一种对抗样本的生成方法、装置、电子设备及存储介质与流程

本技术涉及计算机，特别涉及一种对抗样本的生成方法、装置、电子设备及存储介质。

背景技术：

1、在如今刷脸技术大规模应用的场景下，很多时候用户使用的刷脸模型是由第三方给出，或者使用第三方训练平台进行训练，这就导致了这些刷脸模型存在数据被篡改的安全隐患。目前，数据篡改的主要方式是显式的添加后门触发器，而且大多数前沿工作集中在给不同类别的图片添加后门触发器以后打上同一个类别的标签，这样的方式通过人的肉眼可以轻易的判断出来训练数据是否有被篡改污染，例如，如图1中的图(a)、图(b)、图(c)和图(d)，实际类别分别为“马”、“车”、“船”以及“狗”，通过给每张图片的右下角添加一个3*3的黑白相间的后门触发器，然后给它们都打上“bird”的标签就能完成数据的显式篡改，得到与目标图像为“bird”对应的攻击图像。这里可以看到，每张图的真实标签都不是“bird”。那么，经由这些数据训练的网络模型，在测试阶段，给某些图片添加相同的后门触发器就能使得该网络模型将之错误的分类成为“bird”。可见，上述现有技术中显式的添后门触发器的方式隐蔽性较低，容易被人眼轻易判别出来，造成数据篡改的失效。

技术实现思路

1、为了解决现有技术的问题，本技术实施例提供了一种对抗样本的生成方法、装置、电子设备及存储介质。所述技术方案如下：

2、一方面，提供了一种对抗样本的生成方法，所述方法包括：

3、获取目标样本图像以及与目标样本图像对应的攻击图像；攻击图像上设有预设图像信息；预设图像信息用于表征攻击图像与目标样本图像为同一类别的分类信息；

4、对攻击图像进行语义特征提取，得到攻击语义特征，以及对目标样本图像进行语义特征提取，得到目标语义特征；

5、利用预设对抗损失函数，基于攻击语义特征和目标语义特征之间的差异确定对抗攻击损失值；

6、基于对抗攻击损失值，确定目标样本图像中每个像素点对应的梯度信息；梯度信息表征相应像素点的像素值沿预设方向的变化程度；

7、基于目标样本图像中每个像素点对应的梯度信息，对目标样本图像中像素点的像素值进行调整，得到调整后的目标样本图像；

8、基于调整后的目标样本图像，生成目标样本图像对应的对抗样本。

9、另一方面，提供了一种对抗样本的生成装置，装置包括：

10、获取模块，用于获取目标样本图像以及与目标样本图像对应的攻击图像；攻击图像上设有预设图像信息；预设图像信息用于表征攻击图像与目标样本图像为同一类别的分类信息；

11、特征提取模块，用于对攻击图像进行语义特征提取，得到攻击语义特征，以及对目标样本图像进行语义特征提取，得到目标语义特征；

12、损失值确定模块，用于利用预设对抗损失函数，基于攻击语义特征和目标语义特征之间的差异确定对抗攻击损失值；

13、梯度信息确定模块，用于基于对抗攻击损失值，确定目标样本图像中每个像素点对应的梯度信息；梯度信息表征相应像素点的像素值沿预设方向的变化程度；

14、调整模块，用于基于目标样本图像中每个像素点对应的梯度信息，对目标样本图像中像素点的像素值进行调整，得到调整后的目标样本图像；

15、生成模块，用于基于调整后的目标样本图像，生成目标样本图像对应的对抗样本。

16、在一个示例性的实施方式中，调整模块，包括：

17、提取模块，用于提取目标样本图像中每个像素点对应的梯度信息中的方向信息，得到目标样本图像中每个像素点的攻击方向；

18、第一确定模块，用于基于学习步长和目标样本图像中每个像素点的攻击方向确定目标样本图像中像素点的攻击扰动值；学习步长表征每个像素点的像素值沿攻击方向移动的长度；

19、像素值调整模块，用于基于目标样本图像中像素点的攻击扰动值，对目标样本图像中像素点的像素值进行调整，得到调整后的目标样本图像；调整后的目标样本图像中每个像素点的像素值为像素点的攻击扰动值与像素点在目标样本图像中的像素值的差值。

20、在一个示例性的实施方式中，该像素值调整模块，包括：

21、第一判断模块，用于针对目标样本图像中的每个像素点，若像素点的攻击扰动值的绝对值小于或者等于攻击强度阈值，则将像素点的攻击扰动值作为像素点的目标攻击扰动值；若像素点的攻击扰动值的绝对值大于攻击强度阈值，则基于像素点的攻击扰动值的数值符号和攻击强度阈值确定像素点的目标攻击扰动值；

22、第一调整模块，用于基于目标样本图像中像素点的目标攻击扰动值，对目标样本图像中像素点的像素值进行调整，得到初始调整后的目标样本图像；初始调整后的目标样本图像中每个像素点的像素值为像素点的目标攻击扰动值与像素点在目标样本图像中的像素值的差值；

23、第二判断模块，用于针对初始调整后的目标样本图像中的每个像素点，若像素点的像素值小于或者等于像素阈值，则将像素点的像素值作为像素点的目标像素值；若像素点的像素值大于像素阈值，则将像素阈值作为像素点的目标像素值；

24、第二调整模块，用于基于初始调整后的目标样本图像中像素点的目标像素值，对目标样本图像中像素点的像素值进行调整，得到调整后的目标样本图像。

25、在一个示例性的实施方式中，生成模块，包括：

26、第三确定模块，用于将调整后的目标样本图像作为当前样本图像；

27、子特征提取模块，用于对当前样本图像进行语义特征提取得到目标语义特征；

28、第四确定模块，用于利用预设对抗损失函数，基于攻击语义特征与当前样本图像的目标语义特征之间的差异确定当前对抗攻击损失值；

29、第五确定模块，用于在当前对抗攻击损失值大于预设损失值的情况下，确定当前样本图像中每个像素点对应的梯度信息；

30、第三调整模块，用于基于当前样本图像中每个像素点对应的梯度信息，对当前样本图像中像素点的像素值进行调整，得到调整后的当前样本图像，以及基于调整后的当前样本图像更新当前样本图像，直至当前对抗损失值小于或者等于预设损失值，获取各当前对抗损失值对应的当前样本图像；

31、第六确定模块，用于基于各当前对抗损失值对应的当前样本图像，确定目标样本图像对应的对抗样本。

32、在一个示例性的实施方式中，第六确定模块，包括：

33、第七确定模块，用于从各当前对抗损失值对应的当前样本图像中确定出最小的当前对抗损失值对应的当前样本图像；

34、第八确定模块，用于将最小的当前对抗损失值对应的当前样本图像作为目标样本图像对应的对抗样本。

35、在一个示例性的实施方式中，生成模块，用于将调整后的目标样本图像作为目标样本图像对应的对抗样本。

36、在一个示例性的实施方式中，攻击图像包括多个不同类别的攻击图像；特征提取模块，用于对多个攻击图像分别进行语义特征提取，得到对应每个攻击图像的攻击语义特征；

37、损失值确定模块，包括：

38、余弦距离确定模块，用于针对每个攻击语义特征，确定攻击语义特征和目标语义特征之间的余弦距离；

39、第九确定模块，用于基于攻击语义特征对应的余弦距离，确定攻击语义特征对应的对抗攻击损失值；

40、统计值确定模块，用于确定对多个攻击语义特征对应的对抗攻击损失值的统计值，得到对抗攻击损失值。

41、在一个示例性的实施方式中，所述装置还包括：

42、训练样本生成模块，用于基于目标样本图像、目标样本图像对应的对抗样本以及非目标样本图像，生成训练样本集；目标样本图像的标注类别与对抗样本的标注类别为同一类别，目标样本图像的标注类别与非目标样本图像的标注类别为不同类别；

43、分类处理模块，用于将训练样本集中的训练样本输入至初始分类模型进行分类处理，得到训练样本对应的预测分类结果；

44、分类损失确定模块，用于基于训练样本对应的预测分类结果与训练样本对应的标注类别之间的差异，确定分类损失；

45、训练模块，用于根据分类损失对初始分类模型进行迭代训练，得到目标分类模型。

46、另一方面，提供了一种电子设备，包括处理器和存储器，所述存储器中存储有至少一条指令或者至少一段程序，所述至少一条指令或者所述至少一段程序由所述处理器加载并执行以实现上述任一方面的对抗样本的生成方法。

47、另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令或者至少一段程序，所述至少一条指令或者所述至少一段程序由处理器加载并执行以实现如上述任一方面的对抗样本的生成方法。

48、另一方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该电子设备执行上述任一方面的对抗样本的生成方法。

49、本技术实施例通过获取目标样本图像以及与目标样本图像对应的攻击图像；攻击图像上设有预设图像信息；预设图像信息用于表征攻击图像与目标样本图像为同一类别的分类信息；分别对攻击图像和目标样本图像分别进行语义特征提取，得到攻击语义特征和目标语义特征；利用预设对抗损失函数，基于攻击语义特征和目标语义特征之间的差异确定对抗攻击损失值；基于对抗攻击损失值，确定目标样本图像中每个像素点对应的梯度信息；梯度信息表征相应像素点的像素值沿预设方向的变化程度；基于目标样本图像中每个像素点对应的梯度信息，对目标样本图像中像素点的像素值进行调整，得到调整后的目标样本图像；基于调整后的目标样本图像，生成目标样本图像对应的对抗样本。本技术实施例通过利用定向攻击拉近目标样本图像和对应的攻击图像在特征层面的距离，从而实现将攻击图像迁移到了对抗样本上，后续，在模型训练过程中，用对抗样本来替换训练过程中的相应的篡改数据，从而达到隐蔽式篡改的目的。