括：获取中间对抗样本中各个对抗样本子集各自对应的奖励值，其中，所述中间对抗样本由各个对抗样本子集包括的对抗样本组成；基于各个对抗样本子集各自对应的奖励值，确定被选中的预设数量的奖励值；将被选中的预设数量的奖励值各自对应的对抗样本子集确定为参与学生模型训练的对抗样本。进一步地，所述获取对抗样本生成策略，基于所述对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法的步骤之前，所述方法还包括：基于本地训练数据对预设的中间教师模型进行训练，得到训练好的教师模型，其中，所述中间教师模型是基于公开样本库训练的教师模型；所述获取对抗样本生成策略，基于所述对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法的步骤包括：基于所述对抗样本生成策略在训练好的教师模型中确定所述目标教师模型，以及在预设的攻击算法表中确定所述目标攻击算法。进一步地，所述基于所述中间对抗样本确定参与学生模型训练的对抗样本，并基于优化后的对抗样本生成策略进行迭代强化学习训练，直到检测到迭代停止条件，迭代强化学习训练结束的步骤之后，所述方法还包括：基于本地训练数据、所述对抗样本以及所述训练好的教师模型对所述学生模型同时进行蒸馏学习和对抗训练，得到总损失函数值；通过所述总损失函数值将所述教师模型的知识迁移到所述学生模型中，获得蒸馏对抗后的学生模型。进一步地，所述基于本地训练数据、所述对抗样本以及所述训练好的教师模型对所述学生模型同时进行蒸馏学习和对抗训练，得到总损失函数值的步骤包括：将本地训练数据分别输入所述教师模型和所述学生模型，对所述学生模型使用知识蒸馏算法进行优化训练，并确定所述第一损失函数值；将所述对抗样本输入所述学生模型，根据对抗样本的真实标签计算所述第二损失函数值；基于所述第一损失函数值和第二损失函数值，得到所述总损失函数值。进一步地，所述通过所述总损失函数值将所述教师模型的知识迁移到所述学生模型中，获得蒸馏对抗后的学生模型的步骤包括：基于所述总损失函数值，利用反向传播算法计算得到所述学生模型对应的梯度信息；基于所述梯度信息更新所述学生模型，并基于更新后的学生模型进行迭代蒸馏学习和对抗训练；若基于更新后的总损失函数值小于或者等于预设阈值，则获得所述蒸馏对抗后的学生模型。进一步地，所述初始化对抗样本生成策略，基于所述对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法的步骤之前，所述方法还包括：确定学生模型对应的网络架构搜索空间，其中，所述搜索空间定义网络架构搜索的范围；初始化学生模型的搜索策略，基于当前的搜索策略在所述搜索空间进行搜索，得到初始的学生模型；确定模型评估指标，并基于所述模型评估指标更新搜索策略，利用更新后的搜索策略在所述搜索空间继续进行搜索新的学生模型，直到检测到搜索停止条件，得到所述学生模型。进一步地，所述对抗样本生成装置包括：确定模块，获取初始化对抗样本生成策略，基于所述对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法；强化学习模块，用于基于所述目标教师模型以及所述目标攻击算法进行强化学习，得到中间对抗样本，并基于所述中间对抗样本优化所述对抗样本生成策略；生成模块，用于基于所述中间对抗样本确定参与学生模型训练的对抗样本；迭代模块，用于基于优化后的对抗样本生成策略进行迭代强化学习训练，直到检测到迭代停止条件，迭代强化学习训练结束。此外，为实现上述目的，本专利技术还提供一种对抗样本生成终端，所述终端包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的对抗样本生成程序，所述对抗样本生成程序被所述处理器执行时实现上述任一项所述的对抗样本生成方法的步骤。此外，为实现上述目的，本专利技术还提供一种可读存储介质，所述可读存储介质上存储有对抗样本生成程序，所述对抗样本生成程序被处理器执行时实现上述任一项所述的对抗样本生成方法的步骤。本专利技术获取对抗样本生成策略，基于对抗样本生成策略确定本次采样对应的目标教师模本文档来自技高网...

【技术保护点】
1.一种对抗样本生成方法，其特征在于，包括：/n获取对抗样本生成策略，基于所述对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法；/n基于所述目标教师模型以及所述目标攻击算法进行强化学习，得到中间对抗样本，并基于所述中间对抗样本优化所述对抗样本生成策略；/n基于所述中间对抗样本确定参与学生模型训练的对抗样本；/n基于优化后的对抗样本生成策略进行迭代强化学习训练，直到检测到迭代停止条件，迭代强化学习训练结束。/n

【技术特征摘要】
1.一种对抗样本生成方法，其特征在于，包括：
获取对抗样本生成策略，基于所述对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法；
基于所述目标教师模型以及所述目标攻击算法进行强化学习，得到中间对抗样本，并基于所述中间对抗样本优化所述对抗样本生成策略；
基于所述中间对抗样本确定参与学生模型训练的对抗样本；
基于优化后的对抗样本生成策略进行迭代强化学习训练，直到检测到迭代停止条件，迭代强化学习训练结束。


2.如权利要求1所述的对抗样本生成方法，其特征在于，所述基于所述目标教师模型以及所述目标攻击算法进行强化学习，得到中间对抗样本的步骤包括：
采用目标攻击算法基于所述目标教师模型生成中间对抗样本；
所述基于所述中间对抗样本优化所述对抗样本生成策略的步骤包括：
计算所述中间对抗样本对所述学生模型的攻破概率，基于所述攻破概率以及生成中间对抗样本的时间确定奖励值；
基于所述奖励值更新对抗样本生成策略。


3.如权利要求2所述的对抗样本生成方法，其特征在于，所述基于所述奖励值更新对抗样本生成策略的步骤包括：
基于所述奖励值控制所述控制器采样下次各教师模型的使用概率、各攻击算法的使用概率和使用参数；
根据所述下次各教师模型的使用概率、各攻击算法的使用概率和使用参数，更新所述对抗样本生成策略。


4.如权利要求2所述的对抗样本生成方法，其特征在于，所述基于所述中间对抗样本确定参与学生模型训练的对抗样本，包括：
获取中间对抗样本中各个对抗样本子集各自对应的奖励值，其中，所述中间对抗样本由各个对抗样本子集包括的对抗样本组成；
基于各个对抗样本子集各自对应的奖励值，确定被选中的预设数量的奖励值；
将被选中的预设数量的奖励值各自对应的对抗样本子集确定为参与学生模型训练的对抗样本。


5.如权利要求1所述的对抗样本生成方法，其特征在于，所述获取对抗样本生成策略，基于所述对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法的步骤之前，所述方法还包括：
基于本地训练数据对预设的中间教师模型进行训练，得到训练好的教师模型，其中，所述中间教师模型是基于公开样本库训练的教师模型；
获取对抗样本生成策略，基于所述对抗样本生成策略确定本次采样对应的目标教师模型以及目标攻击算法的步骤包括：
基于所述对抗样本生成策略在训练好的教师模型中确定所述目标教师模型，以及在预设的攻击算法表中确定所述目标攻击算法。


6.如权利要求1所述的对抗样本生成方法，其特征在于，所述基于优化后的对抗样本生成策略进行迭代强化学习训练，直到检测到迭代停止条件，迭代强化学习训练结束的步骤之后，所述方法还包括：
基于本地训练数据、所述对抗样本以及所述训练好的教师模型对所述学生模型同时进行蒸馏学习和对抗训练，得到总损失函数值；
通过所述总损失函数值将...

【专利技术属性】
技术研发人员：谭圣琦，吴泽衡，朱振文，
申请(专利权)人：深圳前海微众银行股份有限公司，
类型：发明
国别省市：广东;44