本公开涉及一种对抗样本图像生成方法及装置、电子设备和存储介质,所述方法包括:通过训练样本图像集对教师模型进行训练;根据训练样本图像集中的训练样本图像,对训练样本图像集进行增广处理,获得增广训练样本图像集;根据增广训练样本图像集以及训练后的教师模型,对代理模型进行训练;根据训练后的代理模型以及测试样本图像集中的测试样本图像,获得对抗样本图像;根据对抗样本图像,获得评估工具。根据本公开的实施例的对抗样本图像生成方法,可训练教师模型,并可使用教师模型来训练代理模型,获得对抗样本图像,并可使用增广训练集来增加代理模型学习到的暗知识,提升基于代理模型获得的对抗样本图像的迁移性,使安全评估的效率更高。效率更高。效率更高。
【技术实现步骤摘要】
对抗样本图像生成方法及装置、电子设备和存储介质
[0001]本公开涉及计算机
,尤其涉及一种对抗样本图像生成方法及装置、电子设备和存储介质。
技术介绍
[0002]深度学习模型容易遭到对抗样本的攻击,对抗样本就是通过特定的方式在正常样本数据上加入一些人类难以察觉的扰动得到的数据,它可以被用来欺骗深度学习模型,可人为地操纵深度学习模型的输出结果。在将深度学习模型部署到现实场景时,通常需要事先评估模型的安全性,以免受到他人使用上述对抗样本进行的恶意攻击。而为了可靠地评估一个模型的安全性,使用对抗样本攻击技术的研究非常有必要的。
[0003]对抗样本的生成也就是对抗攻击技术,大致可分为白盒攻击、基于询问的攻击以及基于迁移的攻击三类。基于白盒的攻击需要得到待攻击模型的所有细节,而基于询问的攻击虽然不需要显式地得到待攻击模型的所有细节,却往往需要输入大量的数据到待攻击模型、并获取它的输出。基于迁移的攻击适用于对待攻击模型信息完全未知的情况,也就是适合进行黑盒攻击。采用基于迁移的攻击技术时,攻击者可先训练一个深度学习模型,即,代理模型,然后攻击者通过攻击自己训练的代理模型生成对抗样本,并使用得到的对抗样本攻击未知的待攻击模型。现有的研究表明,通过代理模型生成的对抗样本在攻击未知模型时有一定的攻击成功率,但如何提高攻击成功率达到更实用的水平,使得对模型安全性的评估更加准确,仍是没有解决的问题。
技术实现思路
[0004]本公开提出了一种对抗样本图像生成方法及装置、电子设备和存储介质。
[0005]根据本公开的一方面,提供了一种对抗样本图像生成方法,包括:通过训练样本图像集对教师模型进行训练,获得训练后的教师模型,所述训练样本图像集中包括多个训练样本图像,所述训练样本图像具有标注信息;根据所述训练样本图像集中的训练样本图像,对所述训练样本图像集进行增广处理,获得增广训练样本图像集,所述增广训练样本图像集包括所述训练样本图像集中的训练样本图像,以及根据所述训练样本图像进行增广处理获得的增广训练样本图像;根据所述增广训练样本图像集以及所述训练后的教师模型,对代理模型进行训练,获得训练后的代理模型;根据训练后的代理模型以及测试样本图像集中的测试样本图像,获得对抗样本图像;根据多个所述对抗样本图像,获得用于对网络安全进行评估的评估工具。
[0006]在一种可能的实现方式中,根据所述训练样本图像集中的训练样本图像,对所述训练样本图像集进行增广处理,获得增广训练样本图像集,包括:对所述训练样本图像集中的任意两个或多个训练样本图像进行融合处理,获得增广训练样本图像;根据所述训练样本图像和所述增广训练样本图像,获得所述增广训练样本图像集。
[0007]在一种可能的实现方式中,对所述训练样本图像集中的任意两个或多个训练样本
图像进行融合处理,获得增广训练样本图像,包括:对所述任意两个或多个训练样本图像进行加权求和处理,获得所述增广训练样本图像。
[0008]在一种可能的实现方式中,对所述训练样本图像集中的任意两个或多个训练样本图像进行融合处理,获得增广训练样本图像,包括:将第一训练样本图像中的第一位置处的第一图像区域进行删除,获得所述第一位置为空白的待添加图像;获取第二训练样本图像中的对应位置处的第二图像区域;将所述第二图像区域添加至所述待添加图像中的第一位置处,获得所述增广训练样本图像。
[0009]在一种可能的实现方式中,根据所述增广训练样本图像集以及所述训练后的教师模型,对代理模型进行训练,获得训练后的代理模型,包括:根据所述教师模型,以及用于训练所述代理模型的训练样本图像的类型,确定所述训练样本图像的参考结果;通过所述代理模型,对所述训练样本图像进行处理,获得第一处理结果;根据所述第一处理结果和所述参考结果,获得所述代理模型的模型损失;根据所述模型损失,对所述代理模型进行训练。
[0010]在一种可能的实现方式中,根据所述教师模型,以及用于训练所述代理模型的训练样本图像的类型,确定所述训练样本图像的参考结果,包括:在所述训练样本图像的类型为增广训练样本图像的情况下,通过所述教师模型,对所述增广训练样本图像进行处理,获得所述参考结果。
[0011]在一种可能的实现方式中,根据所述教师模型,以及用于训练所述代理模型的训练样本图像的类型,确定所述训练样本图像的参考结果,包括:在用于训练所述代理模型的训练样本图像的类型为所述训练样本图像集中的训练样本图像的情况下,将所述训练样本图像的标注信息确定为所述参考结果。
[0012]在一种可能的实现方式中,根据训练后的代理模型以及测试样本图像集中的测试样本图像,获得对抗样本图像,包括:对所述测试样本图像集中的任意测试样本图像添加扰动信息,获得待测样本图像;将待测样本图像输入所述训练后的代理模型,获得第二处理结果;根据所述待测样本图像与所述测试样本图像之间的第一误差,以及所述第二处理结果与所述测试样本图像的标注信息之间的第二误差,对所述待测样本图像进行调整,获得所述对抗样本图像。
[0013]根据本公开的一方面,提供了一种对抗样本图像生成装置,包括:教师模型训练模块,用于通过训练样本图像集对教师模型进行训练,获得训练后的教师模型,所述训练样本图像集中包括多个训练样本图像,所述训练样本图像具有标注信息;增广模块,用于根据所述训练样本图像集中的训练样本图像,对所述训练样本图像集进行增广处理,获得增广训练样本图像集,所述增广训练样本图像集包括所述训练样本图像集中的训练样本图像,以及根据所述训练样本图像进行增广处理获得的增广训练样本图像;代理模型训练模块,用于根据所述增广训练样本图像集以及所述训练后的教师模型,对代理模型进行训练,获得训练后的代理模型;对抗样本图像生成模块,用于根据训练后的代理模型以及测试样本图像集中的测试样本图像,获得对抗样本图像;评估工具生成模块,用于根据多个所述对抗样本图像,获得用于对网络安全进行评估的评估工具。
[0014]在一种可能的实现方式中,所述增广模块进一步用于:对所述训练样本图像集中的任意两个或多个训练样本图像进行融合处理,获得增广训练样本图像;根据所述训练样本图像和所述增广训练样本图像,获得所述增广训练样本图像集。
[0015]在一种可能的实现方式中,所述增广模块进一步用于:对所述任意两个或多个训练样本图像进行加权求和处理,获得所述增广训练样本图像。
[0016]在一种可能的实现方式中,所述增广模块进一步用于:将第一训练样本图像中的第一位置处的第一图像区域进行删除,获得所述第一位置为空白的待添加图像;获取第二训练样本图像中的对应位置处的第二图像区域;将所述第二图像区域添加至所述待添加图像中的第一位置处,获得所述增广训练样本图像。
[0017]在一种可能的实现方式中,所述代理模型训练模块进一步用于:根据所述教师模型,以及用于训练所述代理模型的训练样本图像的类型,确定所述训练样本图像的参考结果;通过所述代理模型,对所述训练样本图像进行处理,获得第一处理结果;根据所述第一处理结果和本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种对抗样本图像生成方法,其特征在于,包括:通过训练样本图像集对教师模型进行训练,获得训练后的教师模型,所述训练样本图像集中包括多个训练样本图像,所述训练样本图像具有标注信息;根据所述训练样本图像集中的训练样本图像,对所述训练样本图像集进行增广处理,获得增广训练样本图像集,所述增广训练样本图像集包括所述训练样本图像集中的训练样本图像,以及根据所述训练样本图像进行增广处理获得的增广训练样本图像;根据所述增广训练样本图像集以及所述训练后的教师模型,对代理模型进行训练,获得训练后的代理模型;根据训练后的代理模型以及测试样本图像集中的测试样本图像,获得对抗样本图像;根据多个所述对抗样本图像,获得用于对网络安全进行评估的评估工具。2.根据权利要求1所述的方法,其特征在于,根据所述训练样本图像集中的训练样本图像,对所述训练样本图像集进行增广处理,获得增广训练样本图像集,包括:对所述训练样本图像集中的任意两个或多个训练样本图像进行融合处理,获得增广训练样本图像;根据所述训练样本图像和所述增广训练样本图像,获得所述增广训练样本图像集。3.根据权利要求2所述的方法,其特征在于,对所述训练样本图像集中的任意两个或多个训练样本图像进行融合处理,获得增广训练样本图像,包括:对所述任意两个或多个训练样本图像进行加权求和处理,获得所述增广训练样本图像。4.根据权利要求2所述的方法,其特征在于,对所述训练样本图像集中的任意两个或多个训练样本图像进行融合处理,获得增广训练样本图像,包括:将第一训练样本图像中的第一位置处的第一图像区域进行删除,获得所述第一位置为空白的待添加图像;获取第二训练样本图像中的对应位置处的第二图像区域;将所述第二图像区域添加至所述待添加图像中的第一位置处,获得所述增广训练样本图像。5.根据权利要求1所述的方法,其特征在于,根据所述增广训练样本图像集以及所述训练后的教师模型,对代理模型进行训练,获得训练后的代理模型,包括:根据所述教师模型,以及用于训练所述代理模型的训练样本图像的类型,确定所述训练样本图像的参考结果;通过所述代理模型,对所述训练样本图像进行处理,获得第一处理结果;根据所述第一处理结果和所述参考结果,获得所述代理模型的模型损失;根据所述模型损失,对所述代理模型进行训练。6.根据权利要求5所述的方法,其特征在于,根据所述教师模型,以及用...
【专利技术属性】
技术研发人员:喻文健,杨定澄,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。