对抗样本生成模型的训练方法及装置制造方法及图纸

本说明书实施例提供一种生成对抗样本的生成模型的训练方法和装置，该方法包括，首先获取原始样本构成的样本集，其中包括正常样本和风险样本；还获取风险检测模型及其对应的损失函数。针对样本集中各个原始样本，利用生成模型生成扰动变换，并将其叠加在对应原始样本上，得到各个原始样本对应的各个变换样本；利用风险检测模型确定各个变换样本的各个风险预测值；以正常样本对应的标签值为比对标签值，分别将各个风险预测值代入前述损失函数，得到各个变换样本的对抗损失；至少根据各个变换样本的对抗损失的综合确定总对抗损失；以最小化总对抗损失为目标，调整生成模型中的参数。

【技术实现步骤摘要】
对抗样本生成模型的训练方法及装置
本说明书一个或多个实施例涉及机器学习领域，尤其涉及对抗样本生成模型的训练方法和装置。
技术介绍
机器学习的迅猛发展使得各种机器学习的模型在各种各样的业务场景得到应用。例如在安全和风控场景中，已经通过机器学习训练出一些风险检测模型，用于识别出有风险或有安全隐患的对象。例如，通过风险检测模型识别垃圾账号，识别高风险的交易，识别高风险操作，等等。在识别出这样的风险对象后往往会对其进行拦截，以确保系统和用户的安全。鉴于已有的风险检测模型常常在鲁棒性方面存在不足，希望能有改进的方案，可以针对风险检测模型进行优化，以提升其鲁棒性，更好地适用于风险检测场景中的攻防特点。
技术实现思路
本说明书一个或多个实施例描述了一种对抗样本生成模型的训练方法和装置，可以模拟攻击者的攻击过程生成对抗样本，从而可以利用这样的对抗样本，从攻防对抗的角度对风险检测模型进行优化，增强其鲁棒性和安全性。根据第一方面，提供了一种用于生成对抗样本的生成模型的训练方法，包括：获取原始样本构成的样本集，其中包括正常样本和风险样本；获取风险检测模型及其对应的损失函数，所述风险检测模型为生成模型所所针对的模型；针对所述样本集中各个原始样本，利用所述生成模型生成扰动变换，并将其叠加在对应原始样本上，得到各个原始样本对应的各个变换样本；利用所述风险检测模型确定所述各个变换样本的各个风险预测值；以正常样本对应的标签值为比对标签值，分别将所述各个风险预测值代入所述损失函数，得到各个变换样本的对抗损失；至少根据所述各个变换样本的对抗损失的综合确定总对抗损失；以最小化总对抗损失为目标，调整所述生成模型中的参数。在一个实施例中，所述各个变换样本包括，原始风险样本对应的变换风险样本，和原始正常样本对应的变换正常样本；相应的，至少根据所述各个变换样本的对抗损失的综合确定总对抗损失，包括：根据各个变换风险样本的对抗损失之和，确定第一损失项；根据各个变换正常样本的对抗损失之和，确定第二损失项；根据第一损失项和第二损失项的组合，确定所述总对抗损失。进一步的，在一个实施例中，确定第一损失项，包括：根据各个变换风险样本的对抗损失之和，以及各个变换风险样本对应的扰动变换的大小度量值之和，确定所述第一损失项；确定第二损失项，包括：根据各个变换正常样本的对抗损失之和，以及各个变换正常样本对应的扰动变换的大小度量值之和，确定所述第二损失项。在具体例子中，所述扰动变换的大小度量值可以是，所述扰动变换的二阶范数，或者二阶范数的平方。在一个进一步的实施例中，根据第一损失项和第二损失项的组合，确定所述总对抗损失，具体为：根据所述第一损失项和第二损失项的加权求和，得到所述总对抗损失。。在不同例子中，所述样本为以下之一：账号、交易、文本片段、用户操作。根据第二方面，提供了一种优化风险检测模型的方法，包括：获取原始样本构成的样本集，其中包括正常样本和风险样本；获取根据第一方面训练的生成模型；对于所述样本集中各个原始样本，利用所述生成模型生成扰动变换，并将其叠加在对应原始样本上，得到各个原始样本对应的各个变换样本；利用所述样本集中各个原始样本对应的原始标签和各个变换样本，更新风险检测模型。根据第三方面，提供了一种用于生成对抗样本的生成模型的训练装置，包括：第一获取单元，配置为获取原始样本构成的样本集，其中包括正常样本和风险样本；第二获取单元，配置为获取风险检测模型及其对应的损失函数，所述风险检测模型为生成模型所所针对的模型；变换单元，配置为针对所述样本集中各个原始样本，利用所述生成模型生成扰动变换，并将其叠加在对应原始样本上，得到各个原始样本对应的各个变换样本；预测单元，配置为利用所述风险检测模型确定所述各个变换样本的各个风险预测值；对抗损失确定单元，配置为以正常样本对应的标签值为比对标签值，分别将所述各个风险预测值代入所述损失函数，得到各个变换样本的对抗损失；总损失确定单元，配置为至少根据所述各个变换样本的对抗损失的综合确定总对抗损失；调整单元，配置为以最小化总对抗损失为目标，调整所述生成模型中的参数。根据第四方面，提供了一种优化风险检测模型的装置，包括：样本集获取单元，配置为获取原始样本构成的样本集，其中包括正常样本和风险样本；模型获取单元，配置为获取根据第三方面的装置训练的生成模型；变换单元，配置为对于所述样本集中各个原始样本，利用所述生成模型生成扰动变换，并将其叠加在对应原始样本上，得到各个原始样本对应的各个变换样本；更新单元，配置为利用所述样本集中各个原始样本对应的原始标签和各个变换样本，更新风险检测模型。根据第五方面，提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行第一方面或第二方面的方法。根据第六方面，提供了一种计算设备，包括存储器和处理器，其特征在于，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现第一方面或第二方面的方法。根据本说明书实施例提供的方法和装置，在风险检测的对抗场景中，通过模拟攻击者对原始样本可能进行的攻击变换，训练一个用于生成对抗样本的生成模型。该生成模型通过对原始样本施加扰动变换，使得风险检测模型将变换后的风险样本误识别为正常样本，而对于正常样本不改变其识别结果。然后，可以利用该生成模型得到的对抗样本，来优化风险检测模型，从而更好地防御对抗样本的对抗攻击，鲁棒性和安全性均得到增强。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1示出根据一个实施例的风险检测和攻击变换之间的攻防示意图；图2示出根据一个实施例的训练对抗样本生成模型的方法流程图；图3示出根据一个实施例的优化风险检测模型的方法流程图；图4示出根据一个实施例的训练装置示意图；图5示出根据一个实施例的优化装置示意图。具体实施方式下面结合附图，对本说明书提供的方案进行描述。如前所述，在安全和风控场景中，为了识别出高风险的业务对象，已经通过机器学习训练出一些风险检测模型，用于检测风险对象，从而对其进行拦截或进一步安全处理。尽管已有的各种风险检测模型在特征处理的全面性、预测准确性等多方面获得了不错的效果，然而，专利技术人意识到，风险检测场景实际上是一种攻防对抗的博弈场景：一方面，模型算法试图对业务对象进行全面的分析来进行风险对象的识别，另一方面，试图通过风险对象牟利的团伙，则会努力绕开模型的分析算法，或者对模型进行攻击，以试图突破模型的识别。因此，专利技术人提出，从攻防角度对风险检测过本文档来自技高网...

【技术保护点】
1.一种用于生成对抗样本的生成模型的训练方法，包括：/n获取原始样本构成的样本集，其中包括正常样本和风险样本；/n获取风险检测模型及其对应的损失函数，所述风险检测模型为生成模型所所针对的模型；/n针对所述样本集中各个原始样本，利用所述生成模型生成扰动变换，并将其叠加在对应原始样本上，得到各个原始样本对应的各个变换样本；/n利用所述风险检测模型确定所述各个变换样本的各个风险预测值；/n以正常样本对应的标签值为比对标签值，分别将所述各个风险预测值代入所述损失函数，得到各个变换样本的对抗损失；/n至少根据所述各个变换样本的对抗损失的综合确定总对抗损失；/n以最小化总对抗损失为目标，调整所述生成模型中的参数。/n

【技术特征摘要】
1.一种用于生成对抗样本的生成模型的训练方法，包括：
获取原始样本构成的样本集，其中包括正常样本和风险样本；
获取风险检测模型及其对应的损失函数，所述风险检测模型为生成模型所所针对的模型；
针对所述样本集中各个原始样本，利用所述生成模型生成扰动变换，并将其叠加在对应原始样本上，得到各个原始样本对应的各个变换样本；
利用所述风险检测模型确定所述各个变换样本的各个风险预测值；
以正常样本对应的标签值为比对标签值，分别将所述各个风险预测值代入所述损失函数，得到各个变换样本的对抗损失；
至少根据所述各个变换样本的对抗损失的综合确定总对抗损失；
以最小化总对抗损失为目标，调整所述生成模型中的参数。


2.根据权利要求1所述的方法，其中，所述各个变换样本包括，原始风险样本对应的变换风险样本，和原始正常样本对应的变换正常样本；
至少根据所述各个变换样本的对抗损失的综合确定总对抗损失，包括：
根据各个变换风险样本的对抗损失之和，确定第一损失项；
根据各个变换正常样本的对抗损失之和，确定第二损失项；
根据第一损失项和第二损失项的组合，确定所述总对抗损失。


3.根据权利要求2所述的方法，其中，
确定第一损失项，包括：
根据各个变换风险样本的对抗损失之和，以及各个变换风险样本对应的扰动变换的大小度量值之和，确定所述第一损失项；
确定第二损失项，包括：
根据各个变换正常样本的对抗损失之和，以及各个变换正常样本对应的扰动变换的大小度量值之和，确定所述第二损失项。


4.根据权利要求3所述的方法，其中，所述扰动变换的大小度量值为，所述扰动变换的二阶范数，或者二阶范数的平方。


5.根据权利要求2或3所述的方法，其中，根据第一损失项和第二损失项的组合，确定所述总对抗损失，包括：
根据所述第一损失项和第二损失项的加权求和，得到所述总对抗损失。。


6.根据权利要求1所述的方法，其中，所述样本为以下之一：账号、交易、文本片段、用户操作。


7.一种优化风险检测模型的方法，包括：
获取原始样本构成的样本集，其中包括正常样本和风险样本；
获取根据权利要求1的方法训练的生成模型；
对于所述样本集中各个原始样本，利用所述生成模型生成扰动变换，并将其叠加在对应原始样本上，得到各个原始样本对应的各个变换样本；
利用所述样本集中各个原始样本对应的原始标签和各个变换样本，更新风险检测模型。


8.根据权利要求7所述的方法，其中，利用所述样本集中各个原始样本对应的原始标签和各个变换样本，更新风险检测模型，包括：
利用损失函数，针对所述原始标签，确定风险检测模型针对包含所述各个变换样本的样本总集的总预测损失；
以总预测损失最小化为目标，调整风险检测模型的模型参数。


9.一种用于生成对抗样本的生成模型的训练装置，包括：
第一获取单元，配置为获取原始样本构成的样本集，其中...

【专利技术属性】
技术研发人员：李辉，王维强，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：浙江;33