(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114120028A(43)申请公布日2022.03.01(21)申请号202111249871.3G06K9/62(2022.01)(22)申请日2021.10.26G06N3/04(2006.01)(71)申请人中国电子科技集团公司第五十四研究所地址050081河北省石家庄市中山西路589号第五十四所通信网信息传输与分发技术重点实验室(72)发明人贺二路焦利彬贾哲赵阳阳吴巍(74)专利代理机构河北东尚律师事务所13124代理人王文庆(51)Int.Cl.G06V10/764(2022.01)G06V10/774(2022.01)G06V10/82(2022.01)权利要求书1页说明书4页附图1页(54)发明名称一种基于双层生成对抗网络的对抗样本生成方法(57)摘要本发明提出了一种基于双层生成对抗网络的对抗样本生成方法，涉及人工智能安全领域。该方法采用第一层条件生成对抗网络、特征提取器、第二层生成对抗网络和目标网络；条件生成对抗网络用于生成新的样本，其鉴别器不但要分辨生成样本的真实性，还对其类别进行判定；特征提取器用于提取原始样本隐藏层特征，生成具有对抗先验的扰动；第二层生成对抗网络用于生成对抗扰动，鉴别器分析对抗样本的真实性及其与条件生成对抗网络生成样本的相似性；目标网络用于验证对抗样本的攻击成功率。本发明利用两层神经网络分别生成特定类别的样本和对抗扰动，能够实现利用特定类别对抗样本进行攻击和对抗训练的目的，有效提升攻击的成功率和对抗训练的效率。CN114120028ACN114120028A权利要求书1/1页1.一种基于双层生成对抗网络的对抗样本生成方法，其特征在于，所述双层生成对抗网络包括第一层的条件生成对抗网络、第二层的生成对抗网络、特征提取器F以及目标网络C，第一层的条件生成对抗网络包括生成器G1、鉴别器D1，第二层的生成对抗网络包括生成器G2、鉴别器D2，其中生成器和鉴别器均为MLP多层感知机；该方法包括以下步骤：(1)将原始样本x、随机噪声z和类别标签c输入生成器G1，生成器G1根据原始样本和类别标签将随机噪声z拟合成新的图像样本xc；(2)将样本xc输入到鉴别器D1，甄别其真实性和类别；(3)通过特征提取器F提取原始样本的隐藏层特征F(x)；(4)将隐藏层特征F(x)输入到生成器G2，生成具有对抗先验的对抗扰动G2(F(x))；(5)将样本xc与对抗扰动G2(F(x))融合，得到对抗样本(6)将对抗样本输入到鉴别器D2，甄别其真实性和与xc的相似性；(7)将对抗样本输入到目标网络C进行分类，验证其攻击成功率，保存攻击成功的对抗样本。2.根据权利要求1所述的一种基于双层生成对抗网络的对抗样本生成方法，其特征在于，所述特征提取器F为VGG模型，所述目标网络C为ResNet模型。3.根据权利要求2所述的一种基于双层生成对抗网络的对抗样本生成方法，其特征在于，第一层的条件生成对抗网络的损失函数为：L1＝ΕxlogD1(x|c)+Εzlog(1‑D1(G1(z|c)))其中，x|c,z|c表示联合输入，即，将c与x或z联合输入，c是指定生成的类别信息；E表示数据分布。4.根据权利要求2所述的一种基于双层生成对抗网络的对抗样本生成方法，其特征在于，第二层的生成对抗网络的损失函数为：其中，用于保证样本xc与对抗样本的相似性；LC＝Εxlc(xc+G2(F(x)),t)为攻击目标类别的损失，其中t为指定的攻击类别，lc为交叉熵函数，用于保证对抗样本攻击的成功率；E表示数据分布。2CN114120028A说明书1/4页一种基于双层生成对抗网络的对抗样本生成方法技术领域[0001]本发明涉及人工智能安全领域，特别涉及一种基于双层生成对抗网络的对抗样本生成方法。背景技术[0002]随着人工智能技术的飞速发展，尤其是深度学习在图像识别、图像分类、自然语言处理等领域取得了重大的突破。目前，这些新技术已经应用在许多工程领域，深度学习在给人们带来便利的同时，其模型算法也存在着巨大的安全隐患。学者们提出，通过实验证明了深度卷积神经网络缺乏鲁棒性，攻击者可以根据不同模型的特点设计攻击方法影响模型的性能。[0003]目前，深度神经网络面临的攻击方式以对抗样本为主，对抗样本是指在输入的干净数据中添加肉眼难以觉察的扰动所得到的扰动样本，该样本会导致模型以较高的置信度输出一个错误的结果。目前，针对深度模型的脆弱性，研究人员提出了多种解决思路，其中对抗训练是指在模型的训练阶段人为的加入对抗样本，让模型去学习对抗样本的特征，进而提高自身的鲁棒性和泛化能力。因此，需要根据深度神经网络模型的训练需要生成大量的对抗样本，并且因为训练任务和攻击任务的不同，生成特定对抗样本实现对抗训练或