深度神经网络样本木马的构造方法及电子设备与流程

1.本公开涉及人工智能领域，尤其涉及一种深度神经网络样本木马的构造方法及电子设备。


背景技术：

2.机器学习及服务如今被广泛应用，但实现机器学习的深度神经网络模型存在被后门数据中毒木马攻击破坏的可能，对输入深度学习模型的数据样本进行特殊处理后，可以导致模型产生错误的输出。伴随着深度神经网络的发展和应用，其安全问题也逐渐受到大家的关注。
3.为了能够为防御现有木马和未知木马提供有效支持，研究科学合理的木马检测与深度神经网络恢复技术，通过数据中毒方法构造分析深度神经网络后门攻击，得到不同后门触发模式的相关特性是重要的基础。
4.现有的一些方法构造出的后门数据中毒样本木马，其后门触发模式存在触发模式脆弱，鲁棒性差的问题。同时，构造出的后门不具备一定的隐身能力，实用价值较低。


技术实现要素：

5.有鉴于此，本公开的目的在于提出一种深度神经网络样本木马的构造方法及电子设备。
6.基于上述目的，本公开一个或多个实施例提供了一种深度神经网络样本木马的构造方法，包括，通过注入后门中毒数据，调整深度神经网络结构以及构造后门攻击触发模式模型的方法，分析后门中毒数据、深度神经网络结构、后门攻击触发模式与深度神经网络中毒攻击成功之间的关系特性；
7.基于所述关系特性，针对特定类别或通用类别数据构造深度神经网络样本木马的后门攻击触发模式；
8.构造嵌入隐形后门的第一水印图案；
9.以及构造校准图像几何变换的第二水印图案；
10.基于优化所述后门攻击触发模式的方法构造所述深度神经网络样本木马。
11.作为本公开一实施例的进一步改进，针对特定类别或通用类别数据构造所述深度神经网络样本木马的后门攻击触发模式，包括如下步骤：
12.准备干净样本及中毒样本样本集；
13.使用haar-like特征对所述样本集进行检测；
14.使用积分图对haar-like特征求值进行加速；
15.使用adaboost算法训练强分类器，使用筛选式级联把强分类器级联到一起。
16.作为本公开一实施例的进一步改进，使用积分图对haar-like特征求值进行加速，包括：
17.构造积分图：ii(i，j)＝∑
k≤i，l≤j
f(k，l)；
18.其中，位置(i，j)处的值ii(i，j)是图像(i，j)左上角方向所有像素f(k，l)的和；
19.用s(i，j)表示行方向的累加和，初始化s(i，-1)＝0；
20.使用ii(i，j)表示一个积分图像，初始化ii(-1，i)＝0；
21.逐行扫描图像，递归计算每个像素(i，j)行方向的累加和s(i，j)和积分图像ii(i，j)的值：
22.s(i，j)＝s(i，j-1) f(i，j)；ii(i，j)＝ii(i-1，j) s(i，j)；
23.扫描图像一遍，直至到达图像右下角像素，积分图像ii构建完成。
24.作为本公开一实施例的进一步改进，针对特定类别或通用类别数据构造所述深度神经网络样本木马的后门攻击触发模式，包括如下步骤：
25.准备干净样本样本集；
26.在干净样本数据图像中，生成至少一个局部小扰动；
27.复制填充整个图像，生成全局随机扰动作为深度神经网络样本木马的后门攻击触发模式。
28.作为本公开一实施例的进一步改进，针对特定类别或通用类别数据构造所述深度神经网络样本木马的后门攻击触发模式，包括如下步骤：
29.准备干净样本样本集；
30.在干净样本数据图像中，选择一小块区域添加触发图像或者预先选择的自然图像；
31.生成局部图像模式作为深度神经网络样本木马的后门攻击触发模式。
32.作为本公开一实施例的进一步改进，构造校准图像几何变换的第二水印图案包括：
33.采用离散傅里叶技术的数字模板水印，所述数字模板水印记录图像几何变换的参数，用来检测水印图像所经历的几何变换。
34.作为本公开一实施例的进一步改进，通过注入后门中毒数据，调整深度神经网络结构以及构造后门攻击触发模式模型的方法，分析后门中毒数据、深度神经网络结构、后门攻击触发模式与深度神经网络中毒攻击成功之间的关系特性，包括如下步骤：
35.注入中毒数据，检测深度神经网络内部各层的数值变化和各神经元的激活状态；
36.调整深度神经网络的隐藏层、每层神经元数量中的至少一个，分析隐藏层和/或每层神经元数量对于深度神经网络的影响；
37.构造后门攻击触发模式模型分析不同后门攻击触发模式的鲁棒性、迁移学习特性、在不同数据集上的泛化迁移特性、增量更新特性以及多个后门攻击触发模式之间的相互作用和叠加特性。
38.作为本公开一实施例的进一步改进，注入中毒数据，包括：注入不同数据量的中毒数据、注入不同毒化方式的中毒数据及使用不同速度注入中毒数据中的至少一种。
39.作为本公开一实施例的进一步改进，构造后门攻击触发模式模型分析不同后门攻击触发模式的鲁棒性，包括：
40.对含有不同后门攻击触发模式的测试样本的图像进行转换，包括图像压缩、位深度衰减、总方差最小化变换中的至少一个；
41.通过贝叶斯深度神经网络建模，将随机性添加到输入和模型中；
42.采用攻击成功率与扰动预算关系曲线以及攻击成功率与攻击强度关系曲线来评估不同后门攻击触发模式的鲁棒性。
43.本公开一个或多个实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述的深度神经网络样本木马的构造方法。
44.从上面所述可以看出，本公开提供的深度神经网络样本木马的构造方法及电子设备，在分析深度神经网络木马脆弱性的基础上，研究深度神经网络木马能够工作的充分必要条件，得到深度神经网络木马可识别特性；并针对现有木马的可用脆弱性、不具备隐身能力等缺陷，进一步基于优化后门数据中毒触发模式，设计高性能鲁棒性隐形性深度神经网络样本木马构造算法，得到高性能高鲁棒性高隐形性深度神经网络样本木马。结合攻击者角度的木马生成进行可行性分析，进而在此基础上研究样本扰动模式和深度神经网络特征的相关性，实现从多个维度提高木马监测范围，为防御现有木马和未知木马提供有效支持，在多约束条件下取得最佳防御结果，为后续木马检测研究和技术实现提供了支撑。
附图说明
45.为了更清楚地说明本公开或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
46.图1为本公开实施例提供的深度神经网络样本木马的构造方法的流程示意图；
47.图2为本公开实施例提供的研究深度神经网络免疫能力的流程示意图；
48.图3为本公开实施例提供的应用haar分类器算法构造针对特定类别的后门触发模式的流程示意图；
49.图4为本公开实施例提供的包含一个haar-like特征的弱分类器的示意图；
50.图5为本公开实施例提供的水印图像几何变换检测方法的示意图；
51.图6为本公开实施例提供的电子设备的示意图。
具体实施例
52.为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。
53.需要说明的是，除非另外定义，本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。
54.请参见图1，本公开的实施例提供的深度神经网络样本木马的构造方法，包括如下步骤：
55.s1,通过注入后门中毒数据，调整深度神经网络结构以及构造后门攻击触发模式模型的方法，分析后门中毒数据、深度神经网络结构、后门攻击触发模式与深度神经网络中
毒攻击成功之间的关系特性；
56.s2,基于所述关系特性，针对特定类别或通用类别数据构造深度神经网络样本木马的后门攻击触发模式；
57.s3,构造嵌入隐形后门的第一水印图案；
58.s4,以及构造校准图像几何变换的第二水印图案；基于优化所述后门攻击触发模式的方法构造所述深度神经网络样本木马。
59.对于步骤s1，通过注入后门中毒数据，调整深度神经网络结构以及构造后门攻击触发模式模型的方法，分析后门中毒数据、深度神经网络结构、后门攻击触发模式与深度神经网络中毒攻击成功之间的关系特性，研究深度神经网络的免疫能力，找出深度神经网络脆弱性产生的深层原因。
60.请参见图2，是本公开实施例提供的研究深度神经网络免疫能力的流程示意图，分析后门中毒数据、深度神经网络结构、后门攻击触发模式与深度神经网络中毒攻击成功之间的关系特性。
61.其中，s11，注入中毒数据，检测分析深度神经网络，研究中毒数据对深度神经网络的影响。
62.本公开实施例中，通过注入中毒数据的方式，检测分析深度神经网络，研究中毒数据对深度神经网络的影响。在注入中毒数据的同时，实时检测深度神经网络内部各层的数值变化和各神经元的激活状态，来分析中毒数据对深度神经网络的影响。中毒数据或者被称为被污染的样本数据集，指被人为污染的数据，中毒数据可通过在原始数据集中插入后门触发器，或者在原始数据集中添加噪声得到。
63.进一步的，在注入中毒数据时，修改所注入的中毒数据的各项参数，从不同维度观察中毒数据对深度神经网络的影响：
64.注入不同数据量的中毒数据。取被污染的样本数据集1和被污染的样本数据集2，其中被污染的样本数据集1的数据量是被污染的样本数据集2的数据量的两倍。对两个被污染的样本数据集，分别随机提取0.1％的数据，插入同种触发器进行污染，以相同速度注入深度神经网络模型，观察深度神经网络各层神经元的作用以及输出层结果，研究中毒数据数量对深度神经网络的影响。
65.注入毒化方式不同的中毒数据。取两个相同的数据集，分别对数据集同时提取0.1％的数据进行污染。对于其中一个数据集，在所取数据中插入触发器进行污染；对于另一个数据集，在所取数据中添加一层噪声进行污染。将两个被污染的样本数据集以相同速度注入深度神经网络模型，观察深度神经网络各层神经元的作用以及输出层结果，研究中毒数据的毒化方式对深度神经网络的影响。
66.采用不同的中毒数据注入速度。取相同数据集，对两个数据集分别随机提取0.1％的数据插入同种触发器进行污染，分别以不同速度注入深度神经网络模型，观察深度神经网络各层神经元的作用以及输出层结果，研究中毒数据的注入速度对深度神经网络的影响。
67.s12，分析深度神经网络内部作用变化情况，研究深度神经网络内部影响因素。
68.本公开实施例中，调整深度神经网络内部变量，例如调整深度神经网络的隐藏层、每层神经元数量中的至少一个，分析隐藏层和/或每层神经元数量对于深度神经网络的影
响作用。
69.在输入层和输出层相同的情况下，改变隐藏层的层数，分别设置没有隐藏层、1层隐藏层、2层隐藏层、3层隐藏层的深度神经网络，保证每层神经元数量相同，观察深度神经网络各层神经元的作用以及输出层结果，研究隐藏层个数对于深度神经网络的影响。
70.在输入层、隐藏层、输出层个数相同的情况下，改变隐藏层中神经元数量，观察深度神经网络各层神经元的作用以及输出层结果，研究神经元个数对于深度神经网络的影响。
71.在输入层和输出层相同的情况下，同时改变隐藏层的层数和每层的神经元个数，观察深度神经网络各层神经元的作用以及输出层结果，研究隐藏层个数和神经元个数同时改变对于深度神经网络的影响。
72.通过上述方法，检测深度神经网络权重的变化及分布，分析深度神经网络权重和数据中毒模式之间的关系，分析中毒攻击成功，即深度神经网络样本输出层结果与干净样本输出层结果不同时，所需的最低数据注入量及其和深度神经网络隐藏层层数、神经元个数的相关性。
73.进一步的，分析深度神经网络对于后门模式的学习效果是否为线性。采用降维方法线性判别分析法(lda)，对于给定的训练样本集，将样例投影到一条直线上，使得同类样本投影点尽可能相近，而异类样本投影点尽可能远。在对新测试样本分类判别时，同样投影至该条直线，根据投影点位置判定其类别，判断分类的决策边界是否为直线。
74.进一步的，分析深度神经网络学习效果与训练时间的关系，采用控制变量法，设置不同强度的训练时长，观察深度神经网络输出层结果。
75.通过上述方法，为后门中毒攻击触发模式的构造提供理论支撑。
76.s13，分析不同后门攻击触发模式特性，研究深度神经网络典型木马特性。
77.本实施例中，通过构造不同模型分析不同后门触发模式特性，研究深度神经网络典型木马特性。
78.在分析深度神经网络脆弱性原因基础上，通过基于数据中毒方法构造分析后门模式，得到后门触发模式的特性，从而进一步研究深度神经网络典型木马特性。
79.深度神经网络后门攻击植入后门是通过对模型进行修改实现，实施深度神经网络后门攻击将导致模型向攻击者期待的方向发生变化，使触发输入在模型的推理过程中出现攻击者设计的错误。
80.后门数据中毒攻击和触发模式的选取密切相关，进一步的，对后门触发模式特性进行分析研究，通过构造不同模型研究分析深度神经网络后门攻击，从而得到不同后门数据中毒攻击触发模式的相关特性，包括：
81.对含有后门触发模式的测试样本的图像变化和随机扰动进行研究，分析不同后门触发模式的鲁棒性。对于不同后门触发模式的测试样本进行鲁棒训练：通过在输入提供给分类器之前对其进行转换，包括图像压缩、位深度衰减、总方差最小化变换等；
82.另一方面通过贝叶斯深度神经网络建模，将随机性添加到输入和模型中，采用攻击成功率与扰动预算关系曲线以及攻击成功率与攻击强度关系曲线来评估不同后门触发模式的鲁棒性。
83.进一步的，通过构造迁移学习模型来研究不同的后门触发模式在迁移学习场景下
的表现与特性。迁移学习指一个基于某个任务已经训练完成的深度神经网络模型能够用于另一个相关的任务，而不必从头开始训练新模型。优选的，对于深度神经网络图像分类问题，首先对大量数据集进行图片预处理，构造预训练模型；在预训练模型基础之上，直接使用相应的结构和权重，将输出层去掉，针对不同后门触发模式，将模型起始的前k层权重保持不变，重新训练后面n-k层，得到新的权重；根据重新得到的输出层结果，观察不同后门触发模式在迁移学习下的表现特性。
84.进一步的，通过更改含有后门的中毒模型的数据集来分析和研究不同后门触发模式在不同数据集上的泛化迁移能力：分别设定多种类别的数据集，在人脸判别、动物种类、植物类别数据集上插入后门触发模式，获得同种后门触发模式在不同类别样本数据集上的训练效果，针对不同后门触发模式重复实验，研究其在不同数据集上的表现能力。
85.进一步的，通过构造在线学习增量更新模型，即在最开始训练时，该模型在干净的未中毒的训练集上进行训练；在后续增量更新时，训练数据集被注入了含有后门模式的中毒数据集。在此情况下来研究和分析不同的后门触发模式的表现和特性。
86.进一步的，通过在原本就不干净的训练数据集或中毒数据集上进行后门数据中毒攻击，来分析研究不同的后门触发模式的表现与特性。
87.进一步的，通过在同一深度神经网络上嵌入多个数据中毒后门，来分析不同后门触发模式之间的相互作用和相互叠加的影响。
88.本公开在研究深度神经网络工作机理及后门木马特性的基础上，进行深度神经网络样本木马的构造，即以基于优化后门数据中毒触发模式的方法构造深度神经网络后门数据中毒样本木马。
89.对于步骤s2，基于所述关系特性，针对特定类别或通用类别数据构造深度神经网络样本木马的后门攻击触发模式。
90.本公开一种实施例中，利用样本图像中本身具有的属性特征生成中毒数据，进而生成有针对性的后门触发模式。
91.由于已有的训练数据集中含有很多知识，优选的，本公开通过haar分类器首先在在训练数据中计算特征值，进一步降维进行特征筛选。以前后特征值之差计算阈值，并寻求使分类误差最小的阈值，作为分类器的决策边界，进一步迭代构建强分类器，构造针对特定类别的后门攻击触发模式。
92.请参见图3，为本公开应用haar分类器算法构造针对特定类别的后门触发模式的流程，具体包括：
93.s21：准备干净样本及中毒样本样本集；
94.s22：使用haar-like特征对所述样本集进行检测；
95.在本实施例中，使用haar-like特征对所述样本集进行检测，haar-like特征是计算机视觉领域一种常用的特征描述算子，当然，本领域技术人员容易想到的是，可以使用其他种类的特征描述算子进行检测。haar-like特征分为四类：边缘特征、线性特征、中心环绕特征和对角线特征，这四类特征组合成特征模板。特征模板内有白色和黑色两种矩形，并定义该模板的特征值为白色矩形像素和减去黑色矩形像素和，特征值反映了图像的灰度变化情况。矩形放到干净样本区域计算出来的特征值和放到中毒样本区域计算出来的特征值差别越大，越容易用来区分。
96.s23：使用积分图对haar-like特征求值进行加速。
97.积分图是一种能够描述全局信息的矩阵表示方法。积分图的构造方式是位置(i,j)处的值ii(i,j)是原图像(i,j)左上角方向所有像素f(k,l)的和：
98.ii(i,j)＝∑
k≤i,l≤j
f(k,l)；
99.积分图构建方法包括：
100.用s(i,j)表示行方向的累加和，初始化s(i,-1)＝0；
101.使用ii(i,j)表示一个积分图像，初始化ii(-1,i)＝0；
102.逐行扫描图像，递归计算每个像素(i,j)行方向的累加和s(i,j)和积分图像ii(i,j)的值：
103.s(i,j)＝s(i,j-1) f(i,j)；
104.ii(i,j)＝ii(i-1,j) s(i,j)；
105.扫描图像一遍，当到达图像右下角像素时，则积分图像ii构建完成。
106.积分图构造好之后，图像中任何矩阵区域像素累加和都可以通过运算得到：
107.设矩阵区域d的四个顶点分别为α,β,γ,δ，则d的像素和可以表示为
108.dsum＝ii(α) ii(β)-(ii(γ) ii(δ))。
109.haar-like特征值是两个矩阵像素和的差，同样可以在常数时间内完成。且只与特征矩形的端点的积分图有关，而与图像的坐标无关。
110.s24：使用adaboost算法训练强分类器，使用筛选式级联把强分类器级联到一起，提高准确率。
111.adaboost迭代算法的核心思想是针对同一个训练集训练不同的弱分类器，然后把这些弱分类器集合起来，构成一个更强的强分类器。请参见图4，一个弱分类器就是一个如图4所示的决策树，最基本的弱分类器只包含一个haar-like特征。从中筛选出t个优秀的特征值，即最优弱分类器，然后把这个t个最优弱分类器传给adaboost进行训练得到一个强分类器，最后将强分类器进行级联。
112.本实施例提供的后门触发模式利用了训练数据集相关知识，所以会更容易训练。但与此同时应用范围也会相应变窄，只有当特定类别数据添加有后门模式时中毒模型才会将该数据错误分类到目标类别。
113.本公开另一实施例中，利用通用模式生成不针对于特定类别的后门攻击触发模式。
114.对于图像分类识别的深度神经网络样本木马构造方式上，可通过在原始干净样本数据图像中，在生成一个或几个局部小扰动的基础上，复制填充整个图像，从而生成全局随机扰动作为后门触发模式。
115.可选择的，可通过在图像上选择一小块区域添加触发器，或者将一些自然图像添加到输入数据上，进而生成局部图像模式来做后门触发器。
116.由于通用的后门触发模式的构造不依赖于输入数据的知识和特征，不受输入数据的限制，所以可以应用任意类别的输入数据上。对于任意类别的数据添加构造好的后门触发器，就能够触发深度神经网络后门，该中毒数据就会被染马深度神经网络错误分类到指定类别。
117.对于步骤s3，构造嵌入隐形后门的第一水印图案。增强所述深度神经网络样本木
马的后门攻击触发模式的隐形性。
118.在任何现实场景中，木马之所以能够造成巨大破坏，不只在于其本身的攻击力强大，更由于木马具有极高的隐身能力和不被感知的能力，很难被防御者识别检测到，从而造成严重后果。因此所构造的后门须具备一定的隐身能力，构造隐形后门才具有实用价值。
119.后门触发模式的隐形能力主要体现在：图像层面，即人眼不能识别出异常；不能被后门检测防御方法检测到后门。基础的，只有人察觉不到异常，才需要部署检测防御方法，所以将构造隐形后门的重点放在对人眼的隐身性上。
120.本公开中采取构造水印图案的方式构造隐形后门触发模式。构造人类视觉系统难以感知的不可见数字水印可以做到隐形性。在视觉上，因嵌入水印导致的图像变化对于观察者的视觉系统来讲是不可察觉的，并且使用统计方法也无法提取或确定水印的存在，同时数字水印的存在对原有图像数据没有明显的干扰性。在一定程度上，数字水印也具有安全性，只有攻击者即木马的构造者能够检测、恢复和修改水印。
121.对于步骤s4，以及构造校准图像几何变换的第二水印图案；基于优化所述后门攻击触发模式的方法构造所述深度神经网络样本木马。增强所述深度神经网络样本木马的后门攻击触发模式的鲁棒性。
122.基于增强后门触发模式鲁棒性的目的，本实施例采用一种基于模板匹配的图像数字水印方案构造后门触发方式。
123.采用单层水印构造木马增强了其隐形性，在此基础上建立双层水印，进一步增强后门木马的鲁棒性。对于构造具有鲁棒性的后门触发模式，能够抵抗几何变换的攻击是研究重点。水印具有自恢复性的特点，水印信息经过一系列变换操作后，原图可能会产生较大破坏，自恢复性则能够从留下的片段数据恢复水印信息，且恢复过程无需原始图像。
124.依据离散傅里叶变换(dft)的具有的不变性，采用dft技术的数字水印可以有效地抵御几何攻击。在构造后门触发模式时，定义第二水印，第二水印为模板水印，用来记录图像几何变换的参数，作为校准因子。
125.第二水印本身并不包含任何后门水印信息，只是用来检测水印图像所经历的几何变换。具体的，在一幅图像的频域中，均匀取若干局部极大值点作为模板点，其中局部极大值点定义为：
126.对于一个给定的正整数t，定义f(x0,y0)为阵列f(x,y)的极大值点，如果
127.f(x0,y0)＞f(x,y)
128.|x-x0|≤t,|y-y0|≤t
129.定义表明f(x0,y0)是以点(x0,y0)为中心的矩形领域内的局部极大值点，t越大，矩形领域越大。
130.根据离散傅立叶变换的不变性，图像经过旋转(角度θ)、缩放(ρ)和平移后，其频谱也相应地旋转(角度θ)和缩放(1/ρ)。这些模板点经历几何变换后整个图像频域的相对位置仍保持不变，仍然是局部极大值点。
131.此时通过进行第二水印计算检测，测量出该水印图像所经历的几何变换，即求出旋转角度θ和缩放比例ρ,以矩阵a2*2表示经历的几何变换：
[0132][0133]
具体的，请参见图5，几何变换的检测方法包括：
[0134]
对图像进行离散傅立叶变换(dft)；
[0135]
抽取所有的局部极大值点，用点集p来表示；
[0136]
从模板中任取一个模板点(rxi，ryi)，从局部极大值点集合p中选出一点,记为(pxi，pyi)；计算模板点(rxi，ryi)到局部极大值点pxi，pyi)的几何变换,以变换a来表示；
[0137]
应用变换a对其它模板点进行变换，如果两点之间的距离小于某一小的半径rmin，则判定这两个点相匹配，计算变换后模板点与集合p匹配的个数n；
[0138]
定义匹配点数nm，当满足n≥nm时，则终止模板搜索，a即为图像经历的几何变换。
[0139]
在此基础上再对水印图像进行逆变换，并提取其中的水印，使深度神经网络后门仍能够被有效触发，将中毒数据样本分类到预先指定的目标类别，增强图像抵抗几何变换操作的能力。
[0140]
需要说明的是，本公开实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
[0141]
需要说明的是，上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施例中，多任务处理和并行处理也是可以的或者可能是有利的。
[0142]
基于同一发明构思，与上述任意实施例方法相对应的，本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的深度神经网络样本木马的构造方法。
[0143]
图6示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
[0144]
处理器1010可以采用通用的cpu(central processing unit，中央处理器)、微处理器、应用专用集成电路(application specific integrated circuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。
[0145]
存储器1020可以采用rom(read only memory，只读存储器)、ram(random access memory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。
[0146]
输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/
模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
[0147]
通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
[0148]
总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
[0149]
需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。
[0150]
上述实施例的电子设备用于实现前述任一实施例中相应的深度神经网络样本木马的构造方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0151]
所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本公开实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。
[0152]
本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本公开实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。