模型训练方法、相关装置及存储介质与流程
本技术涉及人工智能模型训练,更具体地涉及一种模型训练方法、相关装置及存储介质。
背景技术:
1、现有的模型攻击方法根据攻击的结果可以分为两大类:第一类为定向攻击,其攻击样本可以令模型在预测时,所有的识别结果均为目标类别。第二类为非定向攻击,即攻击样本可以令模型在预测时,所有的识别结果均为错误类别。
2、定向攻击主要用于评估基于深度学习的目标检测模型,定向攻击需要非常多的对抗样本去对目标检测模型进行鲁棒性评估。
3、目前,目标检测模型在对抗样本攻击下,通过加入微小扰动构造的对抗样本很容易使模型预测出错,无法得到足够符合要求的对抗样本,使得目标检测模型的评估效率低且模型评估不够准确。
技术实现思路
1、本技术实施例提供一种模型训练方法、相关装置及存储介质,可以得到符合实际应用要求的对抗样本生成模型,基于符合实际应用要求的对抗样本生成模型,可以生成大量符合要求的对抗样本去进行目标检测模型的评估,使得目标检测模型的评估效率更高且模型评估更准确。
2、第一方面,本技术实施例提供一种模型训练方法,包括:
3、选定攻击类别和攻击逻辑;
4、根据所述攻击逻辑构建待训练模型,所述攻击逻辑包括所述攻击类别;
5、将预设的样本图片和所述攻击类别输入待训练模型,生成候选对抗扰动;
6、根据所述样本图片和所述候选对抗扰动,得到对抗样本;
7、利用所述对抗样本输入至少一个替代模型,得到目标损失值;
8、在所述目标损失值不满足预设条件时,更新候选对抗扰动,根据候选对抗扰动重新确定目标损失值,直至所述目标损失值满足预设条件时,将当前生成候选对抗扰动的待训练模型作为训练后模型。
9、在本技术的一种实施方式中,所述选定攻击类别和攻击逻辑,包括:
10、选定攻击类别;
11、获取针对所述待训练模型的初始攻击逻辑;
12、通过遗传算法和所述初始攻击逻辑,求解最优攻击逻辑,得到针对所述待训练模型的攻击逻辑。
13、在本技术的一种实施方式中,所述初始攻击逻辑还包括与所述攻击类别语义信息强相关的辅助语义引导类别,以及属于辅助语义引导类别的类别样本约束集;
14、所述获取针对所述待训练模型的初始攻击逻辑,包括:
15、通过预设的语义先验知识,确定与所述攻击类别语义信息强相关的辅助语义引导类别;
16、通过预设的语义信息提取网络,计算属于辅助语义引导类别的类别样本约束集;
17、根据所述攻击类别、辅助语义引导类别和所述类别样本约束集,确定针对所述待训练模型的初始攻击逻辑。
18、在本技术的一种实施方式中,所述根据所述攻击逻辑构建待训练模型,包括:
19、将所述攻击类别嵌入类别映射网络进行类别映射,以将所述攻击类别嵌入到待训练模型;
20、所述通过预设的语义先验知识,确定与所述攻击类别语义信息强相关的辅助语义引导类别,包括:
21、将所述样本图片输入所述类别映射网络进行类别映射,输出预设特定目标的隐式向量;
22、将所述样本图片输入初始的待训练模型,得到样本向量;
23、在所述类别映射网络中将所述隐式向量和所述样本向量沿高度和宽度方向展开,以将所述隐式向量和所述样本向量的特征图在通道维度进行拼接,得到与所述攻击类别语义信息强相关的辅助语义引导类别。
24、在本技术的一种实施方式中,所述利用所述对抗样本输入至少一个替代模型,得到目标损失值,包括:
25、将所述对抗样本输入至少一个替代模型,得到所述至少一个替代模型的损失;
26、将所述对抗样本和所述类别样本约束集输入所述语义特征提取网络,输出第一语义特征和第二语义特征;
27、计算所述第一语义特征和所述第二语义特征之间的距离,并将所述距离作为样本约束之间的损失;
28、根据所述至少一个替代模型的损失和所述样本约束之间的损失,确定目标损失值。
29、在本技术的一种实施方式中,所述根据所述至少一个替代模型的损失和所述样本约束之间的损失,确定目标损失值,包括:
30、获取所述至少一个替代模型中各替代模型预设的第一损失参数;
31、获取所述语义特征提取网络预设的第二损失参数;
32、根据所述第一损失参数、所述第二损失参数、所述至少一个替代模型的损失和所述样本约束之间的损失,计算目标损失值。
33、第二方面,本技术实施例提供一种对抗样本的生成方法,所述方法利用如第一方面所述的模型训练方法训练得到的模型,生成对抗样本。
34、第三方面,本技术实施例提供一种模型评估方法,所述方法利用如第二方面所述的对方样本生成方法生成多个对抗样本,评估目标检测模型的鲁棒性。
35、第四方面,本技术实施例提供一种计算设备,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如第一方面所述的模型训练方法、如第二方面所述的对抗样本生成方法、如第三方面所述的模型评估方法。
36、第五方面,本技术实施例提供一种计算机可读存储介质,其包括指令,当其在计算机上运行时,使得计算机执行如第一方面所述的模型训练方法、如第二方面所述的对抗样本生成方法、如第三方面所述的模型评估方法。
37、第六方面,本技术实施例提供一种包含指令的计算机程序产品,所述计算机程序产品包括程序指令,当所述程序指令在计算机或处理器上运行时,使得所述计算机或所述处理器执行如第一方面中任意一项所述的模型训练方法。
38、第七方面,本技术实施例提供一种芯片系统,该芯片系统包括:
39、通信接口,用于输入和/或输出信息;
40、处理器,用于执行计算机可执行程序,使得安装有所述芯片系统的设备执行如第一方面所述的模型训练方法、如第二方面所述的对抗样本生成方法、如第三方面所述的模型评估方法。
41、在一种可能的设计中,上述芯片系统还包括存储器,该存储器用于保存终端必需的程序指令和数据。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
42、第八方面,本技术实施例提供一种模型训练装置,具有实现对应于上述第一方面提供的模型训练方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
43、在本技术的一种实施方式中,所述模型训练装置包括:
44、选定模块,用于选定攻击类别和攻击逻辑;
45、构建模块,用于根据所述攻击逻辑构建待训练模型,所述攻击逻辑包括所述攻击类别;
46、第一生成模块,用于将预设的样本图片和所述攻击类别输入待训练模型,生成候选对抗扰动;
47、第二生成模块,用于根据所述样本图片和所述候选对抗扰动,得到对抗样本;
48、计算损失模块,用于利用所述对抗样本输入至少一个替代模型,得到目标损失值;
49、确定模块,用于在所述目标损失值不满足预设条件时,更新候选对抗扰动,根据候选对抗扰动重新确定目标损失值,直至所述目标损失值满足预设条件时,将当前生成候选对抗扰动的待训练模型作为训练后模型。
50、在本技术的一种实施方式中,所述选定模块具体用于:
51、选定攻击类别;
52、获取针对所述待训练模型的初始攻击逻辑;通过遗传算法和所述初始攻击逻辑,求解最优攻击逻辑,得到针对所述待训练模型的攻击逻辑。
53、在本技术的一种实施方式中,所述初始攻击逻辑还包括与所述攻击类别语义信息强相关的辅助语义引导类别,以及属于辅助语义引导类别的类别样本约束集;
54、所述选定模块具体用于:
55、通过预设的语义先验知识,确定与所述攻击类别语义信息强相关的辅助语义引导类别;
56、通过预设的语义信息提取网络,计算属于辅助语义引导类别的类别样本约束集;
57、根据所述攻击类别、辅助语义引导类别和所述类别样本约束集,确定针对所述待训练模型的初始攻击逻辑。
58、在本技术的一种实施方式中,所述构建模块具体用于:
59、将所述攻击类别嵌入类别映射网络进行类别映射,以将所述攻击类别嵌入到待训练模型;
60、所述选定模块具体用于:
61、将所述样本图片输入所述类别映射网络进行类别映射,输出预设特定目标的隐式向量;
62、将所述样本图片输入初始的待训练模型,得到样本向量;
63、在所述类别映射网络中将所述隐式向量和所述样本向量沿高度和宽度方向展开,以将所述隐式向量和所述样本向量的特征图在通道维度进行拼接,得到与所述攻击类别语义信息强相关的辅助语义引导类别。
64、在本技术的一种实施方式中,所述计算损失模块具体用于:
65、将所述对抗样本输入至少一个替代模型,得到所述至少一个替代模型的损失;
66、将所述对抗样本和所述类别样本约束集输入所述语义特征提取网络,输出第一语义特征和第二语义特征;
67、计算所述第一语义特征和所述第二语义特征之间的距离,并将所述距离作为样本约束之间的损失;
68、所述计算损失模块具体用于:
69、根据所述至少一个替代模型的损失和所述样本约束之间的损失,确定目标损失值。
70、在本技术的一种实施方式中,所述计算损失模块还用于:
71、获取所述至少一个替代模型中各替代模型预设的第一损失参数;
72、获取所述语义特征提取网络预设的第二损失参数;
73、根据所述第一损失参数、所述第二损失参数、所述至少一个替代模型的损失和所述样本约束之间的损失,计算目标损失值。
74、相较于现有技术,本技术实施例中基于至少一个替代模型计算目标损失值,基于目标损失值去校验当前对抗样本是否达到要求,如未达到要求则更新候选对抗扰动,在对抗样本达到要求后,将当前生成对抗样本的模型即为训练后模型,因此,本技术实施例引入第三方的至少一个替代模型去校验对抗样本是否要求,从而间接检测当前生成对抗样本的模型是否已训练到能生成符合要求对抗样本的程度,可以得到符合实际应用要求的对抗样本生成模型,进一步的,基于符合实际应用要求的对抗样本生成模型,可以生成大量符合要求的对抗样本去进行目标检测模型的评估,使得目标检测模型的评估效率更高且模型评估更准确。
- 还没有人留言评论。精彩留言会获得点赞!