本申请实施例提供了一种基于扩散处理的洁净对抗训练、对抗样本生成方法及设备,涉及人工智能技术领域,上述洁净对抗样本生成方法包括:对原始样本和第一噪声进行扩散处理,得到第一带噪样本;使用待训练模型处理原始样本,得到第一结果;使用待训练模型处理第一带噪样本,得到第二结果;基于第一结果和第二结果,获得第一带噪样本相对于原始样本的噪声散度;基于噪声散度和第一带噪样本,生成第二噪声,对第一带噪样本和第二噪声进行叠加,得到第二带噪样本;对第二带噪样本进行逆扩散处理,从第二带噪样本去除分离噪声;基于噪声去除结果,获得对抗样本。应用本申请实施例提供的方案,能够生成对抗训练的过程中需要使用的对抗样本。
【技术实现步骤摘要】
本申请涉及人工智能,特别是涉及一种基于扩散处理的洁净对抗训练、对抗样本生成方法及设备。
技术介绍
1、在使用训练得到的神经网络模型进行数据处理时,模型可能会遭受攻击,从而产生错误输出。以图像分类模型为例,待输入模型的图像可能会被攻击者进行人眼难以察觉的篡改,篡改后的图像可以称为对抗样本,这样,将对抗样本输入模型后,模型针对对抗样本产生的输出可能与针对原始的图像产生的输出不同,也即模型产生了错误的输出。
2、相关技术中,可以通过对抗训练来降低模型产生错误输出的概率。对抗训练的原理是:在模型训练阶段,生成易使得模型产生错误输出的对抗样本,然后,采用对抗样本对模型进行训练,以提高训练得到的模型针对对抗样本的抵御能力,也即降低模型针对对抗样本产生错误输出的概率,提高模型的鲁棒性。
3、鉴于上述情况,需要提供一种对抗样本生成方案,以生成对抗训练的过程中需要使用的对抗样本。
技术实现思路
1、本申请实施例的目的在于提供一种基于扩散处理的洁净对抗训练、对抗样本生成方法及设备,以生成对抗训练的过程中需要使用的对抗样本。具体技术方案如下:
2、第一方面,本申请实施例提供了一种基于扩散处理的洁净对抗样本生成方法,所述方法包括:
3、对原始样本和第一噪声进行扩散处理,得到第一带噪样本;
4、使用待训练模型对所述原始样本进行数据处理,得到第一处理结果;
5、使用所述待训练模型对所述第一带噪样本进行数据处理,得到第二处理结果;
<
p>6、基于所述第一处理结果和所述第二处理结果,获得所述第一带噪样本相对于所述原始样本的噪声散度;7、基于所述噪声散度和所述第一带噪样本,生成第二噪声,并对所述第一带噪样本和所述第二噪声进行叠加,得到第二带噪样本;
8、对所述第二带噪样本进行逆扩散处理,预测分离噪声,并从所述第二带噪样本去除所述分离噪声;
9、基于噪声去除结果,获得对抗样本。
10、第二方面,本申请实施例提供了一种基于扩散处理的洁净对抗训练方法,所述方法包括:
11、将对抗样本输入待训练模型,得到所述待训练模型对所述对抗样本进行数据处理后输出的第三处理结果,其中,所述对抗样本为:根据第一方面所述的方法生成的对抗样本;
12、根据所述第三处理结果与所述对抗样本的数据标签之间的差异,确定所述待训练模型在数据处理过程中产生的损失值;
13、根据所得损失值进行反向梯度传播,更新所述待训练模型的权重系数。
14、第三方面,本申请实施例提供了一种基于扩散处理的洁净对抗样本生成装置,所述装置包括:
15、第一噪声叠加模块,用于对原始样本和第一噪声进行扩散处理,得到第一带噪样本;
16、第一处理结果获得模块,用于使用待训练模型对所述原始样本进行数据处理,得到第一处理结果;
17、第二处理结果获得模块,用于使用所述待训练模型对所述第一带噪样本进行数据处理,得到第二处理结果;
18、噪声散度获得模块,用于基于所述第一处理结果和所述第二处理结果,获得所述第一带噪样本相对于所述原始样本的噪声散度;
19、第二噪声叠加模块,用于基于所述噪声散度和所述第一带噪样本,生成第二噪声,并对所述第一带噪样本和所述第二噪声进行叠加,得到第二带噪样本;
20、噪声去除模块,用于对所述第二带噪样本进行逆扩散处理,预测分离噪声,并从所述第二带噪样本去除所述分离噪声;
21、对抗样本获得模块,用于基于噪声去除结果,获得对抗样本。
22、第四方面,本申请实施例提供了一种基于扩散处理的洁净对抗训练装置,所述装置包括:
23、处理结果获得模块,用于将对抗样本输入待训练模型,得到所述待训练模型对所述对抗样本进行数据处理后输出的第三处理结果,其中,所述对抗样本为:根据前述基于扩散处理的洁净对抗样本生成方法生成的对抗样本;
24、损失值确定模块,用于根据所述第三处理结果与所述对抗样本的数据标签之间的差异,确定所述待训练模型在数据处理过程中产生的损失值;
25、权重系数更新模块,用于根据所得损失值进行反向梯度传播,更新所述待训练模型的权重系数。
26、第五方面,本申请实施例提供了一种电子设备,包括:
27、存储器,用于存放计算机程序;
28、处理器,用于执行存储器上所存放的程序时,实现第一方面或第二方面所述的方法。
29、第六方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面或第二方面所述的方法。
30、第七方面,本申请实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现第一方面或第二方面所述的方法。
31、由以上可见,本申请实施例提供的方案是先对原始样本进行扩散处理得到带噪样本,再预测带噪样本中的分离噪声,最后从带噪样本中去除分离噪声,得到对抗样本。也就是,对原始样本加噪之后,又通过噪声的预测和去除,对带噪样本进行了适当的进行去噪,最终使得生成的对抗样本中不会包含过量的噪声,也即生成的对抗样本中包含的噪声较少,洁净度较高。并且,生成的对抗样本既与原始样本存在区别,又不会与原始样本之间的差距过大,提高了所得对抗样本的质量。本领域人员可以得知的是,对抗训练虽然能够提高训练得到的模型的鲁棒性,但可能会导致模型在训练阶段过分的专注于学习对抗样本所具有的特点,换言之,也即模型将过多的“注意力”放在对抗样本上,而对于一般样本的关注度则相对不足。这样就使得训练得到的模型对于一般的输入数据的处理性能变差,从而易使得模型针对一般的输入数据的推理准确度降低,也即模型的泛化能力较差。而采用本申请生成的对抗样本训练模型时,由于生成的对抗样本洁净度较高、与原始样本较为接近,因此,对抗样本与原始样本的特点也近似,这样,基于对抗样本可以实现洁净训练,即便对抗训练过程中模型对于对抗样本的关注度较高,也不会明显降低模型对于一般的输入数据的处理性能,提高了模型的泛化能力。
32、综上,采用本申请实施例提供的方案生成的对抗样本进行对抗训练,既能够提高模型对于对抗样本的抵御能力,又不会明显降低模型对于一般的输入数据的处理性能,兼顾模型的鲁棒性和泛化能力。
33、当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
本文档来自技高网...
【技术保护点】
1.一种基于扩散处理的洁净对抗样本生成方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于噪声去除结果,获得对抗样本,包括:
3.根据权利要求2所述的方法,其特征在于,所述迭代结束条件包括以下条件中的至少一种:
4.根据权利要求2所述的方法,其特征在于,所述从所述第二带噪样本去除所述分离噪声,包括:
5.根据权利要求1所述的方法,其特征在于,所述第一处理结果包括:所述待训练模型预测得到的所述原始样本属于各个设定类别的第一置信度,所述第二处理结果包括:所述待训练模型预测得到的所述第一带噪样本属于各个设定类别的第二置信度,
6.根据权利要求5所述的方法,其特征在于,所述基于所得置信度差异,确定所述第一带噪样本相对于所述原始样本的噪声散度,包括:
7.根据权利要求1所述的方法,其特征在于,
8.一种基于扩散处理的洁净对抗训练方法,其特征在于,所述方法包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7或8任一所述的方法。
...
【技术特征摘要】
1.一种基于扩散处理的洁净对抗样本生成方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于噪声去除结果,获得对抗样本,包括:
3.根据权利要求2所述的方法,其特征在于,所述迭代结束条件包括以下条件中的至少一种:
4.根据权利要求2所述的方法,其特征在于,所述从所述第二带噪样本去除所述分离噪声,包括:
5.根据权利要求1所述的方法,其特征在于,所述第一处理结果包括:所述待训练模型预测得到的所述原始样本属于各个设定类别的第一置信度,所述第二处理结果包...
【专利技术属性】
技术研发人员:王滨,钱亚冠,王星,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。