WO2023065637A1

WO2023065637A1 - 一种数据处理方法、装置、电子设备以及存储介质

Info

Publication number: WO2023065637A1
Application number: PCT/CN2022/090176
Authority: WO
Inventors: 刘杰; 王健宗; 瞿晓阳
Original assignee: 平安科技（深圳）有限公司
Priority date: 2021-10-22
Filing date: 2022-04-29
Publication date: 2023-04-27
Also published as: CN113901502A

Abstract

一种数据处理方法、装置、电子设备以及存储介质，涉及人工智能技术领域。该方法可以包括：获取原始图像以及对应的分类信息(S101)，利用第一密钥根据原始图像的非信息替换区域的信息生成图像签名信息(S102)；根据第二密钥对分类信息进行加密处理，得到加密分类信息(S103)；获取扰动像素信息，并根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本(S104)，将对抗样本输入具有授权的分类模型或不具有授权的分类模型，得到对应的分类结果(S105)。所述方法有助于保护具有授权的分类模型的隐私，还可以应用于区块链领域，将得到的对抗样本存储至区块链。

Description

一种数据处理方法、装置、电子设备以及存储介质

优先权申明

本申请要求于2021年10月22日提交中国专利局、申请号为202111237983.7，发明名称为“一种数据处理方法、装置、电子设备以及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及人工智能技术领域，尤其涉及一种数据处理方法、装置、电子设备以及存储介质。

背景技术

在深度学习技术的发展过程中需要解决很多安全性问题，其中，针对深度学习模型的模型参数的隐私保护是安全性问题研究的热门方向之一。通常，攻击者可以通过获取输入的分类模型的数据以及对应的分类结果，推测出该分类模型的模型参数，若分类模型的模型参数被攻击者获取，则攻击者可以基于窃取的模型参数调用白盒攻击模型生成用于攻击分类模型的数据。因此，发明人意识到如何防止分类模型的模型参数的泄露是一个亟待解决的问题。

发明内容

本申请实施例提供了一种数据处理方法、装置、电子设备以及存储介质，有助于保护具有授权的分类模型的隐私。

一方面，本申请实施例公开了一种数据处理方法，所述方法包括：

获取原始图像以及所述原始图像对应的分类信息，所述原始图像包括信息替换区域和非信息替换区域，所述分类信息用于指示所述原始图像的所属的正确的分类；

利用第一密钥根据所述原始图像的所述非信息替换区域的信息生成图像签名信息；

根据第二密钥对所述分类信息进行加密处理，得到加密分类信息；

获取扰动像素信息，并根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本；

将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，所述目标分类模型为具有授权的分类模型或不具有授权的分类模型，基于所述具有授权的分类模型和所述不具有授权的分类模型得到的分类结果不同。

另一方面，本申请实施例公开了一种数据处理装置，所述装置包括：

获取单元，用于获取原始图像以及所述原始图像对应的分类信息，所述原始图像包括信息替换区域和非信息替换区域，所述分类信息用于指示所述原始图像的所属的正确的分类；

处理单元，用于利用第一密钥根据所述原始图像的所述非信息替换区域的信息生成图像签名信息；

所述处理单元，还用于根据第二密钥对所述分类信息进行加密处理，得到加密分类信息；

所述获取单元，还用于获取扰动像素信息；

所述处理单元，还用于根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本；

所述处理单元，还用于将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，所述目标分类模型为具有授权的分类模型或不具有授权的分类模型，基于所述具有授权的分类模型和所述不具有授权的分类模型得到的分类结果不同。

又一方面，本申请实施例提供了一种电子设备，电子设备包括处理器、存储器，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于执行如下步骤：

又一方面，本申请实施例提供了一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序指令，计算机程序指令被处理器执行时，用于执行如下步骤：

又一方面，本申请实施例公开了一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机指令，所述计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取所述计算机指令，处理器执行所述计算机指令，使得所述计算机设备执行上述数据处理方法。

本申请实施例中，能够获取原始图像以及原始图像对应的分类信息，利用第一密钥根据原始图像的非信息替换区域的信息生成图像签名信息，根据第二密钥对分类信息进行加密处理，得到加密分类信息，获取扰动像素信息，并根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本，将对抗样本输入具有授权的分类模型或不具有授权的分类模型，得到对应的分类结果。通过在原始图像中嵌入图像签名信息以及加密分类信息以及扰动信息得到对抗样本，可以使得对抗样本在能够被具有授权的分类模型正确识别的同时，被不具有授权的分类模型识别错误，由此可以避免攻击者获取具有授权的分类模型的模型参数，有助于保护具有授权的分类模型的隐私。

附图说明

为了更清楚地说明本申请实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种数据处理方法的流程示意图；

图2是本申请实施例提供的一种对抗样本的效果示意图；

图3是本申请实施例提供的一种数据处理方法的流程示意图；

图4是本申请实施例提供的一种数据处理方法的流程示意图；

图5是本申请实施例提供的一种数据处理方法的流程示意图；

图6是本申请实施例提供的一种数据处理装置的结构示意图；

图7是本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请提供一种数据处理方案，能够获取原始图像以及原始图像对应的分类信息，利用第一密钥根据原始图像的非信息替换区域的信息生成图像签名信息，根据第二密钥对分类信息进行加密处理，得到加密分类信息，获取扰动像素信息，并根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本，将对抗样本输入具有授权的分类模型或不具有授权的分类模型，得到对应的分类结果。通过在原始图像中嵌入图像签名信息以及加密分类信息以及扰动信息得到对抗样本，可以使得对抗样本在能够被具有授权的分类模型正确识别的同时，被不具有授权的分类模型识别错误，由此可以避免攻击者获取具有授权的分类模型的模型参数，有助于保护具有授权的分类模型的隐私。

本申请的技术方案可运用在电子设备中，该电子设备可以是终端，也可以是服务器，本申请不做限定。本申请可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

在一种可能的实施方式中，本申请实施例可以应用于人工智能领域，例如可以基于人工智能技术对对抗样本进行时深度学习处理得到对抗样本的分类结果。其中，人工智能(Artificial Intelligence，AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。

基于上述的描述，本申请实施例提出一种数据处理方法。请参见图1，图1是本申请实施例提供的一种数据处理方法的流程示意图。该方法可以由上述所提及的电子设备执行。该方法可以包括以下步骤。

S101、获取原始图像以及原始图像对应的分类信息。

其中，原始图像包括信息替换区域和非信息替换区域，该信息替换区域可以为原始图像中用于进行信息替换的区域，该非信息替换区域可以为原始图像中不用于进行信息替换的区域。

可选的，该信息替换区域可以为原始图像中任意N行像素所对应的区域。可以理解的是，信息替换区域越小，后续需要进行替换的数据越少，则获取对抗样本的效率越高，例如，该信息替换区域可以为原始图像中的任意两行像素所对应的区域。

在一种可能的实施方式中，该信息替换区域可以为原始图像中的首行像素以及尾行像素所对应的区域，非信息替换区域即为除去首行像素以及尾行像素的区域。由此可以使得信息替换对原始图像的影响较小，人眼很难感觉到信息的替换，并且可以快速确定出信息替换区域的位置，提升信息替换的效率。

该分类信息用于指示原始图像的所属的正确的分类。可选的，该分类信息可以表示为分类的文本信息，或者可以为分类的分类编码信息等等，此处不做限制。可选的，若原始图像所属的正确的分类有多个，则该分类信息可以包括原始图像所属的多个正确的分类。例如，对原始图像的分类用于指示原始图像所包括的动物有哪些，则可以该分类信息可以用于指示原始图像中所包括的动物，若原始包含多个动物，则该分类信息中可以用于指示原始图像中的所包括的多个动物。

S102、利用第一密钥根据原始图像的非信息替换区域的信息生成图像签名信息。

其中，该第一密钥可以为用于生成图像签名信息时所使用的私钥。该图像签名信息可以为对原始图像的非信息替换区域的信息通过第一密钥进行签名后得到的签名信息。可选的，该原始图像的非信息替换区域的信息可以为原始图像非信息替换区域中的各个像素的像素值。

在一种可能的实施方式中，利用第一密钥根据原始图像的非信息替换区域的信息生成图像签名信息，可以包括以下步骤：对原始图像中的非信息替换区域的信息进行哈希运算，得到针对原始图像的哈希函数值；通过第一密钥对哈希函数值进行加密处理，得到针对原始图像的图像签名信息。其中，哈希运算，也称hash运算、散列运算，就是把任意长度的输入，通过哈希算法，变成固定长度的输出，该输出就是哈希(散列)值，这个映射函数叫做哈希(散列)函数。此处通过对原始图像中的信息替换区域的信息进行哈希运算，得到固定长度的哈希函数值。该哈希函数值可以为对原始图像中的信息替换区域的信息进行哈希运算后得到的值，该哈希函数值也可以称为哈希值、hash值、散列值等等，此处不做限制。例如，可以通过MD5算法对原始图像中的信息替换区域的信息进行哈希运算，MD5(Message-Digest Algorithm 5，信息-摘要算法5)可以用于确保信息传输完整一致，(又译摘要算法、哈希算法、Hash算法)。如果对一段信息进行哈希运算，哪怕只更改该信息中的一个数字，哈希运算都将产生不同的值，要找到散列为同一个值的两个不同的输入，在计算上是不可能的，所以数据的哈希函数值可以检验数据的完整性，以防止数据被篡改。

在一种可能的实施方式中，通过第一密钥进行对哈希函数值进行加密处理可以通过椭圆曲线加密算法(Elliptic curve cryptography，简称ECC)进行加密。其中，ECC是一种公钥加密体制。通常通过ECC加密算法进行加密处理可以包括以下步骤：获取第一密钥，并对通过ECC算法调用第一密钥对原始图像中的非替换区域的信息的哈希函数值进行处理，得到图像签名信息。可选的，在获取第一密钥时，还可以生成针对第一密钥的公钥，以便于后续接收端在接收到图像签名信息和第一密钥的公钥后通过第一密钥的公钥对图像签名信息进行验证。

可以理解的是，通过第一密钥生成图像签名信息可以使数据接收方验证接收到的数据是由签名者发出的，而不是其他端，从而整个过程就保证了从签名者到接收方的唯一确认。也就是说，A的签名信息只有A在签名时使用的私钥(如第一密钥)对应的公钥才能解签，当B在接收到A发送的数据以及签名信息时，B利用签名时的私钥所对应的公钥就能确认这个信息是A发来的。

S103、根据第二密钥对分类信息进行加密处理，得到加密分类信息。

其中，该第二密钥可以为用于生成加密分类信息时所使用的公钥。该加密分类信息可以为对分类信息通过第二密钥进行加密后得到的签名信息，该加密分类信息也可称为分类信息的密文信息。可以理解的是，仅有第二密钥的私钥的持有者才能通过第二密钥的私钥对加密分类信息进行解密，以获取原始图像的分类信息。也就是说，A的加密信息只有A在加密时使用的公钥(即第二密钥)对应的私钥才能解密，当B在接收到A发送的加密信息时，B利用第二密钥所对应的私钥就能对该加密信息(如加密分类信息)进行解密，得到加密信息所对应的明文信息，由此可以避免信息泄露。

在一种可能的实施方式中，对根据第二密钥对分类信息进行加密处理，可以为通过ECC 加密算法基于第二密钥对分类信息进行加密处理。

可以理解的是，通过第二密钥生成加密分类信息，可以持有加密时所用的公钥所对应的私钥的接收方则可以通过该加密时所用的公钥对加密分类信息进行解密，并且没有加密时所用的公钥所对应的私钥的对象即使获取了该加密分类信息，也无法确定出具体的内容，由此保护了分类信息的隐私性。

S104、获取扰动像素信息，并根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本。

其中，扰动像素信息可以使得添加了扰动像素信息的原始图像被测试分类模型分类错误。该测试分类模型可以为用于测试扰动像素信息能否使分类模型对添加了扰动像素信息的原始图像分类错误的模型，若添加了扰动像素信息的原始图像可以使得测试分类模型分类错误，则该添加了扰动像素信息的原始图像也可以使得其他分类模型分类错误。可选的，该测试分类模型可以是多分类模型，也可以是多标签单分类模型，也可以是二分类模型，此处不做限制。

在一种可能的实施方式中，该信息替换区域中可以包括扰动替换区域，该扰动替换区域可以为信息替换区域中用于替换为扰动像素信息的的区域。也就是说，该扰动替换区域为信息替换区域中的部分区域。可选的，若信息替换区域为首行像素以及尾行像素所对应的区域，则该扰动替换区域可以为首行像素所对应的区域中的部分区域，以及尾行像素所对应的区域中的部分区域。例如，该扰动替换区域可以为首行像素以及尾行像素中的最后K个像素所对应的区域。

在一种可能的实施方式中，在获取扰动像素信息之前，需要生成扰动像素信息。生成扰动像素信息可以包括以下步骤：获取扰动生成图像，扰动生成图像中包括扰动替换区域，扰动生成图像关联有对应的实际分类信息；将扰动生成图像中的扰动替换区域的信息进行修改，并将修改后的扰动生成图像输入测试分类模型进行处理，得到的预测分类结果；若预测分类结果所指示的分类与实际分类信息所指示的分类不同，则将修改后的扰动替换区域的信息确定为扰动像素信息。

其中，该扰动生成图像可以为用于生成扰动像素信息的图像，扰动生成图像可以为上述原始图像，也可以不为上述原始图像的其他图像，此处不做限制。可以理解的是，该扰动生成图像中可以包括扰动替换区域，该扰动生成图像中的扰动替换区域即为上述原始图像中的扰动替换区域。该实际分类信息可以为扰动生成图像实际所属的分类，例如，测试分类模型用于对输入的图像中的动物进行分类，则该实际分类信息可以指示扰动生成图像中的内容所属的一种或多种动物。该预测分类结果可以为将修改后的扰动像素图像输入测试分类模型进行深度学习处理后得到的分类结果，该预测分类结果可以指示通过测试分类模型对修改后的扰动生成图像预测的分类。

将扰动生成图像中的扰动替换区域的信息进行修改，可以为将扰动替换区域的像素值进行修改。例如，可以将扰动生成图像中的扰动替换区域的第一像素的像素值修改为另一像素值，该第一像素可以为扰动替换区域中的任一像素。若修改后的扰动生成图像在输入测试分类模型后，则可以通过测试分类模型对修改后的扰动生成图像进行深度学习处理，由此可以得到针对修改后的扰动生成图像的预测分类结果。

若预测分类结果所指示的分类与实际分类信息所指示的分类不同，则说明该修改后的扰动替换区域的信息可以使测试分类模型分类错误，则将修改后的扰动替换区域的信息确定为扰动像素信息。若预测分类结果所指示的分类与实际分类信息所指示的分类相同，则说明该修改后的扰动替换区域的信息不能使测试分类模型分类错误，则不能将修改后的扰动替换区域的信息确定为扰动像素信息，进而可以再次对扰动替换区域的第一像素的像素值进行修改，并将修改后的扰动生成图像输入测试分类模型以得到新的预测分类结果，若新的预测分类结果所指示的分类与实际分类信息所指示的分类不同，则将修改后的扰动替换区域的信息确定为扰动像素信息，否则再次对扰动替换区域的信息进行修改，以此类推。若对第一像素的像素值修改为任一像素值均无法使得预测分类结果所指示的分类与实际分类信息所指示的分类不同，则可以确定第二像素，该第二像素可以为像素扰动区域中除第一像素外的任一像素，进而对第一像素与第二像素均进行修改，由此进行迭代处理，直至修改后的扰动生成图像能够使得测试分类模型分类错误。

可选的，在对扰动替换区域的信息进行修改的过程中，可以按照一定修改规则对扰动替换区域的像素值进行修改。例如，可以先从扰动替换区域确定一个像素，对该像素的像素值增加或减少的值从小到大顺序进行修改，如确定的像素的像素值为57，则可以将该像素值修改为56或58，再修改为55或59，一次类推，此处不做限制。若对一个像素的像素值的修改不能使修改后的扰动生成图像被测试分类模型分类错误，则可以再次确定一个像素，也就是对两个像素的像素值进行修改，以此类推，直至修改后的扰动生成图像能够使得测试分类模型分类错误。可选的，在从扰动替换区域确定像素时可以从扰动替换区域中随机选择一个像素，也可以从左至右(或从右至左)依次进行选择，此处不做限制。

可选的，还可以将将修改后的扰动生成图像输入多个测试分类模型，得到针对每个测试分类模型的预测分类结果，若每个预测分类模型的预测分类结果所指示的分类与实际分类信息所指示的分类均不相同，则将修改后的扰动替换区域的信息确定为扰动像素信息。由此可以确保生成的扰动像素信息可以适用于多种分类模型，以便于生成的对抗样本可以使更多不具有授权的分类模型分类错误。

可选的，若扰动生成图像为上述原始图像，则可以通过对原始图像的像素扰动区域的像素值进行修改，以得到能够使原始图像被测试分类模型分类错误的扰动像素信息。若扰动生成图像不为上述原始图像，则可以获取多个不为原始图像的扰动生成图像，对每个扰动生成图像的扰动替换区域的信息做相同的修改，由此找到使得各个修改后的扰动生成图像被测试分类模型分类错误的修改方式，并将修改后的扰动替换区域的信息作为扰动像素信息，若将扰动像素信息添加至原始图像的扰动替换区域，并通过测试分类模型对添加了扰动像素信息的原始图像进行分类，则该测试分类模型对添加了扰动像素信息的原始图像分类错误。

其中，该对抗样本可以为使得不具有授权的分类模型对对抗样本分类错误的图像，并且该对抗样本还可以使得具有授权的分类模型对对抗样本分类正确。可以理解的是，该对抗样本是对原始图像中的信息替换区域中的信息进行替换后得到的图像，该对抗样本实际所属的分类与原始图像所属的分类相同。若信息替换区域较小位置较为隐蔽，则人眼通常不能分辨对抗样本与原始图像的区别。其中，该具有授权的分类模型可以为存储有第一密钥对应的公钥，以及第二密钥对应的私钥的分类模型，该具有授权的分类模型与测试分类模型的能够识别的分类相同，该不具有授权的分类模型可以为未存储有第一密钥对应的公钥或第二密钥对应的私钥的分类模型。

在一种可能的实施方式中，根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本，可以为将图像签名信息替换至原始图像的信息替换区域中的签名替换区域，将加密分类信息替换至原始图像的信息替换区域中的分类替换区域，并将扰动像素信息替换至原始图像的信息替换区域中的扰动替换区域。其中，该签名替换区域可以为信息替换区域中用于替换图像签名信息的区域，该分类替换区域可以为信息替换区域中用于替换加密分类信息的区域。可以理解的是，该签名替换区域、分类替换区域以及扰动替换区域所对应的区域不重复。该对抗样本包括与原始图像相同的信息替换区域、扰动替换区域、签名替换区域、分类替换区域。

在一种可能的实施方式中，若上述原始图像为单通道图像，如灰度图像，单通道原始图像中的每个像素均只对应一个像素值。则直接根据图像签名信息、加密分类信息和扰动像素信息对单通道的原始图像中信息替换区域的各个像素的像素值进行替换。

在一种可能的实施方式中，若上述原始图像为包括多个通道的图像，该多个通道中包括目标通道，该目标通道为该多个通道中的任一通道。那么，根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本，可以为根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的目标通道的信息进行替换，得到对抗样本。其中，该包括多个通道的图像也称多通道图像，如RGB图像，多通道原始图像中的每个像素的每个通道均对应一个像素值。则根据图像签名信息、加密分类信息和扰动像素信息，对多通道的原始图像中信息替换区域的各个像素的像素值进行替换时，可以替换多个通道中同一个通道(即目标通道)的像素值，例如均替换各个像素的R通道的的像素值。由此可以使得信息替换的效率更快，且后续能更快捷地确定对抗样本中的图像签名信息以及加密分类信息。

可选的，将图像签名信息以及加密分类信息替换至原始图像的信息替换区域时，可以通过一定转换规则将图像签名信息以及加密分类信息所对应的文字信息分别转换为对应的二进制数字，再将二进制数字中的数字转换为像素值，并将得到的像素值替换至原始图像的信息替换区域中。例如，原始图像需要进行替换的通道的每个像素值的取值范围为0-255，即每个像素值可以用8位二进制进行表示，则可以将图像签名信息以及加密分类信息分别对应的二进制数字中，相邻的8位二进制数字(或者其他位数的二进制数字，如4位、2位等等)作为一个像素值，如图像签名信息可以转换为二进制数字“1001 1001 0101 0010”，该二进制数字以一共有16位，可以将前8位二进制作为一个像素值，即“1001 1001”转换为10进制即为153，将后8位二进制作为一个像素值，即“0101 0010”转换为10进制即为84，由此可以得到图像签名信息在替换至信息替换区域时，替换后的像素的像素值为153和84。

在一种可能的实施方式中，根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本，还可以包括以下步骤：根据图像签名信息与扰动像素信息生成签名扰动向量；根据加密分类信息与扰动像素信息生成分类扰动向量；利用签名扰动向量与分类扰动向量替换信息替换区域的信息，将替换后的原始图像作为对抗样本。其中，该签名扰动向量可以为根据图像签名信息以及扰动像素信息生成的向量，该签名扰动向量中每个数值均可以为对信息替换区域进行替换时的像素值。该分类扰动向量可以为根据图像签名信息以及扰动像素信息生成的向量，该签名扰动向量中每个数值均可以为对信息替换区域进行替换时的像素值。

可以理解的是，通过签名扰动向量与分类扰动向量替换信息替换区域的信息时，该信息替换区域应为原始图像中的任意两行像素所对应的区域，一行像素替换为签名扰动向量，一行像素替换为分类扰动向量。其中，该两行像素中，用于替换为签名扰动向量中的图像签名信息所对应的像素值的区域，也就是上述签名替换区域；用于替换为分类扰动向量中的加密分类信息所对应的像素值的区域，也就是上述分类替换区域；用于替换为分类扰动向量以及分类扰动向量中的扰动像素信息的区域，也就是上述扰动替换区域。由此可以使得签名替换区域、分类替换区域中的位置较为连续，在获取图像签名信息以及加密分类信息时，能够更快地确定出图像签名信息以及加密分类信息对应的像素值。

在一种可能的实施方式中，在通过签名扰动向量与分类扰动向量对原始图像中的信息替换区域的信息进行替换时在生成签名扰动向量时，可以将图像签名信息转换为至少一个像素值，并将图像签名信息所对应的至少一个像素值与扰动像素信息所对应的像素值拼接得到签名扰动向量。例如，图像签名信息转换为至少一个像素值后，可以为(153，84，79，56)，扰动像素信息可以为(52，56，85，14)，则获取的签名扰动向量可以直接由图像签名信息与扰动像素信息拼接得到，如可以为(153，84，79，56，52，56，85，14)。同理，在生成分类扰动向量时，可以将加密分类信息转换为至少一个像素值，并将加密分类信息所对应的至少一个像素值与扰动像素信息所对应的像素值拼接得到分类扰动向量，进而可以将签名扰动向量以及分类扰动向量中的每个数值对信息替换区域中的像素值一一替换。

在一种可能的实施方式中，原始图像为包括多个通道的图像，多个通道中包括目标通道，该目标通道可以为原始图像所包括的多个通道中的任一通道，则利用签名扰动向量与分类扰动向量替换信息替换区域的信息，可以为，利用签名扰动向量与分类扰动向量替换信息替换区域所对应的目标通道的信息。也就是说，原始图像为多通道图像时，可以对信息替换区域中同一通道的信息进行替换，得到的对抗样本也为多通道的图像，且该对抗样本中的多个通道中的目标通道的信息替换区域的像素值被替换，由此可以使得信息替换的效率更快，且后续能更快捷地确定对抗样本中的图像签名信息以及加密分类信息。

在一种可能的实施方式中，若信息替换区域包括原始图像的首行像素所对应的区域以及尾行像素所对应的区域，则利用签名扰动向量与分类扰动向量替换信息替换区域的信息，可以包括以下步骤：将首行像素所对应的区域的信息替换为签名扰动向量；将尾行像素所对应的区域的信息替换为分类扰动向量。其中，该首行像素可以为多个像素，每个像素的像素值可以替换为签名扰动向量中的数值，该尾行像素可以为多个像素，每个像素的像素值可以替换为分类扰动向量中的数值。首行像素(或尾行像素)的像素数量与签名扰动向量(或分类扰动向量)中数值的数量相同。

例如，请参见图2，图2是本申请实施例提供的一种对抗样本的效果示意图。如图2中的(1)所示为10*10像素的单通道的原始图像，该原始图像中每个像素均具有对应的一个像素值。该原始图像的首行像素以及尾行像素所对应的区域为信息替换区域。该信息替换区域中的首行像素用于替换为签名扰动向量，尾行像素用于替换为分类扰动向量。若签名扰动向量为(153，84，79，56，52，56，85，14，58，63)，其中，前5个数值为图像签名信息所对应的像素值，后5个数值为扰动像素信息中的像素值；若分类扰动向量为(123，45，24，56，32，56，85，14，58，63)，其中，前5个数值为加密分类信息所对应的像素值，后5个数值为扰动像素信息中的像素值。通过签名扰动向量以及分类扰动向量对首行像素以及尾行像素分别替换之后，可以得到如图2中的(2)所示的对抗样本，该对抗样本的大小也为10*10像素，该对抗样本的首行像素的像素值被替换为签名扰动向量中的数值，尾行像素的像素值被替换为分类扰动向量中的数值，则该对抗样本中，如图2中的201所示为签名替换区域，如图2中的202所示为分类替换区域。

在一种可能的实施方式中，若信息替换区域包括原始图像的首行像素所对应的区域以及尾行像素所对应的区域，则利用签名扰动向量与分类扰动向量替换信息替换区域的信息，还可以包括以下步骤：将首行像素所对应的区域的信息替换为分类扰动向量；将尾行像素所对应的区域的信息替换为签名扰动向量。

S105、将对抗样本输入目标分类模型，得到对抗样本的分类结果。

其中，目标分类模型可以为具有授权的分类模型或不具有授权的分类模型，基于具有授权的分类模型和不具有授权的分类模型得到的分类结果不同。可以理解的是，基于具有授权的分类模型得到的分类结果所指示的分类为对抗样本所属的正确的分类，基于不具有授权的分类模型得到的分类结果所指示的分类为对抗样本所属的错误的分类。可以理解的是，对抗样本输入具有授权的分类模型与不具有授权的分类模型可以得到不同的分类结果可以称为对抗样本具有可特定识别性，仅有具有授权的分类模型才能识别到对抗样本正确的结果；并且具有授权的分类模型可以分辨出对抗样本是否被攻击者恶意篡改，不对篡改后的图像进行识别，以使得具有授权的分类模型得到的分类结果为未被篡改的对抗样本所属的分类；并且，即使有攻击者获取到该对抗样本，也无法通过不具有授权的分类模型对对抗样本进行正确的分类识别，由此可以避免攻击者窃取深度学习模型参数。

该具有授权的分类模型可以为存储有第一密钥对应的公钥，以及第二密钥对应的私钥的分类模型，该不具有授权的分类模型可以为未存储有第一密钥对应的公钥或第二密钥对应的私钥的分类模型。

在一种可能的实施方式中，若目标分类模型为具有授权的分类模型，则将对抗样本输入目标分类模型，得到对抗样本的分类结果，可以包括以下步骤：将对抗样本输入具有授权的分类模型；从对抗样本中的信息替换区域获取图像签名信息以及加密分类信息；通过第一密钥对应的公钥对图像签名信息进行解密，以验证对抗样本的输入者的身份；若验证通过，则通过第二密钥对应的私钥对加密分类信息进行解密，得到对抗样本对应的分类信息；将分类信息所指示的分类作为分类结果；分类结果所指示的分类为对抗样本的正确的分类。具体描述可以参照图4所示实施例的相关描述，此处不做赘述。

在一种可能的实施方式中，若目标分类模型为不具有授权的分类模型，则将对抗样本输入目标分类模型，得到对抗样本的分类结果，可以包括以下步骤：将对抗样本输入不具有授权的分类模型，通过目标分类模型对对抗样本进行深度学习处理，得到对抗样本的分类结果；分类结果所指示的分类为对抗样本的错误的分类。具体描述可以参照图5所示实施例的相关描述，此处不做赘述。

例如，请参见图3，图3是本申请实施例提供的一种数据处理方法的流程示意图。如图3所示的流程中，首先获取原始图像(如图3中的301所示)以及原始图像对应的分类信息(如图3中的302所示)，然后对非信息替换区域的信息进行哈希运算，得到哈希函数值(如图3中的303所示)，并对哈希函数值进行加密处理(如图3中的304所示)，由此得到305所示的图像签名信息；并且，对分类信息进行加密处理(如图3中的306所示)，由此得到307所示的加密分类信息；进而根据图像签名信息以及扰动像素信息得到签名扰动向量(如图3中的308所示)，并根据加密分类信息以及扰动像素信息得到分类扰动向量(如图3中的309所示)。然后通过签名扰动向量以及分类扰动向量对原始图像的信息替换区域中的信息进行替换，也就是根据签名扰动向量以及分类扰动向量以及原始图像的非信息替换区域的信息(如图3中的310所示)生成311所示的对抗样本；将对抗样本输入如图312所示的具有授权的分类模型中，则可以得到对抗样本的正确的分类(如图3中的313所示)，将对抗样本输入如图314所示的不具有授权的分类模型中，则可以得到对抗样本的错误的分类(如图3中的315所示)。

请参见图4，图4是本申请实施例提供的一种数据处理方法的流程示意图，该方法可由上述电子设备执行。该方法可以包括以下步骤。

S401、获取原始图像以及原始图像对应的分类信息。

S402、利用第一密钥根据原始图像的非信息替换区域的信息生成图像签名信息。

S403、根据第二密钥对分类信息进行加密处理，得到加密分类信息。

S404、获取扰动像素信息，并根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本。

其中，步骤S401-S404可以参照步骤S101-S104，此处不做限制。

S405、将对抗样本输入具有授权的分类模型。

其中，该具有授权的分类模型为存储有第一密钥对应的公钥以及第二密钥对应的私钥的分类模型。

S406、从对抗样本中的信息替换区域获取图像签名信息以及加密分类信息。

其中，从对抗样本中的信息替换区域获取图像签名信息以及加密分类信息可以从签名替换区域中获取图像签名信息，以及从分类替换区域中获取加密分类信息。

在一种可能的实施方式中，从信息替换区域中的签名替换区域获取对应的像素值，并从分类替换区域获取对应的像素值，基于步骤S404中所描述的根据图像签名信息以及加密分类信息生成对应的像素值的方法，将获取到的像素值转换为对应的图像签名信息以及加密分类信息。例如，可以从签名替换区域中获取的多个像素值，并将该多个像素值转换为对应的二进制数字，进而得到该二进制数字对应的签名图像信息。同理，可以根据从分类替换区域中获取的多个像素值，得到对应的签名图像信息，此处不做赘述。

在一种可能的实施方式中，根据步骤S404中的对信息替换区域中的信息替换时根据图像签名信息与扰动像素信息生成签名扰动向量，根据加密分类信息与扰动像素信息生成分类扰动向量，将首行像素所对应的区域的信息替换为签名扰动向量；将尾行像素所对应的区域的信息替换为分类扰动向量，将替换后的原始图像作为对抗样本，则在获取对抗样本中的图像签名信息以及加密分类信息时，可以从首行像素中的签名替换区域中获取多个像素值，并将该多个像素值转换为对应的二进制数字，进而得到该二进制数字对应的签名图像信息。从尾行像素的分类替换区域中获取多个像素值，并将该多个像素值转换为对应的二进制数字，进而得到该二进制数字对应的加密分类信息。

在一种可能的实施方式中，若该对抗样本为多通道图像，则可以从该多通道图像中的目标通道中确定出信息替换区域的像素值，该目标通道与步骤S104中对信息替换区域的信息进行替换的目标通道相同。

S407、通过第一密钥对应的公钥对图像签名信息进行解签处理，以对对抗样本进行验证。

其中，对对抗样本进行验证可以验证该对抗样本的签名者的身份，并且可以验证输入的对抗样本是否被篡改。这是由于签名者具有对应的私钥，攻击者很难冒充签名者的签名，则可以确定该对抗样本的签名者的身份，并且，因为签名图像信息代表了图像中的非信息替换区域的信息的特征，非信息替换区域的信息如果发生改变，则验证不能通过。

在一种考可能的实施方式中，通过第一密钥对应的公钥对图像签名信息进行解签可以包括以下步骤：通过第一密钥对应的公钥对图像签名信息进行解密处理，得到该图像签名信息所对应的第一哈希函数值；对对抗样本中的非信息替换区域的信息进行哈希运算，得到对抗样本的第二哈希函数值，对第一哈希函数值以及第二哈希函数值进行匹配，若第一哈希函数值以及第二哈希函数值相同，则确定该对抗样本验证通过。可以理解的是，若非信息替换区域中的信息被篡改，即使只改变了一个数字，通过对对抗样本中的对非信息替换区域中的信息进行哈希运算得到的第二哈希函数值与第一哈希函数值不同，进而导致验证不通过，则表示该对抗样本可能被篡改。

可以理解的是，在生成图像签名信息的过程中所采用的哈希运算的算法，与在对图像签名信息解签处理的过程中所采用的哈希运算的算法相同。

在一种可能的实施方式种，若在生成图像签名信息时，通过ECC算法调用第一密钥对哈希函数值进行加密处理，则在解签处理时，通过与加密时的ECC加密算法对应的ECC解密算法调用第一密钥对图像签名信息进行解密处理。

S408、若验证通过，则通过第二密钥对应的私钥对加密分类信息进行解密处理，得到对抗样本对应的分类信息。

其中，该验证通过可以指示该对抗样本的签名者的身份没有被冒充，并且该对抗样本的非信息替换区域的信息未被篡改。

通过第二密钥对应的私钥对加密分类信息进行解密，得到对抗样本对应的分类信息，可以为通过在对分类信息进行加密处理时采用的加密方法所对应的解密方法对加密分类信息进行解密，由此可以得到针对加密分类信息所对应的明文信息，即分类信息。例如，通过ECC加密算法调用第二密钥对分类信息进行加密处理，则在对加密分类信息进行解密处理时，通过与加密时ECC加密算法所对应的ECC解密算法对加密分类信息进行解密。

在一种可能的实施方式中，若验证不通过，进而不输出针对该对抗样本的分类结果。可选的，可以输出提示信息以提示该对抗样本验证不通过。由此可以避免具有授权的分类模型被恶意攻击，任一没有验证通过的图像均不能获取到对应的分类结果。

在一种可能的实施方式中，若该具有授权的分类模型接收到任一输入的图像数据，则可以先获取图像数据的签名替换区域的信息，以确定图像数据的输入者的身份进行验证。若未验证通过，则通过该具有授权的分类模型对输入的图像数据进行深度学习处理，若该图像数据为验证未通过的对抗样本，则该分类结果所指示的分类为错误的分类。

S409、将分类信息所指示的分类作为分类结果。

其中，该分类结果所指示的分类为对抗样本的正确的分类。这是由于加密分类信息为基于正确的分类生成的，则根据加密分类信息进行解密处理后得到的分类信息所指示的分类则为正确的分类，进而，该具有授权的分类模型可以识别出对抗样本的正确的分类。

本申请实施例中，能够获取原始图像以及原始图像对应的分类信息，利用第一密钥根据原始图像的非信息替换区域的信息生成图像签名信息，根据第二密钥对分类信息进行加密处理，得到加密分类信息，获取扰动像素信息，并根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本，将对抗样本输入具有授权的分类模型，通过对对抗样本的验证以及加密分类信息的解密，得到对抗样本正确的分类。通过在原始图像中嵌入图像签名信息以及加密分类信息以及扰动信息得到对抗样本，可以使得对抗样本在能够被具有授权的分类模型正确识别的同时，被不具有授权的分类模型识别错误，由此可以避免攻击者获取具有授权的分类模型的模型参数，有助于保护具有授权的分类模型的隐私。

请参见图5，图5是本申请实施例提供的一种数据处理方法的流程示意图，该方法可由上述电子设备执行。该方法可以包括以下步骤。

S501、获取原始图像以及原始图像对应的分类信息。

S502、利用第一密钥根据原始图像的非信息替换区域的信息生成图像签名信息。

S503、根据第二密钥对分类信息进行加密处理，得到加密分类信息。

S504、获取扰动像素信息，并根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本。

其中，步骤S501-S504可以参照步骤S101-S104，此处不做限制。

S505、将对抗样本输入不具有授权的分类模型，通过不具有授权的分类模型对对抗样本进行深度学习处理，得到对抗样本的分类结果。

其中，分类结果所指示的分类为对抗样本的错误的分类。

该不具有授权的分类模型为没有存储第一密钥对应的公钥以及第二密钥对应的私钥的分类模型。

在一种可能的实施方式中，通过不具有授权的分类模型对对抗样本进行深度学习处理，可以为通过该不具有授权的分类模型对输入的对抗样本进行特征提取得到图像对应的特征矩阵，通过该特征矩阵确定出图像针对每个分类的概率，进而得到该对抗样本所属的分类，即得到对抗样本的分类结果。

本申请实施例中，能够获取原始图像以及原始图像对应的分类信息，利用第一密钥根据原始图像的非信息替换区域的信息生成图像签名信息，根据第二密钥对分类信息进行加密处理，得到加密分类信息，获取扰动像素信息，并根据图像签名信息、加密分类信息和扰动像素信息对信息替换区域的信息进行替换，得到对抗样本，将对抗样本输入不具有授权的分类模型，得到对抗样本的错误的分类结果。通过在原始图像中嵌入图像签名信息以及加密分类信息以及扰动信息得到对抗样本，可以使得对抗样本在能够被具有授权的分类模型正确识别的同时，被不具有授权的分类模型识别错误，由此可以避免攻击者获取具有授权的分类模型的模型参数，有助于保护具有授权的分类模型的隐私。

请参见图6，图6是本申请实施例提供的一种数据处理装置的结构示意图。可选的，该数据处理装置可以设置于上述电子设备中。如图6所示，本实施例中所描述的数据处理装置可以包括：

获取单元601，用于获取原始图像以及所述原始图像对应的分类信息，所述原始图像包括信息替换区域和非信息替换区域，所述分类信息用于指示所述原始图像的所属的正确的分类；

处理单元602，用于利用第一密钥根据所述原始图像的所述非信息替换区域的信息生成图像签名信息；

所述处理单元602，还用于根据第二密钥对所述分类信息进行加密处理，得到加密分类信息；

所述获取单元601，还用于获取扰动像素信息；

所述处理单元602，还用于根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本；

所述处理单元602，还用于将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，所述目标分类模型为具有授权的分类模型或不具有授权的分类模型，基于所述具有授权的分类模型和所述不具有授权的分类模型得到的分类结果不同。

在一种实现方式中，所述第一密钥为私钥，所述第二密钥为公钥；所述目标分类模型为具有授权的分类模型，所述具有授权的分类模型为存储有所述第一密钥对应的公钥以及所述第二密钥对应的私钥的分类模型；

所述处理单元602具体用于：

将所述对抗样本输入所述具有授权的分类模型；

从所述对抗样本中的所述信息替换区域获取所述图像签名信息以及所述加密分类信息；

通过所述第一密钥对应的公钥对所述图像签名信息进行解签处理，以对所述对抗样本进行验证；

若验证通过，则通过所述第二密钥对应的私钥对所述加密分类信息进行解密处理，得到所述对抗样本对应的分类信息；

将所述分类信息所指示的分类作为所述分类结果；所述分类结果所指示的分类为所述对抗样本的正确的分类。

在一种实现方式中，所述目标分类模型为不具有授权的分类模型；所述处理单元602具体用于：

将所述对抗样本输入所述不具有授权的分类模型，通过所述不具有授权的分类模型对所述对抗样本进行深度学习处理，得到所述对抗样本的分类结果；所述分类结果所指示的分类为所述对抗样本的错误的分类。

在一种实现方式中，所述信息替换区域包括扰动替换区域；所述处理单元602还用于：

获取扰动生成图像，所述扰动生成图像中包括所述扰动替换区域，所述扰动生成图像关联有对应的实际分类信息；

将所述扰动生成图像中的所述扰动替换区域的信息进行修改，并将修改后的扰动生成图像输入测试分类模型进行处理，得到预测分类结果；

若所述预测分类结果所指示的分类与所述实际分类信息所指示的分类不同，则将修改后的扰动替换区域的信息确定为扰动像素信息。

在一种实现方式中，所述处理单元602具体用于：

根据所述图像签名信息与所述扰动像素信息生成签名扰动向量；

根据所述加密分类信息与所述扰动像素信息生成分类扰动向量；

利用所述签名扰动向量与所述分类扰动向量替换所述信息替换区域的信息，将替换后的原始图像作为对抗样本。

在一种实现方式中，所述信息替换区域包括所述原始图像的首行像素所对应的区域以及尾行像素所对应的区域；所述处理单元602具体用于：

将所述首行像素所对应的区域的信息替换为所述签名扰动向量；

将所述尾行像素所对应的区域的信息替换为所述分类扰动向量。

在一种实现方式中，所述原始图像为包括多个通道的图像，所述多个通道中包括目标通道；所述处理单元602具体用于：

根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的所述目标通道的信息进行替换，得到对抗样本。

请参见图7，图7是本申请实施例提供的一种电子设备的结构示意图。本实施例中所描述的电子设备，包括：处理器701、存储器702。可选的，该电子设备还可包括网络接口703或供电模块等结构。上述处理器701、存储器702以及网络接口703之间可以交互数据。

上述处理器701可以是中央处理单元(Central Processing Unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

上述网络接口703可以包括输入设备和/或输出设备，例如该输入设备是可以是控制面板、麦克风、接收器等，输出设备可以是显示屏、发送器等，此处不一一列举。例如，在申请实施例中，该网络接口可包括接收器和发送器。

上述存储器702可以包括只读存储器和随机存取存储器，并向处理器701提供程序指令和数据。存储器702的一部分还可以包括非易失性随机存取存储器。其中，所述处理器701调用所述程序指令时用于执行：

所述处理器701具体用于：

将所述对抗样本输入所述具有授权的分类模型；

在一种实现方式中，所述目标分类模型为不具有授权的分类模型；所述处理器701具体用于：

在一种实现方式中，所述信息替换区域包括扰动替换区域；所述处理器701还用于：

在一种实现方式中，所述处理器701具体用于：

在一种实现方式中，所述信息替换区域包括所述原始图像的首行像素所对应的区域以及尾行像素所对应的区域；所述处理器701具体用于：

在一种实现方式中，所述原始图像为包括多个通道的图像，所述多个通道中包括目标通道；所述处理器701具体用于：

可选的，该程序指令被处理器执行时还可实现上述实施例中方法的其他步骤，这里不再赘述。

本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述方法，比如执行上述电子设备执行的方法，此处不赘述。

可选的，本申请涉及的存储介质如计算机可读存储介质可以是非易失性的，也可以是易失性的。

本申请实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各方法的实施例中所执行的步骤。例如，该计算机设备可以为终端，或者可以为服务器。

以上对本申请实施例所提供的一种数据处理方法、装置、电子设备及存储介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

一种数据处理方法，其中，包括：

获取原始图像以及所述原始图像对应的分类信息，所述原始图像包括信息替换区域和非信息替换区域，所述分类信息用于指示所述原始图像的所属的正确的分类；

利用第一密钥根据所述原始图像的所述非信息替换区域的信息生成图像签名信息；

根据第二密钥对所述分类信息进行加密处理，得到加密分类信息；

获取扰动像素信息，并根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本；

将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，所述目标分类模型为具有授权的分类模型或不具有授权的分类模型，基于所述具有授权的分类模型和所述不具有授权的分类模型得到的分类结果不同。
根据权利要求1所述方法，其中，所述第一密钥为私钥，所述第二密钥为公钥；

所述目标分类模型为具有授权的分类模型，所述具有授权的分类模型为存储有所述第一密钥对应的公钥以及所述第二密钥对应的私钥的分类模型；

所述将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，包括：

将所述对抗样本输入所述具有授权的分类模型；

从所述对抗样本中的所述信息替换区域获取所述图像签名信息以及所述加密分类信息；

通过所述第一密钥对应的公钥对所述图像签名信息进行解签处理，以对所述对抗样本进行验证；

若验证通过，则通过所述第二密钥对应的私钥对所述加密分类信息进行解密处理，得到所述对抗样本对应的分类信息；

将所述分类信息所指示的分类作为所述分类结果；所述分类结果所指示的分类为所述对抗样本的正确的分类。
根据权利要求1所述方法，其中，所述目标分类模型为不具有授权的分类模型；

所述将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，包括：

将所述对抗样本输入所述不具有授权的分类模型，通过所述不具有授权的分类模型对所述对抗样本进行深度学习处理，得到所述对抗样本的分类结果；所述分类结果所指示的分类为所述对抗样本的错误的分类。
根据权利要求1所述方法，其中，所述信息替换区域包括扰动替换区域；

所述获取扰动像素信息之前，所述方法还包括：

获取扰动生成图像，所述扰动生成图像中包括所述扰动替换区域，所述扰动生成图像关联有对应的实际分类信息；

将所述扰动生成图像中的所述扰动替换区域的信息进行修改，并将修改后的扰动生成图像输入测试分类模型进行处理，得到预测分类结果；

若所述预测分类结果所指示的分类与所述实际分类信息所指示的分类不同，则将修改后的扰动替换区域的信息确定为扰动像素信息。
根据权利要求1所述方法，其中，所述根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本，包括：

根据所述图像签名信息与所述扰动像素信息生成签名扰动向量；

根据所述加密分类信息与所述扰动像素信息生成分类扰动向量；

利用所述签名扰动向量与所述分类扰动向量替换所述信息替换区域的信息，将替换后的原始图像作为对抗样本。
根据权利要求5所述方法，其中，所述信息替换区域包括所述原始图像的首行像素所对应的区域以及尾行像素所对应的区域；

所述利用所述签名扰动向量与所述分类扰动向量替换所述信息替换区域的信息，包括：

将所述首行像素所对应的区域的信息替换为所述签名扰动向量；

将所述尾行像素所对应的区域的信息替换为所述分类扰动向量。
根据权利要求6所述方法，其中，所述原始图像为包括多个通道的图像，所述多个通道中包括目标通道；

所述根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本，包括：

根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的所述目标通道的信息进行替换，得到对抗样本。
一种数据处理装置，其中，包括：

获取单元，用于获取原始图像以及所述原始图像对应的分类信息，所述原始图像包括信息替换区域和非信息替换区域，所述分类信息用于指示所述原始图像的所属的正确的分类；

处理单元，用于利用第一密钥根据所述原始图像的所述非信息替换区域的信息生成图像签名信息；

所述处理单元，还用于根据第二密钥对所述分类信息进行加密处理，得到加密分类信息；

所述获取单元，还用于获取扰动像素信息；

所述处理单元，还用于根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本；

所述处理单元，还用于将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，所述目标分类模型为具有授权的分类模型或不具有授权的分类模型，基于所述具有授权的分类模型和所述不具有授权的分类模型得到的分类结果不同。
一种电子设备，其中，包括处理器、存储器，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如以下步骤的指令：

获取原始图像以及所述原始图像对应的分类信息，所述原始图像包括信息替换区域和非信息替换区域，所述分类信息用于指示所述原始图像的所属的正确的分类；

利用第一密钥根据所述原始图像的所述非信息替换区域的信息生成图像签名信息；

根据第二密钥对所述分类信息进行加密处理，得到加密分类信息；

获取扰动像素信息，并根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本；

将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，所述目标分类模型为具有授权的分类模型或不具有授权的分类模型，基于所述具有授权的分类模型和所述不具有授权的分类模型得到的分类结果不同。
根据权利要求9所述电子设备，其中，所述第一密钥为私钥，所述第二密钥为公钥；

所述目标分类模型为具有授权的分类模型，所述具有授权的分类模型为存储有所述第一密钥对应的公钥以及所述第二密钥对应的私钥的分类模型；

所述将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，包括：

将所述对抗样本输入所述具有授权的分类模型；

从所述对抗样本中的所述信息替换区域获取所述图像签名信息以及所述加密分类信息；

通过所述第一密钥对应的公钥对所述图像签名信息进行解签处理，以对所述对抗样本进行验证；

若验证通过，则通过所述第二密钥对应的私钥对所述加密分类信息进行解密处理，得到所述对抗样本对应的分类信息；

将所述分类信息所指示的分类作为所述分类结果；所述分类结果所指示的分类为所述对抗样本的正确的分类。
根据权利要求9所述电子设备，其中，所述目标分类模型为不具有授权的分类模型；

所述将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，包括：

将所述对抗样本输入所述不具有授权的分类模型，通过所述不具有授权的分类模型对所述对抗样本进行深度学习处理，得到所述对抗样本的分类结果；所述分类结果所指示的分类为所述对抗样本的错误的分类。
根据权利要求9所述电子设备，其中，所述信息替换区域包括扰动替换区域；

所述获取扰动像素信息之前，所述方法还包括：

获取扰动生成图像，所述扰动生成图像中包括所述扰动替换区域，所述扰动生成图像关联有对应的实际分类信息；

将所述扰动生成图像中的所述扰动替换区域的信息进行修改，并将修改后的扰动生成图像输入测试分类模型进行处理，得到预测分类结果；

若所述预测分类结果所指示的分类与所述实际分类信息所指示的分类不同，则将修改后的扰动替换区域的信息确定为扰动像素信息。
根据权利要求9所述电子设备，其中，所述根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本，包括：

根据所述图像签名信息与所述扰动像素信息生成签名扰动向量；

根据所述加密分类信息与所述扰动像素信息生成分类扰动向量；

利用所述签名扰动向量与所述分类扰动向量替换所述信息替换区域的信息，将替换后的原始图像作为对抗样本。
根据权利要求13所述电子设备，其中，所述信息替换区域包括所述原始图像的首行像素所对应的区域以及尾行像素所对应的区域；

所述利用所述签名扰动向量与所述分类扰动向量替换所述信息替换区域的信息，包括：

将所述首行像素所对应的区域的信息替换为所述签名扰动向量；

将所述尾行像素所对应的区域的信息替换为所述分类扰动向量。
一种计算机可读存储介质，其中，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行以下步骤的指令：

获取原始图像以及所述原始图像对应的分类信息，所述原始图像包括信息替换区域和非信息替换区域，所述分类信息用于指示所述原始图像的所属的正确的分类；

利用第一密钥根据所述原始图像的所述非信息替换区域的信息生成图像签名信息；

根据第二密钥对所述分类信息进行加密处理，得到加密分类信息；

获取扰动像素信息，并根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本；

将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，所述目标分类模型为具有授权的分类模型或不具有授权的分类模型，基于所述具有授权的分类模型和所述不具有授权的分类模型得到的分类结果不同。
根据权利要求15所述计算机可读存储介质，其中，所述第一密钥为私钥，所述第二密钥为公钥；

所述目标分类模型为具有授权的分类模型，所述具有授权的分类模型为存储有所述第一密钥对应的公钥以及所述第二密钥对应的私钥的分类模型；

所述将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，包括：

将所述对抗样本输入所述具有授权的分类模型；

从所述对抗样本中的所述信息替换区域获取所述图像签名信息以及所述加密分类信息；

通过所述第一密钥对应的公钥对所述图像签名信息进行解签处理，以对所述对抗样本进行验证；

若验证通过，则通过所述第二密钥对应的私钥对所述加密分类信息进行解密处理，得到所述对抗样本对应的分类信息；

将所述分类信息所指示的分类作为所述分类结果；所述分类结果所指示的分类为所述对抗样本的正确的分类。
根据权利要求15所述计算机可读存储介质，其中，所述目标分类模型为不具有授权的分类模型；

所述将所述对抗样本输入目标分类模型，得到所述对抗样本的分类结果，包括：

将所述对抗样本输入所述不具有授权的分类模型，通过所述不具有授权的分类模型对所述对抗样本进行深度学习处理，得到所述对抗样本的分类结果；所述分类结果所指示的分类为所述对抗样本的错误的分类。
根据权利要求15所述计算机可读存储介质，其中，所述信息替换区域包括扰动替换区域；

所述获取扰动像素信息之前，所述步骤还包括：

获取扰动生成图像，所述扰动生成图像中包括所述扰动替换区域，所述扰动生成图像关联有对应的实际分类信息；

将所述扰动生成图像中的所述扰动替换区域的信息进行修改，并将修改后的扰动生成图像输入测试分类模型进行处理，得到预测分类结果；

若所述预测分类结果所指示的分类与所述实际分类信息所指示的分类不同，则将修改后的扰动替换区域的信息确定为扰动像素信息。
根据权利要求15所述计算机可读存储介质，其中，所述根据所述图像签名信息、所述加密分类信息和所述扰动像素信息对所述信息替换区域的信息进行替换，得到对抗样本，包括：

根据所述图像签名信息与所述扰动像素信息生成签名扰动向量；

根据所述加密分类信息与所述扰动像素信息生成分类扰动向量；

利用所述签名扰动向量与所述分类扰动向量替换所述信息替换区域的信息，将替换后的原始图像作为对抗样本。
根据权利要求19所述计算机可读存储介质，其中，所述信息替换区域包括所述原始图像的首行像素所对应的区域以及尾行像素所对应的区域；

所述利用所述签名扰动向量与所述分类扰动向量替换所述信息替换区域的信息，包括：

将所述首行像素所对应的区域的信息替换为所述签名扰动向量；

将所述尾行像素所对应的区域的信息替换为所述分类扰动向量。