CN113111833A

CN113111833A - 人工智能系统的安全性检测方法、装置及终端设备

Info

Publication number: CN113111833A
Application number: CN202110443590.5A
Authority: CN
Inventors: 邵翠萍; 李慧云; 刘艳琳; 蒋拯民
Original assignee: Shenzhen Institute of Advanced Technology of CAS
Current assignee: Shenzhen Institute of Advanced Technology of CAS
Priority date: 2021-04-23
Filing date: 2021-04-23
Publication date: 2021-07-13
Anticipated expiration: 2041-04-23
Also published as: CN113111833B

Abstract

本申请适用于人工智能技术领域，提供了一种人工智能系统的安全性检测方法、装置及终端设备，方法包括：获取原始图像数据，根据原始图像数据生成恶意样本数据，根据恶意样本数据对人工智能系统进行安全性测试，得到人工智能系统的安全性检测结果，以模拟在真实环境下的人工智能系统的安全攻击，实现针对人工智能系统进行全面和真实的安全性能测试，降低人工智能系统的安全隐患。

Description

人工智能系统的安全性检测方法、装置及终端设备

技术领域

本申请属于人工智能技术领域，尤其涉及一种人工智能系统的安全性检测方法、装置、终端设备及可读存储介质。

背景技术

近年来，人工智能技术作为引领新一轮科技革命和产业变革的战略性技术，成为各个国家，各个科技领域内最关键的一项技术。

然而，由于人工智能技术具有强依赖于训练数据，缺乏可解释性的特性，使得在人工智能系统受到安全攻击时，攻击用户通过在训练数据里加入攻击数据，破坏训练数据的完整性，使得人工智能系统输出的结果与预期的正确输出结果不同，降低人工智能系统输出结果的精度。

相关的基于人工智能系统的安全检测方法通常是对人工智能系统进行特定的安全攻击，而无法全面系统地对人工智能系统进行检测评估，无法确定人工智能系统在实际场景中的安全性，导致人工智能技术的安全性能测试结果的精度不稳定、真实性差。

发明内容

本申请实施例提供了一种人工智能系统的安全性检测方法、装置、终端设备及可读存储介质，可以解决相关的基于人工智能系统的安全检测方法无法全面系统地对人工智能系统进行检测评估，人工智能技术的安全性能测试结果的精度不稳定、真实性差的问题。

第一方面，本申请实施例提供了一种人工智能系统的安全性检测方法，包括：

获取多个原始图像数据；

根据所述原始图像数据生成恶意样本数据；其中，所述恶意样本数据为使得人工智能系统的输出结果与预期输出结果不同的图像数据；

根据所述恶意样本数据对所述人工智能系统进行安全性测试，得到所述人工智能系统的安全性检测结果。

在一个实施例中，所述获取原始图像数据之后，还包括：

通过预设数据增强方法对每个所述原始图像数据进行图像转换，得到原始图像数据集；其中，所述预设数据增强方法包括对称处理、旋转处理和缩放处理中的至少一种。

在一个实施例中，所述通过预设数据增强方法对每个所述原始图像数据进行图像转换，得到原始图像数据集之后，包括：

识别所述原始图像数据集中每个原始图像数据的内容，确定每个原始图像数据的标签。

在一个实施例中，所述根据所述原始图像数据生成恶意样本数据，包括：

计算得到所述原始图像数据集中每个原始图像数据的纹理信息；

基于所述每个原始图像数据的纹理信息，添加梯度干扰信息，生成对应的恶意样本数据集。

在一个实施例中，所述基于所述每个原始图像数据的纹理信息，添加梯度干扰信息，生成对应的恶意样本数据集，包括：

根据所述原始图像数据集中每个原始图像数据的标签进行聚类处理，得到多个类别的图像数据集；

通过相近对抗样本生成方法对每个类别的图像数据集中每个原始图像数据的纹理信息添加对应的梯度干扰信息，得到多个类别的恶意样本数据集。

在一个实施例中，所述恶意样本数据的类型包括目标恶意样本数据和非目标恶意样本数据；

所述根据所述恶意样本数据对所述人工智能系统进行安全性测试，得到所述人工智能系统的安全性检测结果，包括：

根据所述人工智能系统的安全需求等级和输入数据权限，确定目标恶意样本数据和非目标恶意样本数据的比例和对应的预设算法，对所述人工智能系统进行安全性测试，得到第一测试结果；

根据所述人工智能系统的安全性能等级，通过所述恶意样本数据对所述人工智能系统进行对应的预设时长的安全性测试，得到第二测试结果；

根据所述第一测试结果和第二测试结果确定所述人工智能系统的安全性检测分数。

第二方面，本申请实施例提供了一种人工智能系统的安全性检测装置，包括：

获取模块，用于获取多个原始图像数据；

生成模块，用于根据所述原始图像数据生成恶意样本数据；其中，所述恶意样本数据为使得人工智能系统的输出结果与预期输出结果不同的图像数据；

测试模块，用于根据所述恶意样本数据对所述人工智能系统进行安全性测试，得到所述人工智能系统的安全性检测结果。

在一个实施例，所述装置，还包括：

数据处理模块，用于通过预设数据增强方法对每个所述原始图像数据进行图像转换，得到原始图像数据集；其中，所述预设数据增强方法包括对称处理、旋转处理和缩放处理中的至少一种。

在一个实施例中，所述装置，还包括：

识别模块，用于识别所述原始图像数据集中每个原始图像数据的内容，确定每个原始图像数据的标签。

在一个实施例中，所述生成模块，包括：

计算单元，用于计算得到所述原始图像数据集中每个原始图像数据的纹理信息；

生成单元，用于基于所述每个原始图像数据的纹理信息，添加梯度干扰信息，生成对应的恶意样本数据集。

在一个实施例中，所述生成单元，包括：

聚类处理子单元，用于根据所述原始图像数据集中每个原始图像数据的标签进行聚类处理，得到多个类别的图像数据集；

生成子单元，用于通过相近对抗样本生成方法对每个类别的图像数据集中每个原始图像数据的纹理信息添加对应的梯度干扰信息，得到多个类别的恶意样本数据集。

在一个实施例中，所述恶意样本数据的类型包括目标恶意样本数据和非目标恶意样本数据。

在一个实施例中，所述测试模块，包括：

第一测试单元，用于根据所述人工智能系统的安全需求等级和输入数据权限，确定目标恶意样本数据和非目标恶意样本数据的比例和对应的预设算法，对所述人工智能系统进行安全性测试，得到第一测试结果；

第二测试单元，用于根据所述人工智能系统的安全性能等级，通过所述恶意样本数据对所述人工智能系统进行对应的预设时长的安全性测试，得到第二测试结果；

确定单元，用于根据所述第一测试结果和第二测试结果确定所述人工智能系统的安全性检测分数。

第三方面，本申请实施例提供了一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面中任一项所述的人工智能系统的安全性检测方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述第一方面中任一项所述的人工智能系统的安全性检测方法。

第五方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在终端设备上运行时，使得终端设备执行上述第一方面中任一项所述的人工智能系统的安全性检测方法。

本申请实施例与现有技术相比存在的有益效果是：通过获取大量的原始图像数据，并基于原始图像数据生成大量对应的恶意样本数据，基于大量的恶意样本数据对人工智能系统进行安全性能测试，以模拟在真实环境下的人工智能系统的安全攻击，实现针对人工智能系统进行全面和真实的安全性能测试，提高人工智能系统安全性检测结果的精度，降低人工智能系统的安全隐患。

可以理解的是，上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的人工智能系统的安全性检测方法的流程示意图；

图2是本申请实施例提供的高速高清图像采集系统的结构示意图；

图3是本申请实施例提供的局部二值模式算法提取图像局部纹理信息的应用场景示意图；

图4是本申请实施例提供的基于灰度共生矩阵的给定像素点对的位置关系示意图；

图5是本申请实施例提供的基于优化后的YOLO3算法识别原始图像数据的应用场景示意图；

图6是本申请实施例提供的基于相近对抗样本生成方法生成恶意样本数据的应用场景示意图；

图7是本申请实施例提供的人工智能系统的安全性检测装置的结构示意图；

图8是本申请实施例提供的人工智能系统的安全性检测装置的另一结构示意图；

图9是本申请实施例提供的终端设备的结构示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

应当理解，当在本申请说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本申请说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

另外，在本申请说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

人工智能系统是指具有通用操作系统具备的所有功能，且还包括语音识别、机器视觉系统、执行器系统和认知行为系统的神经网络模型。例如，应用于自动驾驶领域的自动驾驶网络模型，或者应用于军事领域中自主性武器的自主控制网络模型。恶意样本数据是指使得人工智能系统的输出结果与预期输出结果不同的图像数据。例如，通过恶意样本数据对自动驾驶网络模型进行攻击，使得自动驾驶网络模型在输入数据为“向左行驶”的交通标志数据时，输出“向右行驶”或“掉头”等结果，与预期的正确输出结果“向左行驶”不同。

本申请实施例提供的人工智能系统的安全性检测方法可以应用于手机、平板电脑、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等终端设备上，本申请实施例对终端设备的具体类型不作任何限制。

近年来，虽然人工智能技术已经逐渐成为科技领域内的一项核心、关键技术，但是人工智能技术仍存在一定的安全隐患。相关的基于人工智能系统的安全检测方法通常是基于特定的攻击数据，对人工智能系统中算法或实现过程中某个特定的漏洞进行安全性测试，无法从理论层面上对安全攻击的机理进行解释，无法全面系统地对人工智能系统进行安全检测评估，也无法确定人工智能系统在实际场景中的安全性，一定程度上导致了人工智能技术的安全性能测试结果的精度不稳定、真实性差。本申请提出的一种人工智能系统的安全性检测方法，通过获取大量的原始图像数据，基于每个原始图像数据的纹理信息添加对应的梯度干扰信息，生成对应的恶意样本数据集，并通过恶意样本数据集对人工智能系统进行安全性测试，得到安全性测试结果，实现针对人工智能系统进行全面和真实的安全性能测试，提高人工智能系统安全检测结果的精度，降低人工智能系统的安全隐患。

图1示出了本申请提供的人工智能系统的安全性检测方法的示意性流程图，作为示例而非限定，该方法可以应用于上述笔记本电脑中。

S101、获取多个原始图像数据。

在具体应用中，人工智能系统通常会受到安全攻击，攻击数据会使人工智能输出结果与预期的正确输出结果不同，导致人工智能系统的输出结果准确度降低，存在一定的安全隐患。为准确检测人工智能系统的安全性能，设定首先在真实环境中，通过预设采集设备获取大量的原始图像数据，基于原始图像数据的纹理信息生成对应的恶意样本数据，通过恶意样本数据对人工智能系统进行攻击，以测试人工智能系统的安全性。其中，原始图像数据是指在真实环境中通过预设采集设备采集到的图像数据，或用于对人工智能系统进行训练的数据集。人工智能系统具体指基于视觉的人工智能系统，例如：应用于自动驾驶领域的自动驾驶神经网络模型或人脸识别系统。

可以理解的是，当原始图像数据的类型越丰富，可以对人工智能系统进行更多层面且更丰富的安全性测试；例如，以自动驾驶网络模型为例，现有的交通标志数据集包括：CTSDB、CCTSDB、Tsinghua-Tencent 100K Tutorial、百度ApolloScape等数据集，但是上述交通标志数据集往往存在数据不完整的问题。为此，设定通过特定的预设采集设备，在真实环境下，针对性的采集大量的交通标志数据。预设采集设备包括但不限于高清摄像机。

在一个实施例中，获取原始图像数据之后，还包括：

在具体应用中，在获取到大量的原始图像数据之后，为扩充原始图像数据集，同时模拟真实环境下具有多样性的原始图像数据，通过预设数据增强方法对每个原始图像数据进行图像转换，得到对应的原始图像数据集；预设数据增强方法包括但不限于对称处理、旋转处理和缩放处理中的至少一种。

图2示例性的提供了一种高速高清图像采集系统的结构示意图。

图2中，通过在真实场景中，设定高速摄像头和高清采集卡实时拍摄获得图像数据，通过存储器对图像数据进行存储，并通过监视器对拍摄的图像数据进行展示，得到多个原始图像数据。

S102、根据所述原始图像数据生成恶意样本数据；其中，所述恶意样本数据为使得人工智能系统的输出结果与预期输出结果不同的图像数据。

在具体应用中，通过对原始图像数据添加干扰信息，生成对应的恶意样本数据。其中，恶意样本数据是指使得人工智能系统的输出结果与预期输出结果不同的图像数据。恶意样本数据的类型包括目标恶意样本数据和非目标恶意样本数据；其中，目标恶意样本数据是指通过对人工智能系统进行攻击，使得人工智能系统基于指定的输入数据，输出指定的错误结果的攻击数据；例如，在输入数据为指定的“向左行驶”的交通标志数据时，通过目标恶意样本数据对人工智能系统攻击，使得人工智能系统的输出结果为指定的“向右行驶”。或者，在输入数据为指定的“禁止驶入”的交通标志数据时，通过目标恶意样本数据对人工智能系统攻击，使得人工智能系统的输出结果为指定的“直行”。非目标恶意样本数据是指通过对人工智能系统进行攻击，使得人工智能系统输出随机结果(与预期输出结果不同)的攻击数据。例如，在输入数据为“向左行驶”的交通标志数据时，通过非目标恶意样本数据对人工智能系统攻击，使得人工智能系统输出包括“向右行驶”、“直行”或“掉头”等，以降低人工智能系统输出结果准确度。

S103、根据所述恶意样本数据对所述人工智能系统进行安全性测试，得到所述人工智能系统的安全性检测结果。

在具体应用中，根据人工智能系统的不同安全需求，对恶意样本数据进行调整，基于调整后的恶意样本数据对人工智能系统进行攻击，获得对应的安全性检测结果。

在具体应用中，基于视觉的人工智能系统的攻击数据一般为图像数据，而图像数据的纹理信息是存在于视觉信息中规律性排列的重要特征，其可以描述图像数据的局部区域从一个像素到另一个像素的局部强度变化，反映图像数据中的同质现象。因此，设定在原始图像数据的纹理信息上添加梯度干扰信息，来生成对应的恶意样本数据：首先，需要计算得到原始图像数据集中每个原始图像数据的纹理信息，基于每个原始图像数据添加对应的梯度干扰信息，使每个原始图像数据发生较大的像素变化，得到对应恶意样本数据集。

在具体应用中，纹理信息主要是通过像素及其周围空间领域的灰度分布来体现，其实质是一个与灰度变化有关的统计特性，计算得到纹理信息的方法包括但不限于局部二值模式(Local Binary Patterns，LBP)算法、灰度共生矩阵(Gray-level Co-occurrenceMatrix，GLCM)、离散傅里叶变换的局部相位量化(Local Phase Quantization，LPQ)、基于韦伯定律的韦伯局部特征(Weber Local Descriptor，WLD)。

其中，局部二值模式(Local Binary Patterns，LBP)算法主要通过特定窗口内中心像素值衡量周边窗口的邻域属性值(灰度或RGB单通道)，且只记录大小关系来反映局部纹理信息，表述方式为对大小关系进行二值化处理，得到的串联编码。局部二值模式算法具有简单、可操作性强、旋转不变性、灰度不变性、尺度不变性、对光照变化鲁棒的优点。

图3示例性的提供了一种局部二值模式算法提取图像局部纹理信息的应用场景示意图；

如图3所示，尺寸为3×3的窗口内中心像素灰度值为83，将与中心像素相邻的8个像素的灰度值与中心像素灰度值进行比较，若检测到中心像素的相邻像素灰度值大于中心像素灰度值，则将该相邻像素灰度值记为1；否则记为0。得到八位的二进制数，并转化成十进制数，将转化后的十进制数作为窗口内中心像素的局部二值模式值，可表示为：

式中：i表示领域串口中除中心像素外的相邻像素的序号；I_i表示第i个相邻像素点的属性值；I_c表示中心像素的属性值；s()表示二值化函数：

在具体应用中，灰度共生矩阵是计算图像数据中给定像素点对不同灰度值的出现概率的方法。

图4示例性的示出了一种基于灰度共生矩阵的给定像素点对的位置关系示意图；

如图4所示，假设给定了图像数据中像素点对中的方向θ和距离δ两个因素，对应可确定，图像数据中任意一个像素点f(x,y)及偏离该像素点f(x,y)的像素点f(x+dx,y+dy)构成像素点对。假设上述像素点对的灰度值表示为(f₁,f₂)，且已知图像数据的最大灰度级为L。像素点对的灰度值(f₁,f₂)的排列组合共有L×L种。统计图像数据中每一种灰度值(f₁,f₂)出现的次数并排成方阵，再归一化上述每一种灰度值(f₁,f₂)出现的概率P(f₁,f₂)，得到灰度共生矩阵。可以看出，灰度共生矩阵P(f₁,f₂)表征灰度级分别为f₁和f₂在给定像素点对f(x,y)，f(x+dx,y+dy)中出现的概率：

p(i,j,j,δ,θ)＝{[(x,y),(x+dx,y+dy)]|f(x,y)＝f₁,f(x+dx,y+dy)＝f₂} (3)；

根据灰度共生矩阵，提取统计参数，可用于描述图像的纹理信息，灰度共生矩阵的常用特征参数见表1。

表1灰度共生矩阵常用特征参数表

在具体应用中，添加梯度干扰信息的过程可表式为：

式中，x表示人工智能系统的输入数据；y表示人工智能系统的输出数据；x'表示添加梯度干扰信息后的输入数据；θ表示人工智能系统的模型参数；J表示定义的人工智能系统的模型损失函数；

表示进行梯度运算；ε表示梯度干扰步长；sign变表示符号函数。

在人工智能系统网络模型的反向传播中，主要是沿着梯度方向来更新神经元节点的权重和偏移，以使人工智能系统网络模型向减小损失值的方向收敛：

式中：W_ij表示人工智能系统网络模型中神经元节点的权重；b_i表示人工智能系统网络模型中神经元节点的偏移；α表示学习率。

通过基于原始图像数据的图像纹理添加梯度干扰信息生成对应的恶意样本数据集，将恶意样本数据集输入至人工智能系统网络模型进行处理，可在不改变人工智能系统网络模型参数的前提下，从输入环节增大人工智能系统网络模型训练过程中的损失值，从而降低人工智能系统网络模型的正确识别的能力。可以理解的是，在人工智能系统网络模型采用线性或近似线性的激活函数时，误差传导值将逐渐增大。

在一个实施例中，所述通过预设数据增强方法对每个所述原始图像数据进行图像转换，得到原始图像数据集之后包括：：

在具体应用中，通过优化后的YOLO3算法识别每个原始图像数据中的内容，确定对应的标签。例如，以自动驾驶系统为例，需获取大量的交通标志数据作为原始图像数据，通过优化后的YOLO3算法识别交通标志数据的内容，确定每个交通标志数据中包含的指示信息，并添加对应的标签。

其中，优化后的YOLO3算法是指通过调整残差结构和anchor对原本的YOLO3算法进行优化后得到的算法，通过调整残差结构可以提高对原始图像数据进行识别标记的效率；通过调整YOLO3算法的锚(anchor)，便于使YOLO3算法适应原始图像数据的大小(包括内存大小及长宽比信息)。通过聚类Kmeans算法对原始图像数据进行聚类处理，实现对YOLO3算法的快速训练过程。

在一个实施例中，可通过从原始图像数据集中选取出能够反映人工智能系统网络模型性能的部分原始样本数据作为目标数据集，并识别确定目标数据集中每个原始图像数据的标签。以减小数据处理量，提高对人工智能系统安全性检测的效率。

图5示例性的提供了一种基于优化后的YOLO3算法识别原始图像数据的应用场景示意图。

图5中，原始图像数据具体为交通标志数据，基于优化后的YOLO3算法识别确定每个交通标志数据中包含的指示信息，并添加对应的标签，例如，对图5中包含指示信息为“禁止停车”的交通标志数据，添加“禁止停车”标签。

可以理解的是，可根据原始图像数据的标签，确定该原始图像数据的类型，例如，标签为“限速40”的原始图像数据的类别为“限制”；标签为“禁止超车”的原始图像数据的类别为“禁令”；标签为“机动车行驶”的原始图像数据的类别为“指示”；标签为“前方施工”的原始图像数据的类别为“警告”。

在一个实施例中，所述对原始图像数据添加梯度干扰信息，生成对应的恶意样本数据，包括：

在具体应用中，根据原始图像数据集中每个原始图像数据的标签，对原始图像数据集进行聚类处理，得到多个不同类别的原始图像数据，对同类别的原始图像数据并行处理，基于相近对抗样本生成方法对同类别的原始图像数据添加梯度干扰信息，得到对应的同类别的恶意样本数据。

例如：获取大量的交通标志数据作为原始图像数据集，确定原始图像数据集中每个交通标志数据的标签；根据每个交通标志数据的标签对原始图像数据集进行聚类处理，获得包括但不限于“禁令”、“警告”、“指示”和“限制”等多个类别的图像数据集。

其中，相近对抗样本生成方法是指对同类别的图像数据集并行处理，以根据同类别的图像数据集中上一原始图像数据生成的恶意样本数据作为下一个原始图像数据的起始值，以生成对应的恶意样本数据集的方法。即基于同类别的图像数据集中所有原始图像数据的相似性，基于相近对抗样本生成方法并行处理，生成同类别的恶意样本数据，减少了迭代次数。

基于相近对抗样本生成方法对同类别的图像数据集中的原始图像数据并行处理，生成对应的恶意样本数据集，能够减少数据读取的次数和时间，提高恶意样本数据的生成速度。

图6示例性的示出了基于相近对抗样本生成方法生成恶意样本数据的应用场景示意图。

在一个实施例中，所述根据所述恶意样本数据对所述人工智能系统进行安全性测试，得到所述人工智能系统的安全性检测结果，包括：

在具体应用中，恶意样本数据的类型包括但不限于目标恶意样本数据和非目标恶意样本数据。

在具体应用中，对于不同应用领域的人工智能系统，其安全需求是不一样的(例如，海关的人脸识别系统的安全需求等级和安全性能等级均比商场、小区的人脸识别系统的高；海关的人脸识别系统内不同输入数据也具有不同等级的权限)；因此，不同应用领域的人工智能系统受到的安全攻击强度、攻击时长也不相同。对应的，设定针对不同人工智能系统的安全需求，选择对应的安全测试方法，包括：基于人工智能系统具有不同防御等级的安全需求特性，在检测到人工智能系统的安全需求等级和/或输入数据权限高时，调整恶意样本数据集中目标恶意样本数据的占比大于非目标恶意样本数据的占比，并使用攻击强度高的攻击算法对人工智能系统进行安全性测试，得到对应的第一测试结果；在检测到人工智能系统的安全需求等级和/或输入数据权限低时，调整恶意样本数据集中目标恶意样本数据的占比小于或等于非目标恶意样本数据的占比，并使用攻击强度低的攻击算法人工智能系统进行安全性测试，得到对应的第一测试结果。其中，第一测试结果是指通过上述确定的预设算法，基于比例调整后的目标恶意样本数据和非目标恶意样本数据对人工智能系统进行安全攻击后，人工智能系统输出结果的准确率。

在具体应用中，对人工智能系统进行安全检测的攻击算法包括但不限于有快速梯度攻击算法(Fast Gradient Sign Method，FGSM)、迭代快速梯度攻击算法Iterative FastGradient Sign Method(IFGSM)、C&W攻击算法。

FGSM算法是指通过计算模型输出对输入的梯度，来精确修改输入数据以达到攻击的目的。IFGSM是基于FGSM算法进行改进得到的算法，，可以生成比FGSM算法更精准的恶意样本数据，攻击成功率比FGSM算法的高，攻击成本也相应增加。C&W算法可以有效攻破多种恶意样本防御手段，是目前公认最强的攻击手段之一。

表2不同强度的攻击方法对比表

在具体应用中，基于人工智能系统具有不同防御时长的安全需求特性，在检测到人工智能系统的安全性能等级为高时，通过恶意样本数据集对人工智能系统进行第一预设时长的安全性测试，得到对应的第二测试结果；在检测到人工智能系统的安全性能等级为低时，通过恶意样本数据集对人工智能系统进行第二预设时长的安全性测试，得到对应的第二测试结果。其中，第一预设时长大于第二攻击时长。第二测试结果是指基于比例调整后的目标恶意样本数据和非目标恶意样本数据，对人工智能系统进行预设时长的安全攻击后，人工智能系统输出结果的准确率。

在具体应用中，根据第一测试结果和第二测试结果计算确定人工智能系统的安全性检测分数。其中，安全性检测分数的计算方式和取值范围可根据实际情况进行具体设定；

例如，安全性检测分数＝第一测试结果*A+第二测试结果*B；其中，A、B分别为第一测试结果、第二测试结果的权重，可根据实际情况进行具体设定，对应安全性检测分数的取值范围为[0，100]。或安全性测试分数＝第一测试结果+第二测试结果，对应安全性检测分数的取值范围为[0，1]。

在本实施例中，设定人工智能系统的安全性检测分数越高，人工智能系统的安全性能越强。

本实施例通过获取大量的原始图像数据，并基于原始图像数据生成大量对应的恶意样本数据，基于大量的恶意样本数据对人工智能系统进行安全性能测试，以模拟在真实环境下的人工智能系统的安全攻击，实现针对人工智能系统进行全面和真实的安全性能测试，提高人工智能系统安全性检测结果的精度，降低人工智能系统的安全隐患。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

对应于上文实施例所述的人工智能系统的安全性检测方法，图7示出了本申请实施例提供的人工智能系统的安全性检测装置的结构框图，为了便于说明，仅示出了与本申请实施例相关的部分。

参照图7，该人工智能系统的安全性检测装置100包括：

获取模块101，用于获取多个原始图像数据；

生成模块102，用于根据所述原始图像数据生成恶意样本数据；其中，所述恶意样本数据为使得人工智能系统的输出结果与预期输出结果不同的图像数据；

测试模块103，用于根据所述恶意样本数据对所述人工智能系统进行安全性测试，得到所述人工智能系统的安全性检测结果。

在一个实施例中，所述人工智能系统的安全性检测装置，还包括：

数据处理模块201，用于通过预设数据增强方法对每个所述原始图像数据进行图像转换，得到原始图像数据集；其中，所述预设数据增强方法包括对称处理、旋转处理和缩放处理中的至少一种。

在一个实施例中，所述装置，还包括：

识别模块202，用于识别所述原始图像数据集中每个原始图像数据的内容，确定每个原始图像数据的标签。

在一个实施例中，所述生成模块102，包括：

在一个实施例中，所述生成单元，包括：

在一个实施例中，所述测试模块103，包括：

图8示例性的提供了另一种基于人工智能系统的安全性检测装置100的结构示意图；

如图8所示，设定基于人工智能系统的安全性检测装置100还包括基础硬件层104和机器学习框架模块105；其中，基础硬件层包括但不限于CPU、GPU、FPGA等人工智能系统的训练/部署平台，用于为上层结构提供硬件基础支持。机器学习框架：包括但不限于PyTorch、TensorFlow、MXNet等开源机器框架，用于支持在不同框架下训练得到的人工智能系统神经网络模型。

需要说明的是，上述装置/单元之间的信息交互、执行过程等内容，由于与本申请方法实施例基于同一构思，其具体功能及带来的技术效果，具体可参见方法实施例部分，此处不再赘述。

图9为本申请一实施例提供的终端设备的结构示意图。如图9所示，该实施例的终端设备9包括：至少一个处理器90(图9中仅示出一个)、存储器91以及存储在所述存储器91中并可在所述至少一个处理器90上运行的计算机程序92，所述处理器90执行所述计算机程序92时实现上述任意各个人工智能系统的安全性检测方法实施例中的步骤。

所述终端设备9可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。该终端设备可包括，但不仅限于，处理器90、存储器91。本领域技术人员可以理解，图9仅仅是终端设备9的举例，并不构成对终端设备9的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如还可以包括输入输出设备、网络接入设备等。

所称处理器90可以是中央处理单元(Central Processing Unit，CPU)，该处理器90还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器91在一些实施例中可以是所述终端设备9的内部存储单元，例如终端设备9的硬盘或内存。所述存储器91在另一些实施例中也可以是所述终端设备9的外部存储设备，例如所述终端设备9上配备的插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字卡(Secure Digital，SD)，闪存卡(Flash Card)等。所述存储器91还可以既包括所述终端设备9的内部存储单元也包括外部存储设备。所述存储器91用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等，例如所述计算机程序的程序代码等。所述存储器91还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。

本申请实施例提供了一种计算机程序产品，当计算机程序产品在移动终端上运行时，使得移动终端执行时实现可实现上述各个方法实施例中的步骤。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括：能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区，根据立法和专利实践，计算机可读介质不可以是电载波信号和电信信号。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的实施例中，应该理解到，所揭露的装置/网络设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/网络设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims

1.一种人工智能系统的安全性检测方法，其特征在于，包括：

获取多个原始图像数据；

2.如权利要求1所述的人工智能系统的安全性检测方法，其特征在于，所述获取原始图像数据之后，还包括：

3.如权利要求2所述的人工智能系统的安全性检测方法，其特征在于，所述通过预设数据增强方法对每个所述原始图像数据进行图像转换，得到原始图像数据集之后，包括：

4.如权利要求2所述的人工智能系统的安全性检测方法，其特征在于，所述根据所述原始图像数据生成恶意样本数据，包括：

5.如权利要求4所述的人工智能系统的安全性检测方法，其特征在于，所述基于所述每个原始图像数据的纹理信息，添加梯度干扰信息，生成对应的恶意样本数据集，包括：

6.如权利要求1所述的人工智能系统的安全性检测方法，其特征在于，所述恶意样本数据的类型包括目标恶意样本数据和非目标恶意样本数据；

7.一种人工智能系统的安全性检测装置，其特征在于，包括：

获取模块，用于获取多个原始图像数据；

8.如权利要求7所述的人工智能系统的安全性检测装置，其特征在于，所述装置，还包括：

9.一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的方法。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的方法。