CN109036389A - 一种对抗样本的生成方法及装置 - Google Patents

Abstract

本发明公开了一种对抗样本的生成方法及装置，涉及数据分析技术领域，主要目的在于结合训练模型的参数生成具有训练针对性的对抗样本，以提升训练模型的鲁棒性。本发明主要的技术方案为：获取一组训练样本，所述训练样本至少包含输入数据以及对应的标签值；利用随机梯度下降算法和所述训练样本更新训练模型的模型参数；根据所述模型参数以及训练模型的超参数确定对抗扰动值，所述超参数为所述训练模型初始化时随机生成的；根据所述对抗扰动值生成所述训练样本对应的对抗样本。本发明用于训练样本的扩充以及模型训练。

Description

一种对抗样本的生成方法及装置

技术领域

本发明涉及数据分析技术领域，尤其涉及一种对抗样本的生成方法及装置。

背景技术

随着人工智能的飞速发展，智能语音交互已经成为了各种智能产品最直接的入口。深度学习在语音识别领域的成功应用，加速了智能语音交互在各种智能产品和应用场景中的落地。基于神经网络的声学模型，需要大量的带有标注的语音数据来进行训练，才能达到实用的效果。目前，被各大平台采用的商用语音识别模型，都是采用了上万小时的带有人工标注的语音数据进行训练。然而，语音训练数据的采集，成本高，需要考虑各种不同的应用场景、口音覆盖等因素，才能保证声学模型的泛化和推广能力，达到实用的标准。

目前，大量的数据采集和录制过程，都是在相对安静的场景下进行的，数据的噪声较小。采用这种数据训练的模型，在实际应用中，会出现对噪声不鲁棒的问题。用户在实际应用语音识别功能时，周围的声学环境往往较为复杂，背景噪声、混响，以及各种干扰声，都会增加语音识别的难度，导致识别率的下降。为了提高声学模型在有带噪声真实环境下的效果，可以在训练数据中，增加大量的带噪语音，以提高模型的鲁棒性。

但是，由于录制大量的真实的带噪语音代价较高，数据仿真，成为了广泛采用的一中扩充训练数据的方法，该方法是通过对干净数据添加噪声来仿真带噪语音，然后将仿真的语音加入到训练数据中，以实现有效地提高模型对噪声的鲁棒性。然而，这种方式所扩充的训练数据只是基于数据本身进行的简单加噪处理，并为考虑对于添加噪声大小的控制以及噪声对训练模型的影响，导致这些扩充的训练数据应用在不同的训练模型中时很难达到有针对性的训练模型鲁棒性的效果。

发明内容

鉴于上述问题，本发明提出了一种对抗样本的生成方法及装置，主要目的在于结合训练模型的参数生成具有训练针对性的对抗样本，以提升训练模型的鲁棒性。

为达到上述目的，本发明主要提供如下技术方案：

一方面，本发明提供一种对抗样本的生成方法，具体包括：

获取一组训练样本，所述训练样本至少包含输入数据以及对应的标签值；

利用随机梯度下降算法和所述训练样本更新训练模型的模型参数；

根据所述模型参数以及训练模型的超参数确定对抗扰动值，所述超参数为所述训练模型初始化时随机生成的；

根据所述对抗扰动值生成所述训练样本对应的对抗样本。

优选的，所述方法还包括：

利用随机梯度下降算法和所述对抗样本更新训练模型的模型参数；

根据所述模型参数判断所述训练模型是否收敛；

若未收敛，则利用另一个训练样本生成新的对抗样本更新所述训练模型的模型参数，直至所述训练模型收敛。

优选的，根据所述模型参数以及训练模型的超参数确定对抗扰动值包括：

设置损失函数J(θ,x,y)，其中，θ为所述模型参数，x为训练样本的输入数据，y为所述训练样本的标签值；

利用快速梯度符号法计算所述损失函数对应的对抗扰动值，所述快速梯度符号法的计算表达式为：其中，δ^FGSM为对抗扰动值，ε为所述超参数，为损失函数在输入数据上的梯度，的取值为1或-1。

优选的，根据所述对抗扰动值生成所述训练样本对应的对抗样本包括：

对抗样本的输入数据为：其中，x_m为一组训练样本中第m个训练样本的输入数据，为第m个训练样本的对抗扰动值；

所述对抗样本为其中y_m为第m个训练样本的标签值。

另一方面，本发明提供一种对抗样本的生成装置，具体包括：

获取单元，用于获取一组训练样本，所述训练样本至少包含输入数据以及对应的标签值；

更新单元，用于利用随机梯度下降算法和所述获取单元获取的训练样本更新训练模型的模型参数；

确定单元，用于根据所述更新单元得到的模型参数以及训练模型的超参数确定对抗扰动值，所述超参数为所述训练模型初始化时随机生成的；

生成单元，用于根据所述确定单元确定的对抗扰动值生成所述训练样本对应的对抗样本。

优选的，所述装置还包括：

对抗训练单元，用于利用随机梯度下降算法和所述生成单元生成的对抗样本更新训练模型的模型参数；

判断单元，用于根据所述对抗训练单元得到的模型参数判断所述训练模型是否收敛；若所述训练模型未收敛，则利用另一个训练样本生成新的对抗样本更新所述训练模型的模型参数，直至所述训练模型收敛。

优选的，所述确定单元包括：

设置模块，用于设置损失函数J(θ,x,y)，其中，θ为所述模型参数，x为训练样本的输入数据，y为所述训练样本的标签值；

计算模块，用于利用快速梯度符号法计算所述设置模块设置的损失函数对应的对抗扰动值，所述快速梯度符号法的计算表达式为：其中，δ^FGSM为对抗扰动值，ε为所述超参数，为损失函数在输入数据上的梯度，的取值为1或-1。

优选的，所述生成单元包括：

第一生成模块，用于生成对抗样本的输入数据为：其中，x_m为一组训练样本中第m个训练样本的输入数据，为第m个训练样本的对抗扰动值；

第二生成模块，用于根据所述第一生成模块得到的输入数据生成所述对抗样本为其中y_m为第m个训练样本的标签值。

另一方面，本发明提供一种存储介质，所述存储介质用于存储的计算机程序，其中，所述计算机程序运行时控制所述存储介质所在设备执行上述的对抗样本的生成方法。

另一方面，本发明提供一种处理器，所述处理器用于运行计算机程序，其中，所述计算机程序运行时执行上述的对抗样本的生成方法。

借由上述技术方案，本发明提供的一种对抗样本的生成方法及装置，通过使用一批训练样本和随机梯度下降算法对训练模型进行训练，得到该训练模型的模型参数，并基于该模型参数确定出针对该训练模型的对抗扰动值，再以该对抗扰动值生成对应于这批训练样本的对抗样本。可见，以该方式得到的对抗样本是针对具体的训练模型而计算得到的，即所得到的对抗样本中含有的噪声是容易让当前的训练模型得到错误输出的。因此，使用这些对抗样本来训练该训练模型就可以更有效的优化该训练模型，使其具有更佳的鲁棒性，即不会由于加入的噪声而影响训练模型的输出值。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提出的一种对抗样本的生成方法的流程图；

图2示出了本发明实施例提出的另一种对抗样本的生成方法的流程图；

图3示出了本发明实施例提出的一种对抗样本的生成装置的组成框图；

图4示出了本发明实施例提出的另一种对抗样本的生成装置的组成框图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

本发明实施例提供了一种对抗样本的生成方法，该方法所生成的对抗样本是针对具体训练模型的模型参数而得到的。在说明本实施例之前，首先对所要生成的对抗样本的概念进行简要说明：对抗样本的提出，是为了扰乱现有已经训练好的模型。许多研究发现，即使现在非常流行的深度神经网络模型，也显示出来的脆弱性。在机器学习领域，对抗样本一般表示一种人为设计的样本，这种样本是在正常的样本上人为加入一个人无法察觉到的扰动，比如在图片识别中，仅仅改变一幅图片中的几个像素点，人眼是无法觉察到的改变，但是将这种样本送入到图片识别模型中，模型将会给出一个完全错误的识别结果；在比如在语音识别领域，给原始的语音信号加入一个人耳无法察觉的噪声，将含有该噪声的语音输入语音识别器，其可以输出完全错误的识别结果。下述公式是对对抗样本的具体定义：

f(x；θ)表示一个机器学习模型，其中，x表示输入样本，θ表示模型参数。给定一个输入样本x_i，以及对应的标签y_i，模型f(x；θ)用来产生对标签的预测。那么，用表示一个输入的对抗样本，并且有：

使得

同时满足约束

||δ_i||＜＜||x_i|| (3)

其中，δ被称为“对抗扰动”，其值远小于x_i的取值，一般地，δ取值至少要低于x_i取值的一至两个数量级。因为满足公式(3)的约束，对抗扰动的幅度相比于原始样本很小，但是模型却得到错误的输出。

对抗样本的存在，说明了模型在输入空间上存在“盲点”。同时，对抗样本的存在，也说明了现有模型的“不平滑性”，即在输入上加入很小的扰动，就可能导致输出上的剧烈变化。这种不平滑性，在实际的使用中，会导致模型出现一些难以预测和解释的错误。而发现并使用这种样本用于模型的训练将可以大大抑制模型的这种不平滑性，有效的提高模型的鲁棒性。

据此，本发明实施例提出了一种生成对抗样本的方式，具体流程如图1所示，包括：

步骤101、获取一组训练样本。

该训练样本为正常的用于模型训练的样本，其中，该训练样本的内容至少包含有输入数据以及对应标注的标签值。

本步骤中所获取的训练样本一般是从指定的数据集中随机采集的一组数据，其具体数量是人为设定或随机取值的。

步骤102、利用随机梯度下降算法和训练样本更新训练模型的模型参数。

该步骤为常规的模型训练过程，随机梯度下降算法是常用的神经网络模型参数求解方法之一，其具体的计算原理以及过程在本实施例中不做详细说明。本步骤的目的，就是通过随机梯度下降算法计算出训练模型的模型参数，使得该训练模型在输入训练样本中的输入数据时，能够正确地输出对应的标签值。

步骤103、根据模型参数以及训练模型的超参数确定对抗扰动值。

其中，超参数是在训练模型初始化时随机生成的，该超参数的取值为一个远小于训练样本输入数据的值，即该超参数的取值是与对抗扰动δ的取值在同一数量级的数值。

在本实施例中，由于参与计算的为向量值，因此，在确定对抗扰动值时，所确定的也是一个向量值，通过模型参数确定对抗扰动的方向，通过超参数确定对抗扰动的取值。其中，对抗扰动的方向是基于步骤102中计算模型参数时所确定的梯度的方向。

步骤104、根据对抗扰动值生成训练样本对应的对抗样本。

由于本实施例中的采用的是随机梯度下降算法计算训练模型的模型参数，即是随机选取一个训练样本做梯度下降，因此，每个训练样本都能够确定一个对抗扰动值，再根据该对抗扰动值利用上述的公式(1)生成一个对抗样本的输入数据，再结合训练样本的标签值，就得到对应该训练样本的对抗样本。据此可知，通过上述步骤的执行，根据所获取的一组训练样本，就能够得到对应的一组对抗样本。

通过上述实施例中的具体实现方式可以看出，本发明实施例提出的对抗样本的生成方法，结合了训练模型在经过训练样本训练后得到的模型参数，基于该模型参数确定对抗扰动，进而生成对抗样本。该对抗样本会随着模型参数的变化而变化，并不是根据人为设定而添加的对抗干扰值，因此，采用本发明实施例得到的对抗样本在对模型训练时具有更强的针对性，使得训练模型在经过对抗样本的训练后具有更高的鲁棒性。

为了进一步详细的阐明上述对抗样本的生成方法，特别是将该方法应用于声学模型，生成语音对抗样本，以及利用该语音对抗样本进行模型训练的过程，该过程如图2所示，其主要步骤包括：

步骤201、获取一组训练样本。

本实施例中获取的是语音训练样本，这些样本是对录制的语音进行一系列声学特征处理，如对音频的滤波，之后再对这些样本标记对应的标签而生成的训练样本。这些语音训练样本用于训练语音模型，以便语音模型可以更高效地识别用户的语音指令。

步骤202、训练模型初始化。

其中，训练模型在本实施例中为采用深度神经网络的语音模型，通过初始化操作确定该语音模型在执行中所需的参数，主要是深度神经网络中各层的连接权重与偏执参数，以及超参数。这些参数都是通过对语音模型进行随机初始化得到的，需要说明的是，对于超参数的设置，由于该超参数关系到后续对抗样本的对抗扰动值，因此，需要设定该超参数的取值范围，即超参数随机取值的数量级要远低于样本输入数据值的数量级，具体取值需要根据实际应用的需求确定，此处不做限定。

步骤203、利用随机梯度下降算法和训练样本更新训练模型的模型参数。

本实施例中，定义步骤201获取的一组训练样本为B，其中，x表示输入数据，y表示该训练样本的标签值，M表示这组训练样本的总数量，m表示M中的一个样本。定义步骤202初始化时得到的超参数为ε，其中，语音模型的模型参数在模型初始化时将设置为用户自定义的数值，定义该模型参数为θ，该θ的取值将根据训练样本的训练而不断更新优化。

具体的，通过随机梯度下降算法和训练样本B训练该语音模型的模型参数，其更新θ的表达式为：

其中，为损失函数在输入数据上的梯度，J(θ,x,y)为损失函数，μ为学习率，其值是自定义设置的。需要说明的是，损失函数J(θ,x,y)在机器学习领域中用于表示模型输出的结果与真实结果之间的不一致程度，在本实施例中，J(θ,x,y)是在创建语音模型时，根据给定的θ、x与y所定义的函数，不同的应用场景中，所需定义的损失函数也不同。

本步骤就是通过B中的训练样本来更新语音模型的模型参数θ。

步骤204、根据模型参数以及训练模型的超参数确定对抗扰动值。

根据上述对对抗样本的说明，要得到对抗样本的输入数据，就需要确定对抗扰动δ的值。在本发明实施例中，该对抗扰动值是利用快速梯度符号法确定的，该快速梯度符号法是一种快速产生对抗样本的方法，主要是利用定义的损失函数J(θ,x,y)，在生成对抗样本的过程中，将语音模型当前的模型参数θ固定，用于损失函数对语音模型的输入x求导，得到损失函数在输入数据上的梯度，其具体的表达式为：

其中，δ^FGSM的值为对抗扰动值，ε为超参数，为损失函数在输入数据上的梯度，的取值为1或-1。

根据对抗样本的特性，即输入与训练样本相似，但模型输出的值不同，可以看出，快速梯度符号法的目的是生成一些和训练样本输入数据相似(差异为δ^FGSM)的样本，而这些样本的输入数据会让损失函数沿最快的方向增大，其可表达为：

根据B中的训练样本，其中每个样本搜对应的得到对抗扰动值，可表示为：

步骤205、根据对抗扰动值生成训练样本对应的对抗样本。

根据对抗样本说明中的公式(1)可以确定对抗样本中的输入数据为：

这些对抗样本的标签为对应的y_m，那么，生成的对抗样本可以表示为B^adv，

步骤206、利用随机梯度下降算法和对抗样本更新训练模型的模型参数。

本步骤的执行过程与步骤203相同，区别在于本步骤所使用的训练样本为步骤205得到的对抗样本。具体的执行过程不再赘述，模型参数更新的表达式为：

步骤207、根据模型参数判断该训练模型是否收敛。

本步骤是根据步骤206得到的模型参数θ，判断语音训练模型是否收敛，即判断该语音训练模型在使用该模型参数θ时，是否能够输出正确的样本标签。

若能够则说明该语音训练模型在使用该模型参数时是收敛的，此时，说明生成的对抗样本能够有效地更新该语音训练模型的模型参数。

而如果语音训练模型未收敛，则说明生成的对抗样本无法优化模型参数，此时，将返回步骤203，重复上述生成对抗样本，并使用对抗样本训练模型更新模型参数的步骤，直至该语音训练模型收敛。当这一组训练样本多对应生成的对抗样本都不能让该语音训练模型收敛时，则可以再获取一组新的训练样本数据，重复本实施例中所执行的各个步骤。

进一步的，作为对上述图1与图2所示方法的实现，本发明实施例提供了一种对抗样本的生成装置，该装置用于生成针对训练模型的对抗样本，以便训练模型根据该对抗样本训练处更具鲁棒性的模型参数。为便于阅读，本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容。该装置如图3所示，具体包括：

获取单元31，用于获取一组训练样本，所述训练样本至少包含输入数据以及对应的标签值；

更新单元32，用于利用随机梯度下降算法和所述获取单元31获取的训练样本更新训练模型的模型参数；

确定单元33，用于根据所述更新单元32得到的模型参数以及训练模型的超参数确定对抗扰动值，所述超参数为所述训练模型初始化时随机生成的；

生成单元34，用于根据所述确定单元33确定的对抗扰动值生成所述训练样本对应的对抗样本。

进一步的，如图4所示，所述装置还包括：

对抗训练单元35，用于利用随机梯度下降算法和所述生成单元34生成的对抗样本更新训练模型的模型参数；

判断单元36，用于根据所述对抗训练单元35得到的模型参数判断所述训练模型是否收敛；若所述训练模型未收敛，则利用另一个训练样本生成新的对抗样本更新所述训练模型的模型参数，直至所述训练模型收敛。

进一步的，如图4所示，所述确定单元33包括：

设置模块331，用于设置损失函数J(θ,x,y)，其中，θ为所述模型参数，x为训练样本的输入数据，y为所述训练样本的标签值；

计算模块332，用于利用快速梯度符号法计算所述设置模块331设置的损失函数对应的对抗扰动值，所述快速梯度符号法的计算表达式为：其中，δ^FGSM为对抗扰动值，ε为所述超参数，为损失函数在输入数据上的梯度，的取值为1或-1。

进一步的，如图4所示，所述生成单元34包括：

第一生成模块341，用于生成对抗样本的输入数据为：其中，x_m为一组训练样本中第m个训练样本的输入数据，为第m个训练样本的对抗扰动值；

第二生成模块342，用于根据所述第一生成模块341得到的输入数据生成所述对抗样本为其中y_m为第m个训练样本的标签值。

综上所述，本发明实施例所采用的对抗样本的生成方法及装置，是使用特定的训练样本确定训练模型的模型参数，再根据得到的模型参数利用快速梯度符号法计算对抗样本的对抗扰动值，进而生成对应于特定训练样本的对抗样本。可见，该对抗样本并不是简单的在训练样本中加入人为的对抗扰动得到的，而是根据模型参数的更新动态确定的，因此，使用该对抗样本进行模型训练时可以更有针对性的训练，从而提高训练模型的鲁棒性。

进一步的，本发明实施例还提供了一种存储介质，该存储介质用于存储计算机程序，其中，所述计算机程序运行时控制所述存储介质所在设备执行上述的对抗样本的生成方法。

另外，本发明实施例还提供了一种处理器，所述处理器用于运行计算机程序，其中，所述计算机程序运行时执行上述的对抗样本的生成方法。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

此外，存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种对抗样本的生成方法，其特征在于，所述方法包括：

获取一组训练样本，所述训练样本至少包含输入数据以及对应的标签值；

利用随机梯度下降算法和所述训练样本更新训练模型的模型参数；

根据所述模型参数以及训练模型的超参数确定对抗扰动值，所述超参数为所述训练模型初始化时随机生成的；

根据所述对抗扰动值生成所述训练样本对应的对抗样本。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

利用随机梯度下降算法和所述对抗样本更新训练模型的模型参数；

根据所述模型参数判断所述训练模型是否收敛；

若未收敛，则利用另一个训练样本生成新的对抗样本更新所述训练模型的模型参数，直至所述训练模型收敛。

3.根据权利要求1或2所述的方法，其特征在于，根据所述模型参数以及训练模型的超参数确定对抗扰动值包括：

设置损失函数J(θ,x,y)，其中，θ为所述模型参数，x为训练样本的输入数据，y为所述训练样本的标签值；

利用快速梯度符号法计算所述损失函数对应的对抗扰动值，所述快速梯度符号法的计算表达式为：δ^FGSM＝εsign(▽_xJ(θ,x,y))，其中，δ^FGSM为对抗扰动值，ε为所述超参数，▽_xJ(θ,x,y)为损失函数在输入数据上的梯度，sign(▽_xJ(θ,x,y))的取值为1或-1。

4.根据权利要求3所述的方法，其特征在于，根据所述对抗扰动值生成所述训练样本对应的对抗样本包括：

对抗样本的输入数据为：其中，x_m为一组训练样本中第m个训练样本的输入数据，为第m个训练样本的对抗扰动值；

所述对抗样本为其中y_m为第m个训练样本的标签值。

5.一种对抗样本的生成装置，其特征在于，所述装置包括：

获取单元，用于获取一组训练样本，所述训练样本至少包含输入数据以及对应的标签值；

更新单元，用于利用随机梯度下降算法和所述获取单元获取的训练样本更新训练模型的模型参数；

确定单元，用于根据所述更新单元得到的模型参数以及训练模型的超参数确定对抗扰动值，所述超参数为所述训练模型初始化时随机生成的；

生成单元，用于根据所述确定单元确定的对抗扰动值生成所述训练样本对应的对抗样本。

6.根据权利要求5所述的装置，其特征在于，所述装置还包括：

对抗训练单元，用于利用随机梯度下降算法和所述生成单元生成的对抗样本更新训练模型的模型参数；

判断单元，用于根据所述对抗训练单元得到的模型参数判断所述训练模型是否收敛；若所述训练模型未收敛，则利用另一个训练样本生成新的对抗样本更新所述训练模型的模型参数，直至所述训练模型收敛。

7.根据权利要求5或6所述的装置，其特征在于，所述确定单元包括：

设置模块，用于设置损失函数J(θ,x,y)，其中，θ为所述模型参数，x为训练样本的输入数据，y为所述训练样本的标签值；

计算模块，用于利用快速梯度符号法计算所述设置模块设置的损失函数对应的对抗扰动值，所述快速梯度符号法的计算表达式为：δ^FGSM＝εsign(▽_xJ(θ,x,y))，其中，δ^FGSM为对抗扰动值，ε为所述超参数，▽_xJ(θ,x,y)为损失函数在输入数据上的梯度，sign(▽_xJ(θ,x,y))的取值为1或-1。

8.根据权利要求7所述的装置，其特征在于，所述生成单元包括：

第一生成模块，用于生成对抗样本的输入数据为：其中，x_m为一组训练样本中第m个训练样本的输入数据，为第m个训练样本的对抗扰动值；

第二生成模块，用于根据所述第一生成模块得到的输入数据生成所述对抗样本为其中y_m为第m个训练样本的标签值。

9.一种存储介质，其特征在于，所述存储介质用于存储计算机程序，其中，所述计算机程序运行时控制所述存储介质所在设备执行权利要求1-4中任意一项所述的对抗样本的生成方法。

10.一种处理器，其特征在于，所述处理器用于运行计算机程序，其中，所述计算机程序运行时执行权利要求1-4中任意一项所述的对抗样本的生成方法。