(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114170474A(43)申请公布日2022.03.11(21)申请号202111237515.XG06N3/04(2006.01)(22)申请日2021.10.22G06N3/08(2006.01)(71)申请人北京邮电大学地址100876北京市海淀区西土城路10号申请人中国电子科技集团公司第五十四研究所(72)发明人王红蔓贾哲王玉龙刘畅苏森徐鹏双锴张忠宝程祥(74)专利代理机构北京风雅颂专利代理有限公司11403代理人孙晓凤(51)Int.Cl.G06V10/774(2022.01)G06V10/82(2022.01)G06K9/62(2022.01)权利要求书2页说明书9页附图2页(54)发明名称生成神经网络模型的对抗样本木马的方法及相关设备(57)摘要本申请提供一种生成神经网络模型的对抗样本木马的方法及相关设备，包括：生成K个符合预定要求的第一扰动，所述预定要求包括目标函数要求以及L个样本图像的扰动率要求，所述样本图像的维度高于所述第一扰动的维度；对于K个所述第一扰动中的每一个，迭代地执行使该第一扰动在其目标函数的梯度方向上下降的操作，直至满足预设的迭代结束条件得到该第一扰动的优化扰动；计算每个优化扰动的所述目标函数的第一值；将第一值中的最小值对应的所述优化扰动确定为目标扰动；利用经过训练的神经网络模型对所述目标扰动进行数据升维处理，得到所述对抗样本木马。该方法提高了算法的速度和实用性，加快了神经网络模型对抗样本木马的构造效率。CN114170474ACN114170474A权利要求书1/2页1.一种生成神经网络模型的对抗样本木马的方法，其特征在于，包括：生成K个符合预定要求的第一扰动，其中，所述预定要求包括目标函数要求以及L个样本图像的扰动率要求，所述样本图像的维度为a，所述第一扰动的维度为n，所述K、L、a、n均为正整数，a大于n；对于K个所述第一扰动中的每个第一扰动，迭代地执行使该第一扰动在其目标函数的梯度方向上下降的操作，直至满足预设的迭代结束条件，以得到该第一扰动的优化扰动；计算所得到的K个所述优化扰动各自的所述目标函数的第一值；将计算出的K个所述第一值中的最小值对应的所述优化扰动确定为目标扰动；利用经过训练的神经网络模型对所述目标扰动进行数据升维处理，得到所述对抗样本木马。2.根据权利要求1所述的方法，其特征在于，所述目标函数包括L2范数。3.根据权利要求2所述的方法，其特征在于，所述生成K个符合预定要求的第一扰动包括重复执行下列操作，直到生成K个所述第一扰动：使用随机数生成函数随机生成一个维度为n的随机扰动；利用所述神经网络模型将所述随机扰动的维度升高至a维，得到升维随机扰动，基于所述样本图像的拟合函数，计算所述L个样本图像在所述升维随机扰动下的扰动率；计算所述随机扰动的L2范数；响应于确定所计算的扰动率大于第一阈值且所计算的L2范数小于第二阈值，将所述随机扰动作为所述第一扰动。4.根据权利要求3所述的方法，其特征在于，所述迭代地执行使该第一扰动在其目标函数的梯度方向上下降的操作，直至满足预设的迭代结束条件，以得到该第一扰动的优化扰动，包括：迭代地执行下列对该第一扰动的第一更新操作，直至所述L个样本图像在该第一扰动下的扰动率小于等于所述第一阈值，停止所述第一更新操作，并以最后一次执行所述第一更新操作的被执行对象作为第二扰动：计算该第一扰动的L2范数的第一梯度；通过使该第一扰动在所计算的第一梯度的方向上以预设的学习率下降，更新该第一扰动，得到更新第一扰动；利用所述神经网络模型将所述更新第一扰动的维度升高至a维，得到升维更新第一扰动，基于所述样本图像的拟合函数，计算所述L个样本图像在所述升维更新第一扰动下的扰动率；迭代地执行下列对该第二扰动的第二更新操作，直至所述L个样本图像在该第二扰动下的扰动率大于所述第一阈值，以得到该第一扰动的优化扰动：计算该第二扰动的L2范数的第二梯度；将所述学习率按预定比率缩小，以更新所述学习率；通过使该第二扰动在所计算的第二梯度的方向上以更新后的所述学习率下降，更新该第二扰动，得到更新第二扰动；利用所述神经网络模型将所述更新第二扰动的维度升高至a维，得到升维更新第二扰动，基于所述样本图像的拟合函数，计算所述L个样本图像在所述升维更新第二扰动下的扰2CN114170474A权利要求书2/2页动率。5.根据权利要求4所述的方法，其特征在于，所述预定比率为50％。6.根据权利要求3至5中任一项所述的方法，其特征在于，所述第一阈值为80％。7.根据权利要求1至5中任一项所述的方法，其特征在于，所述经过训练的神经网络模型包括自编码器；所述利用经过训练的神经网络模型对所述目标扰动进行数据升维处理包括：利用所述自编码