对抗性样本生成方法、装置、电子设备及存储介质

本发明涉及数据处理，尤其涉及一种对抗性样本生成方法、装置、电子设备及存储介质。

背景技术：

1、随着技术的不断发展，人工神经网络(artificial neural network；ann)得到了极大的关注，尽管如此，ann模型依然存在重大的安全问题，极大限制了人工智能技术的应用，而脉冲神经网络(spiking neural network；snn)模型被视为比ann更具有生物合理性的版本。

2、而snn中的脉冲神经元模型将由1和0组成的脉冲序列作为输入，并在膜电位达到阈值时发出脉冲，这一过程的数学方程是不连续和不可微的，因此无法直接使用经典对抗攻击算法。在无法直接获得输入对应的梯度时，通常的对抗攻击方法是使用黑盒攻击方法。这类方法最基本的原理是基于神经网络对抗攻击的迁移性，基于一个ann模型使用相同的数据集进行训练，从而生成对抗样本，再将生成的样本用于测试脉冲神经网络snn的安全性，基于这种方法得到的对抗样本直接使用在脉冲神经网络上攻击效果不佳。

3、因此，如何针对于snn针对性的生成对抗性样本已经成为业界亟待解决的问题。

技术实现思路

1、本发明提供一种对抗性样本生成方法、装置、电子设备及存储介质，用以解决现有技术中如何针对于snn针对性的生成对抗性样本的缺陷。

2、本发明提供一种对抗性样本生成方法，包括：

3、s1,将模型样本对应的脉冲序列进行代理梯度计算，得到所述模型样本对应的代理梯度矩阵，其中，所述模型样本为预训练好的目标模型对应的模型样本；

4、s2,基于所述脉冲序列和所述代理梯度矩阵，计算有效区域掩膜，所述有效区域掩膜用于标示能够进行翻转的位置；

5、s3，基于所述有效区域掩膜和所述代理梯度矩阵，对所述脉冲序列按照目标翻转方式进行翻转，得到目标脉冲序列；所述目标翻转方式包括以下至少一种：完全随机翻转，有效区域随机翻转，有效区域代理梯度采样翻转和有效区域代理梯度贪婪翻转；

6、s4，将所述脉冲序列替换为所述目标脉冲序列，重复执行步骤s1至步骤s3，直至所述目标模型对于所述目标脉冲序列的识别结果超过预设阈值，将所述目标脉冲序列作为所述目标模型的对抗性样本。

7、根据本发明提供的一种对抗性样本生成方法，将模型样本对应的脉冲序列进行代理梯度计算，得到所述模型样本对应的代理梯度矩阵，包括：

8、根据所述脉冲序列，直接获取代理梯度矩阵；

9、或，对所述脉冲序列的数据点领域进行多次随机采样，得到多个代理梯度矩阵，从而计算平均代理梯度矩阵，得到所述模型样本对应的代理梯度矩阵。

10、根据本发明提供的一种对抗性样本生成方法，基于所述脉冲序列和所述代理梯度矩阵，计算有效区域掩膜，包括：

11、通过基础有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第一有效区域掩膜；

12、通过特殊形状有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第二有效区域掩膜；

13、通过步长补足有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第三有效区域掩膜；

14、通过历史有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第四有效区域掩膜；

15、基于布尔逻辑运算，对所述第一有效区域掩膜、所述第二有效区域掩膜、所述第三有效区域掩膜和所述第四有效区域掩膜进行处理，得到有效区域掩膜。

16、根据本发明提供的一种对抗性样本生成方法，通过基础有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第一有效区域掩膜，包括：

17、在代理梯度矩阵中第一位置的梯度数值大于等于0的情况下，将所述第一位置作为第一有效位置；所述第一位置为所述脉冲序列中等于0的位置；

18、在所述代理梯度矩阵中第二位置的梯度数值小于等于0的情况下，将所述第二位置作为第一有效位置，所述第二位置为所述脉冲序列中等于1的位置；

19、基于所述第一有效位置，确定所述第一有效区域掩膜。

20、根据本发明提供的一种对抗性样本生成方法，所述特殊形状有效区域掩膜设定，包括以下至少一项：删除型有效区域掩膜、增加型有效区域掩膜、立方体型有效区域掩膜、立方体型反有效区域掩膜。

21、根据本发明提供的一种对抗性样本生成方法，通过步长补足有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第三有效区域掩膜，包括：

22、在所述第一有效位置的数量小于第一预设阈值的情况下，将所述有效区域掩膜中等于0的位置进行随机采样并设为1，以使得最终的有效区域掩膜中所述第一有效位置的数量大于活等于所述第一预设阈值。

23、根据本发明提供的一种对抗性样本生成方法，所述历史有效区域掩膜设定，包括：

24、在确定所述第四有效区域掩膜的过程中，避免将迭代攻击中已经翻转过的位置确定为所述第四有效区域掩膜。

25、本发明还提供一种对抗性样本生成装置，包括：

26、第一计算模块用于执行s1，将模型样本对应的脉冲序列进行代理梯度计算，得到所述模型样本对应的代理梯度矩阵，其中，所述模型样本为预训练好的目标模型对应的模型样本；

27、第二计算模块用于执行s2，基于所述脉冲序列和所述代理梯度矩阵，计算有效区域掩膜，所述有效区域掩膜用于标示能够进行翻转的位置；

28、翻转模块用于执行s3，基于所述有效区域掩膜和所述代理梯度矩阵，对所述脉冲序列按照目标翻转方式进行翻转，得到目标脉冲序列；所述目标翻转方式包括以下至少一种：完全随机翻转，有效区域随机翻转，有效区域代理梯度采样翻转和有效区域代理梯度贪婪翻转；

29、循环模块，用于将所述脉冲序列替换为所述目标脉冲序列，重复执行步骤s1至步骤s3，直至所述目标模型对于所述目标脉冲序列的识别结果超过预设阈值，将所述目标脉冲序列作为所述目标模型的对抗性样本。

30、根据本发明提供的对抗性样本生成装置，所述装置还用于：

31、根据所述脉冲序列，直接获取代理梯度矩阵；

32、或，对所述脉冲序列的数据点领域进行多次随机采样，得到多个代理梯度矩阵，从而计算平均代理梯度矩阵，得到所述模型样本对应的代理梯度矩阵。

33、根据本发明提供的对抗性样本生成装置，所述装置还用于：

34、通过基础有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第一有效区域掩膜；

35、通过特殊形状有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第二有效区域掩膜；

36、通过步长补足有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第三有效区域掩膜；

37、通过历史有效区域掩膜设定，对所述脉冲序列和所述代理梯度矩阵进行分析，计算第四有效区域掩膜；

38、基于布尔逻辑运算，对所述第一有效区域掩膜、所述第二有效区域掩膜、所述第三有效区域掩膜和所述第四有效区域掩膜进行处理，得到有效区域掩膜。

39、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述对抗性样本生成方法。

40、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述对抗性样本生成方法。

41、本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述对抗性样本生成方法。

42、本发明提供的对抗性样本生成方法、装置、电子设备及存储介质，通过计算有效区域掩膜，能够进一步加强攻击的精准度和效率，并且通过这种方法，攻击者可以更精确地定位哪些位置更可能导致成功的对抗攻击，同时也限制了不必要或无效攻击的范围，能够更高效地生成具有针对性的对抗样本，减少计算资源的消耗，在迭代循环，不断的优化对应的距离度量，确保了生成的对抗样本不仅能有效地误导目标模型，还能在给定的距离度量上尽量接近原始样本，并且具有特定时空特征。使得对抗样本更难被检测。