CN110728297B - 一种基于gan的低代价对抗性网络攻击样本生成方法 - Google Patents

Abstract

本发明公开了一种基于GAN的低代价对抗性网络攻击样本生成方法，包括：步骤1，对样本集中样本的属性和标签进行编码；步骤2，根据编码后的样本的属性计算信息增益；步骤3，对抗样本生成模型训练；步骤4，生成用于攻击的对抗样本。本发明基于GAN的基本思想，通过计算样本的属性、标签和信息增益训练模型，可以实现扰动特征的自动化选择，以最小代价生成高效的对抗性网络攻击样本。

Description

一种基于GAN的低代价对抗性网络攻击样本生成方法

技术领域

本发明涉及网络安全领域，尤其是一种基于GAN的低代价对抗性网络攻击样本生成方法。

背景技术

近年来，人工智能算法逐渐被应用于网络安全领域，并在恶意软件检测、入侵检测、漏洞挖掘等方面表现出良好的性能。但由于人工智能算法存在易受对抗性攻击的特性，使得恶意软件检测、入侵检测等系统容易受到恶意攻击者的对抗威胁。为此，研究者们纷纷提出了防御对抗性攻击的方法，其中，以基于生成对抗网络(generative adversarialnetwork，GAN)的方法居多，并且取得了不错的防御效果。但是，这些方法大多存在以下三个问题：

一、大多数方法聚焦于如何利用GAN提升检测算法的准确率，并不关注基于GAN的对抗攻击对网络攻击检测算法的攻击能力；

二、大多数方法源于针对图像的对抗样本生成方法，这些方法没有考虑到图像样本和网络数据样本之间的差异，即在网络数据中，不同属性对分类结果的重要程度不同；

三、这些方法没有考虑到生成对抗样本所付出的代价大小。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种基于GAN的低代价对抗性网络攻击样本生成方法。

本发明采用的技术方案如下：

一种基于GAN的低代价对抗性网络攻击样本生成方法，包括如下步骤：

步骤1，对样本集中样本的属性和标签进行编码；

步骤2，根据编码后的样本的属性计算信息增益；

步骤3，对抗样本生成模型训练：

步骤3-1，构建对抗样本生成模型；

步骤3-2，定义对抗样本生成模型的目标函数；

步骤3-3，采用步骤1的方法对网络数据样本集中样本的属性和标签进行编码；

步骤3-4，采用步骤2的方法根据编码后的网络数据样本集中样本的属性计算信息增益；

步骤3-5，将编码后的网络数据样本集中样本的属性和标签，以及信息增益输入步骤3-1构建的对抗样本生成模型，并利用目标函数进行训练；

步骤4，生成用于攻击的对抗样本：

步骤4-1，采用步骤1的方法对真实样本集中样本的属性和标签进行编码；

步骤4-2，采用步骤2的方法根据编码后的真实样本集中样本的属性计算信息增益；

步骤4-3，将编码后的真实样本集中样本的属性和标签，以及信息增益输入经步骤3训练好的对抗样本生成模型，得到编码的对抗样本属性矩阵；

步骤4-4，对编码的对抗样本属性矩阵进行解码得到对抗样本。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

本发明基于GAN的基本思想，通过计算样本的属性、标签和信息增益训练模型，可以实现扰动特征的自动化选择，以最小代价生成高效的对抗性网络攻击样本。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明的基于GAN的低代价对抗性网络攻击样本生成方法的原理图。

图2为本发明的对抗样本生成模型的生成器的结构示意图。

图3为本发明的对抗样本生成模型的判别器的结构示意图。

图4为本发明的对抗样本生成模型的替代模型的结构示意图。

具体实施方式

以下结合实施例对本发明的特征和性能作进一步的详细描述。

如图1所示，本实施例一种基于GAN的低代价对抗性网络攻击样本生成方法，包括如下步骤：

步骤1，对样本集中样本的属性和标签进行编码：

步骤1-1，将样本集A用矩阵形式表示为

其中，m是样本集A中样本的总数量，n是样本集A中样本的属性总数量，x_i＝[x_i1，x_i2，…，x_ij，y_i]是样本集A中的第i个样本，x_ij是样本集A中第i个样本的第j个属性，y_i是样本集A中的第i个样本的标签；

步骤1-2，基于样本集A的矩阵形式对样本集A中样本的属性进行编码：

步骤1-2-1，基于样本集A的矩阵形式拆分出样本的离散值属性矩阵和连续值属性矩阵，包括：

初始化二维矩阵X_d＝[]，X_s＝[]，对样本集A中的第j列属性

若a_j是离散值属性，则将a_j添加到二维矩阵X_d中，得到离散值属性矩阵

若a_j是连续值属性，则将a_j添加到二维矩阵X_s中，得到连续值属性矩阵

其中，x_il是第i个样本的第l个离散值属性，x_iz第i个样本的第z个连续值属性，g是离散值属性的总数量，h是连续值属性的总数量，且g+h＝n；

步骤1-2-2，采用独热编码(One-Hot)的方法对离散值属性矩阵X_d进行编码，得到编码后的离散值属性矩阵X_{d_enc}；

对离散值属性矩阵X_d中的每一列

初始化一维矩阵S_l＝[]，B_l＝[]，判断属性值x_il是否存在于S_l中，若x_il已存在于S_l中，则将x_il在S_l中的位置索引添加到B_l的结尾；否则。在S_l结尾添加x_il，并将x_il在S_l中的位置索引添加到B_l的结尾，得到

S_l＝[s₀ … d_u]，0≤u≤L-1

B_l＝[b₁ … b_i]，0≤i≤m-1

其中，L是S_l的长度，代表x_l中出现的不同的属性值的总数；

对离散值属性矩阵X_d中的每一列

的每一个属性值x_il的独热编码为：

x_{enc_il}＝[0，…，0，1，0，…，0]

其中，x_{enc_il}的长度是L，元素“1”所在位置的索引是B_l[i]。

对离散值属性矩阵X_d中的每一列

的独热编码为：

依次拼接离散值属性矩阵X_d中的每一列

的独热编码，得到编码后的离散值属性矩阵X_{d_enc}：

步骤1-2-3，将连续值属性矩阵X_s和编码后的离散值属性矩阵X_{d_enc}进行拼接，得到编码后的样本属性矩阵X_enc；即，

其中，N是编码后的样本属性的总数量，x_i是编码后的样本属性矩阵X_enc的第i个样本，x_ik是x_i的第i个属性值。

步骤1-3，基于样本集A的矩阵形式对样本集A中样本的标签进行编码：

步骤1-3-1，直接取出样本集A的标签，得到样本标签矩阵

步骤1-3-2，采用独热编码(One-Hot)的方法对样本标签矩阵Y进行编码，得到编码后的样本标签矩阵Y_enc；具体地，

初始化一维矩阵S_Y＝[]，B_Y＝[]，判断y_i是否存在于S_Y中。若y_i已存在于S_Y中，则将y_i在S_Y中的位置索引添加到B_Y的结尾；否则，在S_Y结尾添加y_i，并将x_il在S_Y中的位置索引添加到B_Y的结尾，得到

S_Y＝[s₀ … s_u]，0≤u≤L_Y-1

B_Y＝[b₁…b_i]，0≤i≤m-1

其中，L_Y是B_Y的长度，代表Y中出现的不同的标签值的总数；

对样本标签矩阵

中的每一个标签y_i的独热编码为：

y_{enc_i}＝[0，…，0，1，0，…，0]

其中，y_{enc_i}的长度是L_Y，元素“1”所在位置的索引是B_Y[i]；

对于样本标签矩阵Y，编码后的样本标签矩阵为：

步骤2，根据编码后的样本的属性计算信息增益：

步骤2-1，计算信息增益：

将编码后的样本属性矩阵X_enc中第k个属性用x_k表示，则各个属性对标签的信息增益gain_k：

gain_k＝Gain(y，x_k)＝Entropy(y)-Entropy(y|x_k)；

其中，

P_i表示第i类标签y在样本集中Y出现的概率；P_i(y|x_k)表示在样本属性x_k已知的情况下，第i类标签y在样本集中Y出现的概率；

步骤2-2，以一维矩阵形式存储所有样本属性的信息增益，即：

gain＝[gain₀，gain₁，…，gain_k]，0≤k≤N-1

其中，N是编码后的样本属性的总数量；

步骤3，对抗样本生成模型训练，本发明采用生成对抗网络(GAN)的基本思想，模型中包含生成器、判别器、替代模型：

步骤3-1，构建对抗样本生成模型：

步骤3-1-1，如图2所示，构建生成器；所述生成器包括：编码网络、解码网络、设置在编码网络和解码网络之间的两个残差块、以及用于输出的双曲正切(tanh)激活函数；

所述编码网络为一个由3个卷积层(Convolutional layer)、3个实例正则化层(Instance normalization layer)、3个线性整流层(Rectified Linear Unit layer，ReLUlayer)组成的堆栈，结构为依次设置的卷积层、实例正则化层、线性整流层、卷积层、实例正则化层、线性整流层、卷积层、实例正则化层和线性整流层；编码网络的输入是wxw的二维矩阵，如

编码网络将rx_i压缩为4x4的二维潜在空间表示矩阵，即

所述解码网络为一个由3个反卷积层(Convolutional transpose layer)、2个实例正则化层、2个线性整流层组成的堆栈，结构为依次设置的反卷积层、实例正则化层、线性整流层、反卷积层、实例正则化层、线性整流层和反卷积层；所述解码网络以4x4的二维矩阵t_x_i为输入，输出wxw的扰动的二维矩阵

本发明中，在编码网络和解码网络之间添加两个残差块(Resnet Block)，可以避免在加深网络深度的时候出现梯度消失或梯度爆炸。最后，对解码网络的输出使用双曲正切(tanh)激活函数。

步骤3-1-2，如图3所示，构建判别器；所述判别器为一个由4个卷积层、2个批正则化层(Batch normalization)、3个Leaky ReLU层和sigmoid激活函数组成的堆栈，结构为依次设置的卷积层、Leaky ReLU层、卷积层、批正则化层、Leaky ReLU层、卷积层、批正则化层、Leaky ReLU层、卷积层和sigmoid激活函数；

所述判别器用于判断输入属于真实样本或对抗样本，即：判别器的输入是wxw的二维矩阵，如

输出整数判别结果

步骤3-1-3，如图4所示，构建替代模型；所述替代模型由4个卷积层、6个ReLU层、1个池化层(Pooling layer)、3个线性层(Linear layer)组成，结构为依次设置的卷积层、ReLU层、卷积层、ReLU层、卷积层、ReLU层、卷积层、ReLU层、池化层、线性层、ReLU层、线性层、ReLU层和线性层；

所述替代模型以wxw的二维矩阵rex_{adv_i}为输入，输出独热编码(One-Hot)形式的判别结果y_pred_i＝[0，…，0，1，0，…，0]，其中，y_pred_i的长度是L_Y，元素“1”所在位置的索引是替代模型判定的标签所在位置。

步骤3-2，定义对抗样本生成模型的目标函数：

步骤3-2-1，定义生成器的目标函数：

L_G＝αL_GAN+βL_adv+γL_t；

其中，α、β和γ是超参数，用于控制子目标函数L_GAN、L_adv和L_t之间的相关重要性；

表示生成器生成真实样本的损失；

表示对抗样本成功欺骗对抗样本生成模型的损失；

表示将样本的信息增益作为权值实现扰动特征的自动化选择；

x＝rx_i是真实样本，G(x)＝purx_i是生成器生成的扰动，t是目标分类，l表示训练替代模型的损失函数，gain是一维的样本属性的信息增益矩阵，其每个元素gain_k是样本中第k个属性的信息增益，x_adv是对抗样本；

步骤3-2-2，定义判别器的目标函数：

其中x＝rx_i是真实样本，G(x)＝purx_i是生成器生成的扰动，D表示判别器；

步骤3-3，采用步骤1的方法对网络数据样本集中样本的属性和标签进行编码，即得到编码后的属性矩阵X_enc和标签矩阵Y_enc；其中，网络数据样本集是训练对抗样本生成模型的测试集，可以选取历史存储的真实网络数据样本集，对于训练得到的对抗样本生成模型效果更好。

步骤3-4，采用步骤2的方法根据编码后的网络数据样本集中样本的属性计算信息增益，即得到信息增益矩阵gain；

步骤3-5，将编码后的网络数据样本集中样本的属性和标签，以及信息增益输入步骤3-1构建的对抗样本生成模型，并利用目标函数进行训练：

步骤3-5-1，对属性矩阵X_enc的每个样本x_i＝[x_i0 … x_ik]进行维度重塑：将k×1的一维矩阵x_i转换为wxw的二维矩阵rx_i：

其中，w是大于

的最小整数，并且，当j＞k-1时，x_ij＝0；

步骤3-5-2，将信息增益矩阵gain和二维矩阵rx_i输入生成器中，生成器输出扰动purx_i

步骤3-5-3，将扰动purx_i和二维矩阵rx_i叠加，得到对抗样本的属性矩阵rex_{adv_i}：

步骤3-5-4，将对抗样本的属性矩阵rex_{adv_i}和二维矩阵rx_i输入判别器，判别器判断输入是真实样本或是生成的样本，输出结果

根据步骤3-2中的定义的目标函数计算损失L_D和L_GAN；判别器利用计算得到的损失L_D更新自身参数，同时将损失L_GAN反馈给生成器；

步骤3-5-5，将对抗样本的属性矩阵rex_{adv_i}、二维矩阵rx_i和标签矩阵y_enc输入替代模型，替代模型输出独热编码(One-Hot)形式的判别结果y_pred_i＝[0，…，0，1，0，…，0]，其中，y_pred_i的长度是L_Y，元素“1”所在位置的索引是判别器判定的标签所在位置，并反馈给生成器；生成器根据步骤3-2中定义的目标函数计算损失L_adv和L_t；

步骤3-5-6，生成器根据步骤3-2中定义的目标函数计算损失L_G，并根据L_G更新自身参数；

步骤3-5-7，将步骤3-5-1～步骤3-5-6重复执行epoch次，其中，epoch是超参数，最终得到基于GAN的对抗样本生成模型；

步骤4，生成用于攻击的对抗样本：

步骤4-1，采用步骤1的方法对真实样本集中样本的属性和标签进行编码；所述真实样本集可以是当前实时采集的真实网络数据样本集，为了方便描述，本实施例中将真实样本集表示为

其中，c是真实样本集B中样本的总数量，n是样本的属性数量；

则编码后的属性矩阵X_{b_enc}和标签矩阵Y_{b_enc}为：

其中，N是编码后的样本属性的总数量。

其中，y_{b_enc_i}＝[0，…，0，1，0，…，0]，且y_{b_enc_i}的长度为L_Y，元素“1”所在位置是真实标签所在的位置。

步骤4-2，采用步骤2的方法根据编码后的真实样本集中样本的属性计算信息增益，得到的信息增益矩阵表示为：

步骤4-3，将编码后的真实样本集中样本的属性和标签，以及信息增益输入经步骤3训练好的对抗样本生成模型，得到编码的对抗样本属性矩阵：

步骤4-3-1，将编码后的真实样本集中样本的属性和标签，以及信息增益(即属性矩阵X_{b_enc}、标签矩阵Y_{b_enc}和信息增益矩阵gain_b)输入经步骤3训练好的对抗样本生成模型，得到对抗样本属性矩阵rex_{adv_i}：

步骤4-3-2，根据步骤3-5-1进行的维度重塑，将对抗样本属性矩阵rex_{adv_i}进行逆向维度重塑，得到k×1的一维矩阵x_{adv_i}：

步骤4-3-3，拼接所有x_{adv_i}，得到编码后的对抗样本属性矩阵B_{adv_enc}：

步骤4-4，对编码的对抗样本属性矩阵进行解码得到对抗样本：

步骤4-4-1，根据步骤1-2-3的拼接过程，逆向拆分编码后的对抗样本属性矩阵B_{adv_enc}，得到编码后的对抗离散值属性矩阵B_{adv_d_enc}和对抗连续值属性矩阵B_{adv_s}；其中，

步骤4-4-2，根据步骤1-2-2的独热编码过程，逆向解码编码后的对抗离散值属性矩阵B_{adv_d_enc}，得到解码后的对抗离散值属性矩阵B_{adv_d_dec}：

其中，x_{adv_dec_il}表示一个离散值属性。

步骤4-4-3，根据步骤1-2-1的拆分过程，逆向拼接解码后的对抗离散值属性矩阵B_{adv_d_dec}、对抗连续值属性矩阵B_{adv_s}和

得到对抗样本矩阵B_adv：

其中，b_{adv_i}＝[x_{adv_i0} … x_{adv_ij} y_{b_i}]是B_adv的第i个样本。也就是说，对抗样本矩阵B_adv包括有i个对抗样本，可用于实施对抗性攻击的对抗性网络攻击样本集。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于GAN的低代价对抗性网络攻击样本生成方法，其特征在于，包括如下步骤：

步骤1，对样本集中样本的属性和标签进行编码；所述样本为网络数据样本；

步骤2，根据编码后的样本的属性计算信息增益；

步骤3，对抗样本生成模型训练：

步骤3-1，构建对抗样本生成模型；

步骤3-2，定义对抗样本生成模型的目标函数；

步骤3-3，采用步骤1的方法对网络数据样本集中样本的属性和标签进行编码；

步骤3-4，采用步骤2的方法根据编码后的网络数据样本集中样本的属性计算信息增益；

步骤3-5，将编码后的网络数据样本集中样本的属性和标签，以及信息增益输入步骤3-1构建的对抗样本生成模型，并利用目标函数进行训练；

步骤4，生成用于攻击的对抗样本：

步骤4-1，采用步骤1的方法对真实样本集中样本的属性和标签进行编码；

步骤4-2，采用步骤2的方法根据编码后的真实样本集中样本的属性计算信息增益；

步骤4-3，将编码后的真实样本集中样本的属性和标签，以及信息增益输入经步骤3训练好的对抗样本生成模型，得到编码的对抗样本属性矩阵；

步骤4-4，对编码的对抗样本属性矩阵进行解码得到对抗样本；所述解码得到的对抗样本为用于实施对抗性攻击的对抗性网络攻击样本。

2.根据权利要求1所述的基于GAN的低代价对抗性网络攻击样本生成方法，其特征在于，所述步骤1对样本集中样本的属性和标签进行编码的方法，包括如下子步骤：

步骤1-1，将样本集A用矩阵形式表示为

其中，m是样本集A中样本的总数量，n是样本集A中样本的属性总数量，x_i＝[x_i1，x_i2，…，x_ij，y_i]是样本集A中的第i个样本，x_ij是样本集A中第i个样本的第j个属性，y_i是样本集A中的第i个样本的标签；

步骤1-2，基于样本集A的矩阵形式对样本集A中样本的属性进行编码：

步骤1-2-1，基于样本集A的矩阵形式拆分出样本的离散值属性矩阵和连续值属性矩阵，包括：

初始化二维矩阵X_d＝[]，X_s＝[]，对样本集A中的第j列属性

若a_j是离散值属性，则将a_j添加到二维矩阵X_d中，得到离散值属性矩阵

若a_j是连续值属性，则将a_j添加到二维矩阵X_s中，得到连续值属性矩阵

其中，x_il是第t个样本的第l个离散值属性，x_iz第i个样本的第z个连续值属性，g是离散值属性的总数量，h是连续值属性的总数量，且g+h＝n；

步骤1-2-2，采用独热编码的方法对离散值属性矩阵X_d进行编码，得到编码后的离散值属性矩阵X_{d_enc}；

步骤1-2-3，将连续值属性矩阵X_s和编码后的离散值属性矩阵X_{d_enc}进行拼接，得到编码后的样本属性矩阵X_enc；

步骤1-3，基于样本集A的矩阵形式对样本集A中样本的标签进行编码：

步骤1-3-1，直接取出样本集A的标签，得到样本标签矩阵

步骤1-3-2，采用独热编码的方法对样本标签矩阵Y进行编码，得到编码后的样本标签矩阵Y_enc。

3.根据权利要求2所述的基于GAN的低代价对抗性网络攻击样本生成方法，其特征在于，所述步骤2根据编码后的样本的属性计算信息增益的方法，包括如下子步骤：

步骤2-1，计算信息增益：

将编码后的样本属性矩阵X_enc中第k个属性用x_k表示，则各个属性对标签的信息增益：

gain_k＝Gain(y，x_k)＝Entropy(y)-Entropy(y|x_k)；

其中，

P_i表示第i类标签y在样本集中Y出现的概率；P_i(y|x_k)表示在样本属性x_k已知的情况下，第i类标签y在样本集中Y出现的概率；

步骤2-2，以一维矩阵形式存储所有样本属性的信息增益，即：

gain＝[gain₀，gain₁，…，gain_k]，0≤k≤N-1

其中，N是编码后的样本属性的总数量。

4.根据权利要求3所述的基于GAN的低代价对抗性网络攻击样本生成方法，其特征在于，所述步骤3-1构建对抗样本生成模型的方法，包括如下子步骤：

步骤3-1-1，构建生成器；所述生成器包括：编码网络、解码网络、设置在编码网络和解码网络之间的两个残差块、以及用于输出的双曲正切激活函数；所述解码网络的结构为依次设置的卷积层、实例正则化层、线性整流层、卷积层、实例正则化层、线性整流层、卷积层、实例正则化层和线性整流层；所述解码网络的结构为依次设置的反卷积层、实例正则化层、线性整流层、反卷积层、实例正则化层、线性整流层和反卷积层；

步骤3-1-2，构建判别器；所述判别器的结构为依次设置的卷积层、Leaky ReLU层、卷积层、批正则化层、Leaky ReLU层、卷积层、批正则化层、Leaky ReLU层、卷积层和sigmoid激活函数；

步骤3-1-3，构建替代模型；所述替代模型的结构为依次设置的卷积层、ReLU层、卷积层、ReLU层、卷积层、ReLU层、卷积层、ReLU层、池化层、线性层、ReLU层、线性层、ReLU层和线性层。

5.根据权利要求4所述的基于GAN的低代价对抗性网络攻击样本生成方法，其特征在于，所述步骤3-2定义对抗样本生成模型的目标函数的方法，包括如下子步骤：

步骤3-2-1，定义生成器的目标函数：

L_G＝αL_GAN+βL_adv+γL_t；

其中，α、β和γ是超参数，用于控制子目标函数L_GAN、L_adv和L_t之间的相关重要性；

表示生成器生成真实样本的损失；

表示对抗样本成功欺骗对抗样本生成模型的损失；

表示将样本的信息增益作为权值实现扰动特征的自动化选择；

x＝rx_i是真实样本，G(x)＝purx_i是生成器生成的扰动，t是目标分类，l表示训练替代模型的损失函数，gain是一维的样本属性的信息增益矩阵，其每个元素gain_k是样本中第k个属性的信息增益，x_adv是对抗样本；

步骤3-2-2，定义判别器的目标函数：

其中x＝rx_i是真实样本，G(x)＝purx_i是生成器生成的扰动，D表示判别器。

6.根据权利要求5所述的基于GAN的低代价对抗性网络攻击样本生成方法，其特征在于，所述步骤3-5中将编码后的网络数据样本集中样本的属性和标签，以及信息增益输入步骤3-1构建的对抗样本生成模型，并利用目标函数进行训练的方法，包括如下子步骤：

步骤3-5-1，对属性矩阵X_enc的每个样本x_i＝[x_i0 … x_ik]进行维度重塑：将k×1的一维矩阵x_i转换为wxw的二维矩阵形式的真实样本

其中，w是大于

的最小整数，并且，当j＞k-1时，x_ij＝0；其中，属性矩阵X_enc由步骤3-3得到；

步骤3-5-2，将信息增益矩阵gain和真实样本rx_i输入生成器中，生成器输出扰动

其中，信息增益矩阵gain由步骤3-4得到；

步骤3-5-3，将扰动purx_i和真实样本rx_i叠加，得到对抗样本的属性矩阵rex_{adv_i}；

步骤3-5-4，将对抗样本的属性矩阵rex_{adv_i}和真实样本rx_i输入判别器，判别器判断输入是真实样本或是生成的样本，输出结果

根据步骤3-2中的定义的目标函数计算损失L_D和L_GAN；判别器利用计算得到的损失L_D更新自身参数，同时将损失L_GAN反馈给生成器；

步骤3-5-5，将对抗样本的属性矩阵rex_{adv_i}、真实样本rx_i和标签矩阵y_enc输入替代模型，替代模型输出独热编码形式的判别结果y_pred_i＝[0，…，0，1，0，…，0]，其中，y_pred_i的长度是L_Y，元素“1”所在位置的索引是判别器判定的标签所在位置，并反馈给生成器；生成器根据步骤3-2中定义的目标函数计算损失L_adv和L_t；其中，标签矩阵y_enc由步骤3-3得到；

步骤3-5-6，生成器根据步骤3-2中定义的目标函数计算损失L_G，并根据L_G更新自身参数；

步骤3-5-7，将步骤3-5-1～步骤3-5-6重复执行epoch次，其中，epoch是超参数，最终得到基于GAN的对抗样本生成模型。

7.根据权利要求6所述的基于GAN的低代价对抗性网络攻击样本生成方法，其特征在于，所述步骤4-3中将编码后的真实样本集中样本的属性和标签，以及信息增益输入经步骤3训练好的对抗样本生成模型，得到编码的对抗样本属性矩阵的方法，包括如下子步骤：

步骤4-3-1，将编码后的真实样本集中样本的属性和标签，以及信息增益输入经步骤3训练好的对抗样本生成模型，得到对抗样本属性矩阵rex_{adv_i}：

步骤4-3-2，根据步骤3-5-1进行的维度重塑，将对抗样本属性矩阵rex_{adv_i}进行逆向维度重塑，得到kx1的一维矩阵x_{adv_i}：

步骤4-3-3，拼接所有x_{adv_i}，得到编码后的对抗样本属性矩阵B_{adv_enc}：

8.根据权利要求7所述的基于GAN的低代价对抗性网络攻击样本生成方法，其特征在于，所述步骤4-4中对编码的对抗样本进行解码得到对抗样本的方法，包括如下子步骤：

步骤4-4-1，根据步骤1-2-3的拼接过程，逆向拆分编码后的对抗样本属性矩阵B_{adv_enc}，得到编码后的对抗离散值属性矩阵B_{adv_d_enc}和对抗连续值属性矩阵b_{adv_s}；其中，

其中，c是真实样本集中样本的总数量；

步骤4-4-2，根据步骤1-2-2的独热编码过程，逆向解码编码后的对抗离散值属性矩阵B_{adv_d_enc}，得到解码后的对抗离散值属性矩阵B_{adv_d_dec}：

步骤4-4-3，根据步骤1-2-1的拆分过程，逆向拼接解码后的对抗离散值属性矩阵B_{adv_d_dec}、对抗连续值属性矩阵B_{adv_s}和

得到对抗样本矩阵B_adv：

其中，b_{adv_i}＝[x_{adv_i0} … x_{adv_ij} y_{b_i}]是B_adv的第i个样本。

Images