WO2020168874A1

WO2020168874A1 - 分类器鲁棒性的测试方法、装置、终端及存储介质

Info

Publication number: WO2020168874A1
Application number: PCT/CN2020/072339
Authority: WO
Inventors: 闫巧; 王明德; 罗旭鹏; 黄文耀
Original assignee: 深圳大学
Priority date: 2019-02-20
Filing date: 2020-01-16
Publication date: 2020-08-27
Also published as: CN110008987A; CN110008987B; WO2020168718A1

Abstract

本申请适用分类器测试技术领域，提供了一种分类器鲁棒性的测试方法、装置、终端及存储介质，该方法包括：将预设的测试样本输入到目标测试分类器进行分类，获取测试样本中的恶意样本，将随机噪声输入预设的感知器网络，通过感知器网络获取恶意样本的参考特征值，以生成参考样本，然后根据参考样本的参考特征值对恶意样本的特征值进行修改，以生成恶意样本的逃避变体，再将逃避变体输入到目标测试分类器进行分类，获取目标测试分类器被逃避变体攻击后的分类结果，最后根据攻击后的分类结果输出目标测试分类器的鲁棒性。

Description

分类器鲁棒性的测试方法、装置、终端及存储介质

本申请要求于2019年2月20日提交中国专利局、申请号为201910126943.1、申请名称为“分类器鲁棒性的测试方法、装置、终端及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请属于分类器测试技术领域，尤其涉及一种分类器鲁棒性的测试方法、装置、终端及存储介质。

背景技术

随着社会的进步与发展，人们所需要收集、处理的数据越来越多，如何选择一个快速有效的工具或者方式来处理这些数据成了人们关注的焦点，机器学习算法能自适应地学习数据的特性并对数据进行分析，在许多安全类应用中取得了较好的分类性能，比如说在垃圾邮件过滤、入侵检测和恶意软件检测系统等应用中，因此，人们一般通过机器学习得到的分类器来对这些繁杂的数据进行快速有效地处理。

但是，在上述分类器的应用中，可能存在一些攻击者通过修改一些恶意数据样本来误导分类器做出错误的决策，或者试探分类器的漏洞，从而便于恶意者通过分类器的漏洞来达到他们的非法目的。因此，在人们使用分类器处理数据之前，需要分类器进行测试，测试该分类器在有恶意数据攻击的情况下，对数据进行分类的正确率是否能达到人们预期的水平，即测试该分类器的鲁棒性。

一般地，人们在测试分类器的鲁棒性时，采用模拟攻击法或者遗传算法，但是前者的攻击性能不强，难以达到预期的测试效果，后者的攻击效果相对较好，耗时却比较长，例如，利用遗传算法测试分类器的鲁棒性时，需要2-5天才可使500个恶意PDF文件生成可行的变体(躲避分类器的检测，用以对分类器进行攻击)，因此，现有的测试分类器鲁棒性的测试效果、测试效率都有待提高。

发明内容

本申请的目的在于提供一种分类器鲁棒性的测试方法、装置、终端以及存储介质，旨在解决由于现有技术无法提供一种有效的分类器测试方法，导致现有分类器在测试分类器的鲁棒性时，测试效果不理想、测试效率不高的问题。

一方面，本申请提供了一种分类器鲁棒性的测试方法，所述方法包括下述步骤：

将预设的测试样本输入到目标测试分类器进行分类，获取所述测试样本中的恶意样本和正常样本；

将随机噪声输入预设的感知器网络，通过所述感知器网络获取所述恶意样本的参考特征值，以生成参考样本；

根据所述参考样本的参考特征值对所述恶意样本的特征值进行修改，以生成所述恶意样本的逃避变体；

将所述逃避变体输入到所述目标测试分类器进行分类，获取所述目标测试分类器被所述逃避变体攻击后的分类结果；

根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性。

另一方面，本申请提供了一种分类器鲁棒性的测试装置，所述装置包括：

样本获取单元，用于将预设的测试样本输入到目标测试分类器进行分类，获取所述测试样本中的恶意样本和正常样本；

特征值获取单元，用于将随机噪声输入预设的感知器网络，通过所述感知器网络获取所述恶意样本的参考特征值，以生成参考样本；

特征值修改单元，用于根据所述参考样本的参考特征值对所述恶意样本的特征值进行修改，以生成所述恶意样本的逃避变体；

攻击分类单元，用于将所述逃避变体输入到所述目标测试分类器进行分类，获取所述目标测试分类器被所述逃避变体攻击后的分类结果；以及

性能输出单元，用于根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性。

另一方面，本申请还提供了一种测试终端，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述分类器鲁棒性的测试方法的步骤。

另一方面，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述分类器鲁棒性的测试方法的步骤。

附图说明

图1是本申请实施例一提供的一种分类器鲁棒性的测试方法的实现流程图；

图2是本申请实施例二提供的一种分类器鲁棒性的测试方法的实现流程图；

图3是本申请实施例三提供的一种分类器鲁棒性的测试装置的结构示意图；

图4是本申请实施例四提供的一种分类器鲁棒性的测试装置的结构示意图；以及

图5是本申请实施例五提高的一种测试终端的结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

以下结合具体实施例对本申请的具体实现进行详细描述：

实施例一：

图1示出了本申请实施例一提供的分类器鲁棒性的测试方法的实现流程，为了便于说明，仅示出了与本申请实施例相关的部分，详述如下：

在步骤S101中，将预设的测试样本输入到目标测试分类器进行分类，获取测试样本中的恶意样本和正常样本。

本申请实施例适用于测试终端，该测试终端可测试分类器的性能，例如，鲁棒性等。在本申请实施例中，测试样本为预先设置的经过判别器分类好的无恶意特征的样本和有恶意特征的样本组成，该判别器可以正确将无恶意特征的样本和有恶意特征的样本进行分类，恶意样本为测试样本中能被目标测试分类器正确检测出有恶意攻击特征的样本，将被测试的分类器称为目标测试分类器，先将预先设置的测试样本输入到目标测试分类器进行分类，获取测试样本中该目标测试分类器可以正确分类出来的恶意样本和正常样本，其中，以确保恶意样本被检测出恶意攻击特征的准确度。

在步骤S102中，将随机噪声输入预设的感知器网络，通过感知器网络获取恶意样本的参考特征值，以生成参考样本。

在本申请实施例中，预设的感知器网络为预先设置的多层感知器网络，可使该多层感知器网络生成的样本的分布与预设的测试样本的分布相同，将随机噪声输入到该多层感知器网络后，通过该多层感知器网络得到样本特征值，根据样本特征值生成样本，从而提高了后续逃避变体的攻击性，为了便于后续描述，将该样本称为参考样本，其特征值称为参考特征值，用于后续给恶意样本作特征值修改的参照。

在步骤S103中，根据参考样本的参考特征值对恶意样本的特征值进行修改，以生成恶意样本的逃避变体。

在本申请实施例中，在得到与测试样本分布相同的参考样本之后，根据参考样本的参考特征值对测试样本分离出的恶意样本的特征值进行修改，从而生成了恶意样本，即逃避变体，该逃避变体保留了可使逃避变体攻击分类器的部分特征，其余无关攻击性的部分特征被修改。

在步骤S104中，将逃避变体输入到目标测试分类器进行分类，获取目标测试分类器被逃避变体攻击后的分类结果。

在本申请实施例中，将逃避变体输入到目标测试分类器进行分类测试，获取目标测试分类器被该逃避变体攻击后的分类结果，从而得到被目标测试分类器正确分类后的恶意样本在修改了部分特征之后，是否还能正确被该目标测试分类器进行分类。

在步骤S105中，根据攻击后的分类结果输出目标测试分类器的鲁棒性。

在本申请实施例中，根据目标测试分类器被攻击后的分类结果，可以得到目标测试分类器的鲁棒性是否达标。

在本申请实施例中，先将预设的测试样本输入到目标测试分类器进行分类，获取测试样本中的恶意样本，将随机噪声输入预设的感知器网络，通过感知器网络获取恶意样本的参考特征值，以生成参考样本，然后根据参考样本的参考特征值对恶意样本的特征值进行修改，以生成恶意样本的逃避变体，再将逃避变体输入到目标测试分类器进行分类，获取目标测试分类器被逃避变体攻击后的分类结果，最后根据攻击后的分类结果输出目标测试分类器的鲁棒性，从而通过生成逃避变体对分类器鲁棒性进行测试，进而提高分类器鲁棒性的测试效果和测试效率。

实施例二：

图2示出了本申请实施例一提供的分类器鲁棒性的测试方法的实现流程，为了便于说明，仅示出了与本申请实施例相关的部分，详述如下：

在步骤S201中，将预设的测试样本输入到目标测试分类器进行分类，获取测试样本中的恶意样本。

在步骤S202中，将随机噪声输入预设的感知器网络，通过感知器网络获取恶意样本的参考特征值，以生成参考样本。

在步骤S203中，根据参考样本的参考特征值对恶意样本的特征值进行修改，以生成恶意样本的逃避变体。

在步骤S204中，将逃避变体输入到目标测试分类器进行分类，获取目标测试分类器被逃避变体攻击后的分类结果。

在步骤S205中，根据攻击后的分类结果获取目标测试分类器错误分类逃避变体的逃避比例。

在本申请实施例中，在目标测试分类器对逃避变体进行分类之后，可通过比较分别得到能被目标测试分类器错误、正确分类逃避变体的比例，为了便于后续描述，将错误分类逃避变体的比例称为逃避比例。

在步骤S206中，当逃避比例达到预设比例阈值时，调整目标测试分类器的第二参数。

在本申请实施例中，为了便于后续描述，将该目标测试分类器的参数称为第二参数，当逃避比例达到预设比例阈值时，可能是由于该目标测试分类器的参数未优化至最佳，需要对目标测试分类器的参数进行调整，以降低逃避比例，当该目标测试分类器的参数优化至最佳后，逃避比例仍然达到了预设比例阈值，表明该目标测试分类器的鲁棒性不合格，则跳转至步骤S209，输出目标测试分类器的鲁棒性的测试结果，该预设比例阈值可设置为25％。

优选地，在调整该目标测试分类器的第二参数时，将

作为目标测试分类器调整指标，该调整指标越大，表明该目标测试分类器的分类性能被优化了，从而在提高目标测试分类器的分类性能的同时，提高测试该目标测试分类器的准确度，其中，x _n表示正常样本，n表示正常样本序号，x _M表示恶意样本，M表示恶意样本序号，z表示随机噪声，G(z)表示随机噪声生成的参考样本，D(x _n)表示目标测试分类器对样本x _n的分类结果，

表示x _n、x _M、G(z)分布下的随机样本，

表示目标测试分类器对样本

的分类结果，C(G(z)，x _M)表示参考样本G(z)和恶意样本x _M生成的逃避样本，D(C(G(z)，x _M))表示目标测试分类器对逃避样本C(G(z)，x _D)的分类结果，

表示

在

的梯度，P _mal(x)表示恶意样本的分布，P _normal(x)表示正常样本的分布，P _z(z)表示随机噪声样本的分布，

表示D(x _n)在正常样本分布下的期望值，

表示D(C(G(z)，x _M))在随机噪声分布和恶意样本分布下的期望值，

表示

在随机样本分布下的期望，λ是常数参数。

在步骤S207中，当逃避比例小于预设比例阈值时，调整感知器网络的第一参数。

在本申请实施例中，当逃避比例小于预设比例阈值时，调整感知器网络的参数，扩大该感知器网络生成的参考特征的覆盖范围，从而进一步提高测试该目标测试分类器的准确度，为了便于后续描述将该调整感知器网络的参数称为第一参数。

优选地，在调整该调整感知器网络的参数称为第一参数时，将

作为该调整感知器网络的调整指标，该调整指标越小，表明逃避变体攻击目标测试分类器的攻击强度越大，从而进一步提高测试该目标测试分类器的准确度。

进一步地，在调整第一参数或者第二参数时，采用Adam优化算法对第一参数或者第二参数进行随机梯度下降调节，从而减少了第一参数或者第二参数的优化时间，进而提高了目标测试分类器的测试效率。

在步骤S208中，获取逃避变体的分布与测试样本中正常样本分布的Wassertein距离，以根据Wassertein距离判断是否继续对目标分类器进行测试。

在本申请实施例中，Wassertein距离为地球移动距离，Earth-Mover距离(EM距离)，用于衡量两个分布之间的距离，当逃避变体的分布与测试样本中正常样本分布的Wassertein距离越小时，表明逃避变体与正常样本越难以区分，逃避样本对目标测试分类器的攻击强度越高，当该Wassertein距离收敛时，即可跳转至步骤S209输出目标测试分类器的鲁棒性，否则，可继续调整感知器网络的第一参数，以继续加强逃避变体的攻击强度。

在步骤S209中，根据攻击后的分类结果输出目标测试分类器的鲁棒性。

在本申请实施例中，根据目标测试分类器被攻击后的分类结果，若逃避比例达到了预设逃避阈值，可以得到目标测试分类器的鲁棒性是否达标。

在本申请实施例中，先获取测试样本中的恶意样本，通过感知器网络获取恶意样本的参考特征值，生成参考样本，然后根据参考样本的参考特征值对恶意样本的特征值进行修改，生成逃避变体，再将逃避变体输入到目标测试分类器进行分类，获取被逃避变体攻击后的分类结果，根据攻击后的分类结果获取目标测试分类器错误分类逃避变体的逃避比例，根据该逃避比例调整目标测试分类器和感知器网络的参数，最后根据攻击后的分类结果输出目标测试分类器的鲁棒性，从而通过生成逃避变体对分类器鲁棒性进行测试，进而提高分类器鲁棒性的测试效果和测试效率。

实施例三：

图3示出了本申请实施例三提供的分类器鲁棒性的测试装置的结构，为了便于说明，仅示出了与本申请实施例相关的部分，其中包括：

样本获取单元31，用于将预设的测试样本输入到目标测试分类器进行分类，获取测试样本中的恶意样本和正常样本；

特征值获取单元32，用于将随机噪声输入预设的感知器网络，通过感知器网络获取恶意样本的参考特征值，以生成参考样本；

特征值修改单元33，用于根据参考样本的参考特征值对恶意样本的特征值进行修改，以生成恶意样本的逃避变体；

攻击分类单元34，用于将逃避变体输入到目标测试分类器进行分类，获取目标测试分类器被逃避变体攻击后的分类结果；以及

性能输出单元35，用于根据攻击后的分类结果输出目标测试分类器的鲁棒性。

在本申请实施例中，分类器鲁棒性的测试装置的各单元可由相应的硬件或软件单元实现，各单元可以为独立的软、硬件单元，也可以集成为一个软、硬件单元，在此不用以限制本申请。各单元的具体实施方式可参考实施例一的描述，在此不再赘述。

实施例四：

图4示出了本申请实施例四提供的分类器鲁棒性的测试装置的结构，为了便于说明，仅示出了与本申请实施例相关的部分，其中包括：

样本获取单元41，用于将预设的测试样本输入到目标测试分类器进行分类，获取测试样本中的恶意样本和正常样本；

特征值获取单元42，用于将随机噪声输入预设的感知器网络，通过感知器网络获取恶意样本的参考特征值，以生成参考样本；

特征值修改单元43，用于根据参考样本的参考特征值对恶意样本的特征值进行修改，以生成恶意样本的逃避变体；

攻击分类单元44，用于将逃避变体输入到目标测试分类器进行分类，获取目标测试分类器被逃避变体攻击后的分类结果；

比例获取单元45，用于根据攻击后的分类结果获取目标测试分类器错误分类逃避变体的逃避比例；

第二调整单元46，用于当逃避比例达到预设比例阈值时，调整目标测试分类器的第二参数；

第一调整单元47，用于当逃避比例小于预设比例阈值时，调整感知器网络的第一参数；

距离获取单元48，用于获取逃避变体的分布与测试样本中正常样本分布的Wassertein距离，以根据Wassertein距离判断是否继续对目标分类器进行测试；以及

性能输出单元49，用于根据攻击后的分类结果输出目标测试分类器的鲁棒性。

在本申请实施例中，分类器鲁棒性的测试装置的各单元可由相应的硬件或软件单元实现，各单元可以为独立的软、硬件单元，也可以集成为一个软、硬件单元，在此不用以限制本申请。各单元的具体实施方式可参考实施例二的描述，在此不再赘述。

实施例五：

图5示出了本申请实施例五提供的测试终端的结构，为了便于说明，仅示出了与本申请实施例相关的部分，其中包括：

本申请实施例的计算终端5包括处理器51、存储器52以及存储在存储器52中并可在处理器51上运行的计算机程序53。该处理器51执行计算机程序53时实现上述各个分类器鲁棒性的测试方法实施例中的步骤，例如，图1所示的步骤S101至S105以及图2所示的步骤S201至S209。或者，处理器51执行计算机程序53时实现上述各个分类器鲁棒性的测试装置实施例中各单元的功能，例如，图3所示单元31至35以及图4所示单元41至49的功能。

在本申请实施例中，该处理器执行计算机程序时，先获取测试样本中的恶意样本，通过感知器网络获取恶意样本的参考特征值，生成参考样本，然后根据参考样本的参考特征值对恶意样本的特征值进行修改，生成逃避变体，再将逃避变体输入到目标测试分类器进行分类，获取被逃避变体攻击后的分类结果，根据攻击后的分类结果获取目标测试分类器错误分类逃避变体的逃避比例，根据该逃避比例调整目标测试分类器和感知器网络的参数，最后根据攻击后的分类结果输出目标测试分类器的鲁棒性，从而通过生成逃避变体对分类器鲁棒性进行测试，进而提高分类器鲁棒性的测试效果和测试效率。

该处理器执行计算机程序时实现上述分类器鲁棒性的测试方法实施例中的步骤可参考实施例一和实施例二的描述，在此不再赘述。

实施例六：

在本申请实施例中，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时实现上述各个分类器鲁棒性的测试方法实施例中的步骤，例如，图1所示的步骤S101至S105以及图2所示的步骤S201至S209。或者，该计算机程序被处理器执行时实现上述各个分类器鲁棒性的测试装置实施例中各单元的功能，例如，图3所示单元31至35以及图4所示单元41至49的功能。

在本申请实施例中，在计算机程序被处理器执行后，先获取测试样本中的恶意样本，通过感知器网络获取恶意样本的参考特征值，生成参考样本，然后根据参考样本的参考特征值对恶意样本的特征值进行修改，生成逃避变体，再将逃避变体输入到目标测试分类器进行分类，获取被逃避变体攻击后的分类结果，根据攻击后的分类结果获取目标测试分类器错误分类逃避变体的逃避比例，根据该逃避比例调整目标测试分类器和感知器网络的参数，最后根据攻击后的分类结果输出目标测试分类器的鲁棒性，从而通过生成逃避变体对分类器鲁棒性进行测试，进而提高分类器鲁棒性的测试效果和测试效率。

该计算机程序被处理器执行时实现上述分类器鲁棒性的测试方法实施例中的步骤可参考实施例一和实施例二的描述，在此不再赘述。

本申请实施例的计算机可读存储介质可以包括能够携带计算机程序代码的任何实体或装置、存储介质，例如，ROM/RAM、磁盘、光盘、闪存等存储器。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本申请的保护范围之内。

Claims

一种分类器鲁棒性的测试方法，所述方法包括下述步骤：

将预设的测试样本输入到目标测试分类器进行分类，获取所述测试样本中的恶意样本和正常样本；

将随机噪声输入预设的感知器网络，通过所述感知器网络获取所述恶意样本的参考特征值，以生成参考样本；

根据所述参考样本的参考特征值对所述恶意样本的特征值进行修改，以生成所述恶意样本的逃避变体；

将所述逃避变体输入到所述目标测试分类器进行分类，获取所述目标测试分类器被所述逃避变体攻击后的分类结果；

根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性。
如权利要求1所述的分类器鲁棒性的测试方法，其中，所述获取所述目标测试分类器被所述逃避变体攻击后的分类结果的步骤之后，根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性的步骤之前，还包括：

根据攻击后的所述分类结果获取所述目标测试分类器错误分类所述逃避变体的逃避比例；

当所述逃避比例小于预设比例阈值时，调整所述感知器网络的第一参数直到所述逃避比例达到所述预设比例阈值。
如权利要2所述的分类器鲁棒性的测试方法，其中，所述根据攻击后的所述分类结果获取所述目标测试分类器错误分类所述逃避变体的逃避比例的步骤之后，所述调整所述感知器网络的第一参数直到所述逃避比例达到所述预设比例阈值的步骤之前，还包括：

当所述逃避比例达到预设比例阈值时，调整所述目标测试分类器的第二参数直到所述逃避比例小于所述预设比例阈值。
如权利要求2所述的分类器鲁棒性的测试方法，其中，所述获取所述目标测试分类器被所述逃避变体攻击后的分类结果的步骤之后，所述根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性的步骤之前，还包括：

获取所述逃避变体的分布与所述测试样本中正常样本分布的Wassertein距离，以根据所述Wassertein距离判断是否继续对所述目标分类器进行测试。
如权利要求3所述的分类器鲁棒性的测试方法，其中，所述获取所述目标测试分类器被所述逃避变体攻击后的分类结果的步骤之后，所述根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性的步骤之前，还包括：

获取所述逃避变体的分布与所述测试样本中正常样本分布的Wassertein距离，以根据所述Wassertein距离判断是否继续对所述目标分类器进行测试。
如权利要求1所述的分类器鲁棒性的测试方法，其中，所述测试样本为预先设置的经过判别器分类好的无恶意特征的样本和有恶意特征的样本组成。
一种分类器鲁棒性的测试装置，其中，包括：

样本获取单元，用于将预设的测试样本输入到目标测试分类器进行分类，获取所述测试样本中的恶意样本和正常样本；

特征值获取单元，用于将随机噪声输入预设的感知器网络，通过所述感知器网络获取所述恶意样本的参考特征值，以生成参考样本；

特征值修改单元，用于根据所述参考样本的参考特征值对所述恶意样本的特征值进行修改，以生成所述恶意样本的逃避变体；

攻击分类单元，用于将所述逃避变体输入到所述目标测试分类器进行分类，获取所述目标测试分类器被所述逃避变体攻击后的分类结果；以及

性能输出单元，用于根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性。
如权利要求5所述的分类器鲁棒性的测试装置，其中，还包括：

比例获取单元，用于根据攻击后的所述分类结果获取所述目标测试分类器错误分类所述逃避变体的逃避比例；以及

第一调整单元，用于当所述逃避比例小于预设比例阈值时，调整所述感知器网络的第一参数直到所述逃避比例达到所述预设比例阈值。
如权利要求6所述的分类器鲁棒性的测试装置，其中，还包括：

第二调整单元，用于当所述逃避比例达到预设比例阈值时，调整所述目标测试分类器的第二参数直到所述逃避比例小于所述预设比例阈值。
如权利要求7所述的分类器鲁棒性的测试装置，其中，还包括：

距离获取单元，用于获取所述逃避变体的分布与所述测试样本中正常样本分布的Wassertein距离，以根据所述Wassertein距离判断是否继续对所述目标分类器进行测试。
一种测试终端，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现以下步骤：

将预设的测试样本输入到目标测试分类器进行分类，获取所述测试样本中的恶意样本和正常样本；

将随机噪声输入预设的感知器网络，通过所述感知器网络获取所述恶意样本的参考特征值，以生成参考样本；

根据所述参考样本的参考特征值对所述恶意样本的特征值进行修改，以生成所述恶意样本的逃避变体；

将所述逃避变体输入到所述目标测试分类器进行分类，获取所述目标测试分类器被所述逃避变体攻击后的分类结果；

根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性。
如权利要求11所述的测试终端，其中，所述获取所述目标测试分类器被所述逃避变体攻击后的分类结果的步骤之后，根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性的步骤之前，还包括：

根据攻击后的所述分类结果获取所述目标测试分类器错误分类所述逃避变体的逃避比例；

当所述逃避比例小于预设比例阈值时，调整所述感知器网络的第一参数直到所述逃避比例达到所述预设比例阈值。
如权利要求12所述的测试终端，其中，所述根据攻击后的所述分类结果获取所述目标测试分类器错误分类所述逃避变体的逃避比例的步骤之后，所述调整所述感知器网络的第一参数直到所述逃避比例达到所述预设比例阈值的步骤之前，还包括：

当所述逃避比例达到预设比例阈值时，调整所述目标测试分类器的第二参数直到所述逃避比例小于所述预设比例阈值。
如权利要求12所述的测试终端，其中，所述获取所述目标测试分类器被所述逃避变体攻击后的分类结果的步骤之后，所述根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性的步骤之前，还包括：

获取所述逃避变体的分布与所述测试样本中正常样本分布的Wassertein距离，以根据所述Wassertein距离判断是否继续对所述目标分类器进行测试。
如权利要求13所述的测试终端，其中，所述获取所述目标测试分类器被所述逃避变体攻击后的分类结果的步骤之后，所述根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性的步骤之前，还包括：

获取所述逃避变体的分布与所述测试样本中正常样本分布的Wassertein距离，以根据所述Wassertein距离判断是否继续对所述目标分类器进行测试。
如权利要求11所述的测试终端，其中，所述测试样本为预先设置的经过判别器分类好的无恶意特征的样本和有恶意特征的样本组成。
一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其中，所述计算机程序被处理器执行时实现以下操作：

将预设的测试样本输入到目标测试分类器进行分类，获取所述测试样本中的恶意样本和正常样本；

将随机噪声输入预设的感知器网络，通过所述感知器网络获取所述恶意样本的参考特征值，以生成参考样本；

根据所述参考样本的参考特征值对所述恶意样本的特征值进行修改，以生成所述恶意样本的逃避变体；

将所述逃避变体输入到所述目标测试分类器进行分类，获取所述目标测试分类器被所述逃避变体攻击后的分类结果；

根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性。
如权利要求17所述的计算机可读存储介质，其中，所述获取所述目标测试分类器被所述逃避变体攻击后的分类结果的步骤之后，根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性的步骤之前，还包括：

根据攻击后的所述分类结果获取所述目标测试分类器错误分类所述逃避变体的逃避比例；

当所述逃避比例小于预设比例阈值时，调整所述感知器网络的第一参数直到所述逃避比例达到所述预设比例阈值。
如权利要求18所述的计算机可读存储介质，其中，所述根据攻击后的所述分类结果获取所述目标测试分类器错误分类所述逃避变体的逃避比例的步骤之后，所述调整所述感知器网络的第一参数直到所述逃避比例达到所述预设比例阈值的步骤之前，还包括：

当所述逃避比例达到预设比例阈值时，调整所述目标测试分类器的第二参数直到所述逃避比例小于所述预设比例阈值。
如权利要求18所述的计算机可读存储介质，其中，所述获取所述目标测试分类器被所述逃避变体攻击后的分类结果的步骤之后，所述根据攻击后的所述分类结果输出所述目标测试分类器的鲁棒性的步骤之前，还包括：

获取所述逃避变体的分布与所述测试样本中正常样本分布的Wassertein距离，以根据所述Wassertein距离判断是否继续对所述目标分类器进行测试。