一种基于触发条件的对抗样本生成方法及系统与流程

技术特征：
1.一种基于触发条件的对抗样本生成方法，其特征在于，包括如下步骤：步骤1、获取数据集，给数据集中的各样本初始化两个扰动，其中，两个扰动分别为触发条件和触发扰动；步骤2、基于目标模型对各样本和两个扰动进行检测，若满足要求，得到样本与两个扰动之和，即条件对抗样本，若不满足要求，更新触动扰动后再次执行步骤2。2.根据权利要求1所述的一种基于触发条件的对抗样本生成方法，其特征在于：所述步骤1中各样本的触发条件相同，触发条件从标准高斯分布中采样得到或设置为特定的值；初始化的触发扰动为格式与对应样本相同的全零向量。3.根据权利要求2所述的一种基于触发条件的对抗样本生成方法，其特征在于，所述步骤2的具体步骤为：步骤2.1、基于目标模型对x
k
a，x
k
b和x
k
a b进行检测，其中，x
k
为第k个样本，a为触发条件，b为触发扰动；步骤2.2、基于y＝f(x
k
)是目标模型对x
k
的分类结果，若满足触发条件触发时呈现对抗性，即f(x
k
a b)≠y，f(x
k
a)＝y，f(x
k
b)＝y，得到条件对抗样本；或满足触发条件触发时呈现正常样本特性，即f(x
k
a b)＝y，f(x
k
b)≠y，f(x
k
a)＝y，得到条件对抗样本步骤2.3、若不满足，基于梯度下降法更新触发扰动b后再次执行步骤2.1。4.根据权利要求1所述的一种基于触发条件的对抗样本生成方法，其特征在于，所述步骤2.3中基于梯度下降法更新触发扰动b的具体步骤为：步骤2.31、根据对抗样本生成方法计算损失loss：对于触发时呈现对抗性：loss＝f(x
k
a b)-f(x
k
b)对于触发时呈现正常样本特性：loss＝-f(x
k
a b) f(x
k
b)步骤2.32、根据反向传播算法计算损失loss对于触发扰动b的梯度g，并对b进行一轮更新：b＝b-∈
×
g其中，∈为给定的正数。5.一种基于触发条件的对抗样本生成系统，其特征在于，包括：初始化模块：获取数据集，给数据集中的各样本初始化两个扰动，其中，两个扰动分别为触发条件和触发扰动；条件对抗样本定义模块：基于目标模型对各样本和两个扰动进行检测，若满足要求，得到样本与两个扰动之和，即条件对抗样本，若不满足要求，更新触动扰动后再次执行步骤2。6.根据权利要求5所述的一种基于触发条件的对抗样本生成系统，其特征在于：所述初始化模块中各样本的触发条件相同，触发条件从标准高斯分布中采样得到或设置为特定的值；初始化的触发扰动为格式与对应样本相同的全零向量。7.根据权利要求6所述的一种基于触发条件的对抗样本生成系统，其特征在于，所述条
件对抗样本定义模块的具体实现为：步骤2.1、基于目标模型对x
k
a，x
k
b和x
k
a b进行检测，其中，x
k
为第k个样本，a为触发条件，b为触发扰动；步骤2.2、基于y＝f(x
k
)是目标模型对x
k
的分类结果，若满足触发条件触发时呈现对抗性，即f(x
k
a b)≠y，f(x
k
a)＝y，f(x
k
b)＝y，得到条件对抗样本；或满足触发条件触发时呈现正常样本特性，即f(x
k
a b)＝y，f(x
k
b)≠y，f(x
k
a)＝y，得到条件对抗样本步骤2.3、若不满足，基于梯度下降法更新触发扰动b后再次执行步骤2.1。8.根据权利要求7所述的一种基于触发条件的对抗样本生成系统，其特征在于，所述条件对抗样本定义模块中基于梯度下降法更新触发扰动b的具体步骤为：步骤2.31、根据对抗样本生成方法计算损失loss：对于触发时呈现对抗性：loss＝f(x
k
a b)-f(x
k
b)对于触发时呈现正常样本特性：loss＝-f(x
k
a b) f(x
k
b)步骤2.32、根据反向传播算法计算损失loss对于触发扰动b的梯度g，并对触发扰动b进行一轮更新：b＝b-∈
×
g其中，∈为给定的正数。

技术总结
本发明公开了一种基于触发条件的对抗样本生成方法及系统，属于人工智能安全领域，解决现有对抗样本生成方法生成的对抗样本在任何条件下对目标模型都具有对抗性，同时由于对抗样本的迁移性，对其它模型也可能产生对抗性，从而不利于对目标模型进行针对性的鲁棒性测试和评估。本发明获取数据集，给数据集中的各样本初始化两个扰动，其中，两个扰动分别为触发条件和触发扰动；基于目标模型对各样本和两个扰动进行检测，若满足要求，得到样本与两个扰动之和，即条件对抗样本，若不满足要求，更新扰动后再次执行。本发明用于生成对抗样本。本发明用于生成对抗样本。本发明用于生成对抗样本。


技术研发人员：刘小垒 胥迤潇
受保护的技术使用者：中国工程物理研究院计算机应用研究所
技术研发日：2022.04.01
技术公布日：2022/7/19