(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112926678A(43)申请公布日2021.06.08(21)申请号202110322494.5(22)申请日2021.03.25(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人邱伟峰(74)专利代理机构北京亿腾知识产权代理事务所(普通合伙)11309代理人陈霁周良玉(51)Int.Cl.G06K9/62(2006.01)权利要求书3页说明书8页附图3页(54)发明名称模型相似度确定方法及装置(57)摘要本说明书实施例提供一种模型相似度确定方法及装置，在模型相似度确定方法中，先利用对抗样本生成算法，针对输入图像，生成用于攻击本地图像识别模型的对抗图像，以获取一个扰动方向和扰动量。之后，沿着这个扰动方向寻找一组目标方向，其中，在每个目标方向上，对输入图像施加上述扰动量后可以对本地图像识别模型攻击成功。接着，针对一组目标方向中任意的第一方向，分别确定输入图像在该第一方向上可对第一和第二图像识别模型攻击成功时，针对输入图像所需施加的第一和第二扰动量。最后，根据针对一组目标方向中各方向分别确定的第一和第二扰动量，确定第一和第二图像识别模型的相似度。CN112926678ACN112926678A权利要求书1/3页1.一种模型相似度确定方法，包括：利用对抗样本生成算法，针对输入图像，生成用于攻击本地图像识别模型的对抗图像，所述对抗图像相对于所述输入图像，在特定方向施加有目标扰动量的扰动；基于所述特定方向，寻找一组目标方向；其中，在所述一组目标方向的每个方向上，对所述输入图像施加所述目标扰动量的扰动后，得到的扰动图像可对所述本地图像识别模型攻击成功；针对所述一组目标方向中任意的第一方向，分别确定所述输入图像在所述第一方向上可对非本地的第一和第二图像识别模型攻击成功时，针对所述输入图像所需施加的第一和第二扰动量；其中，所述第一和第二图像识别模型与所述本地图像识别模型具有相同或相似功能；根据针对所述一组目标方向中各方向分别确定的第一扰动量和第二扰动量，确定所述第一和第二图像识别模型的相似度。2.根据权利要求1所述的方法，所述第一图像识别模型用于通过对应的服务接口对外提供服务，所述第二图像识别模型用于备份使用或内部使用，所述相似度用于在所述第一图像识别模型受到攻击时，评估所述第二图像识别模型的鲁棒性。3.根据权利要求1所述的方法，所述对抗样本生成算法包括以下之一：快速梯度符号下降法FGSM、映射式梯度下降法PGD以及动量迭代快速梯度符号下降法MI_FGSM。4.根据权利要求1所述的方法，所述基于所述特定方向，寻找一组目标方向，包括：基于所述特定方向，构造相互正交的若干候选方向；其中，各候选方向与所述特定方向的夹角相同；对各候选方向中的每个候选方向，判断在该候选方向上，对所述输入图像施加所述目标扰动量后，对应的扰动图像是否对所述本地图像识别模型攻击成功；若是，则将该候选方向作为一个目标方向；否则，舍弃该候选方向。5.根据权利要求1所述的方法，其中，确定所述输入图像在所述第一方向上可对第一图像识别模型攻击成功时，针对所述输入图像所需施加的第一扰动量，包括：采用穷举搜索算法，确定所述输入图像在所述第一方向上可对第一图像识别模型攻击成功时，针对所述输入图像所需施加的第一扰动量。6.根据权利要求5所述的方法，所述采用穷举搜索算法，确定所述输入图像在所述第一方向上可对第一图像识别模型攻击成功时，针对所述输入图像所需施加的第一扰动量，包括：将所述输入图像作为初始的当前图像，基于当前图像执行多次迭代，其中任意的一次迭代包括：在所述第一方向上，对当前图像施加预定步长的扰动量；基于扰动后的当前图像访问所述第一图像识别模型，以获取所述第一图像识别模型对扰动后的当前图像的识别结果；若所述识别结果与所述输入图像的标定标签相一致，则将扰动后的当前图像作为更新的当前图像用于下一次迭代，否则结束；在所述迭代结束后，将在所述第一方向上，当前图像相对于所述输入图像的扰动增加量确定为所述第一扰动量。2CN112926678A权利要求书2/3页7.根据权利要求1所述的方法，所述确定所述第一和第二图像识别模型的相似度，包括：对针对所述一组目标方向中每个方向分别确定的第一扰动量和第二扰动量进行求差，得到多个差值；对所述多个差值进行求平均或者求加权平均，根据得到的平均值，确定所述第一和第二图像识别模型的相似度。8.根据权利要求1所述的方法，所述输入图像为人脸图像，所述本地图像识别模型以及所述第一和第二图像识别模型用于针对人脸进行识别。9.一种模型相似度确定装置，包括：生成单元，用于利用对抗样本生成算法，针对输入图像，生成用于攻击本地