(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111241291A(43)申请公布日2020.06.05(21)申请号202010329630.9(22)申请日2020.04.24(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人任彦昆(74)专利代理机构北京亿腾知识产权代理事务所(普通合伙)11309代理人陈婧玥周良玉(51)Int.Cl.G06F16/35(2019.01)G06K9/62(2006.01)权利要求书3页说明书9页附图3页(54)发明名称利用对抗生成网络生成对抗样本的方法及装置(57)摘要本说明书实施例提供一种利用对抗生成网络生成对抗样本的方法，其中对抗生成网络包括：预先训练好的、用于针对业务对象执行N分类任务的分类器，用于生成对应于各类别真实样本的模拟样本的生成器，以及对应于N个类别的N个判别器，其中第i个判别器用于判别输入其中的样本是否属于第i个类别下的真实样本。在该方法中，可以实现对生成器和判别器的训练，进而利用其中训练好的生成器生成具有指定真实类别，但会被上述分类器预测为其他类别的对抗样本，同时，可以实现高效、快捷地生成大批量的优质对抗样本。CN111241291ACN111241291A权利要求书1/3页1.一种利用对抗生成网络生成对抗样本的方法，所述对抗生成网络包括预先训练的分类器，用于针对业务对象执行N个类别的分类任务；所述对抗生成网络还包括生成器和对应于所述N个类别的N个判别器，其中N为大于1的正整数；所述方法包括：获取第一噪声向量，以及获取对应于第i个类别的第i个类别向量，其中i为不大于N的正整数；将所述第一噪声向量和第i个类别向量共同输入所述生成器中，得到对应第i个类别真实样本的第一模拟样本；将所述第一模拟样本输入所述第i个判别器中，得到该第一模拟样本属于第i类别下真实样本的第一概率；将获取的属于第i个类别的第一真实样本输入所述第i个判别器中，得到该第一真实样本为第i个类别下真实样本的第二概率；以减小第一概率，增大第二概率为目标，训练所述第i个判别器；将所述第一模拟样本输入所述分类器中，得到该第一模拟样本属于第i个类别的第三概率；以增大第一概率，减小第三概率为目标，训练所述生成器，训练后的生成器用于生成目标对抗样本，其模拟目标类别真实样本但被所述分类器预测为其他类别。2.根据权利要求1所述的方法，其中，获取第一噪声向量，包括：对符合高斯分布的噪声空间进行随机采样，得到所述第一噪声向量。3.根据权利要求1所述的方法，其中，获取对应于所述第i个类别的第i个类别向量，包括：获取N个类别标签，并对所述N个类别标签进行独热编码，对应得到N个独热编码向量；将所述N个独热编码向量作为N个类别向量，其中包括所述第i个类别向量。4.根据权利要求1所述的方法，其中，将所述第一噪声向量和第i个类别向量共同输入所述生成器中，包括：对所述第一噪声向量和所述第i个类别向量进行拼接，得到拼接向量，并将所述拼接向量输入所述生成器中；或，对所述第一噪声向量和所述第i个类别向量进行加和，得到加和向量，并将所述加和向量输入所述生成器中。5.根据权利要求1所述的方法，其中，所述业务对象为文本，所述生成器为循环神经网络RNN；其中，将所述第一噪声向量和第i个类别向量共同输入所述生成器中，得到对应第i个类别真实样本的第一模拟样本，包括：对所述第一噪声向量和第i个类别向量进行融合处理，得到融合向量，作为RNN网络中隐层的初始状态向量；将针对文本字符的通配符作为所述RNN网络的初始输入，得到所述第一模拟样本。6.根据权利要求1所述的方法，其中，所述业务对象为文本或图片或音频，所述训练后的生成器用于生成文本对抗样本或图片对抗样本或音频对抗样本。7.根据权利要求1所述的方法，其中，在训练所述生成器，之后，所述方法还包括：获取第二噪声向量，以及获取对应于目标类别的目标类别向量，所述目标类别属于所述N个类别；2CN111241291A权利要求书2/3页将所述第二噪声向量和所述目标类别向量共同输入所述训练后的生成器中，得到所述目标对抗样本。8.一种利用对抗生成网络生成对抗样本的装置，所述对抗生成网络包括预先训练的分类器，用于针对业务对象执行N个类别的分类任务；所述对抗生成网络还包括生成器和对应于所述N个类别的N个判别器，其中N为大于1的正整数；所述装置包括：噪声向量获取单元，配置为获取第一噪声向量；类别向量获取单元，配置为获取对应于第i个类别的第i个类别向量，其中i为不大于N的正整数；模拟样本生成单元，配置为将所述第一噪声向量和第i个类别向量共同输入所述生成器中，得到对应第i个类别真实样本的第一模拟样本；模拟样本判别单元，配置为将所述第一