(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210855303.6 (22)申请日 2022.07.20 (65)同一申请的已公布的文献号 申请公布号 CN 115081643 A (43)申请公布日 2022.09.20 (73)专利权人 北京瑞莱智慧科技有限公司 地址 100084 北京市海淀区清华科技园科 技大厦A座19层 (72)发明人 不公告发明人 　 (74)专利代理 机构 北京箴思知识产权代理有限 公司 11913 专利代理师 李春晖 (51)Int.Cl. G06N 20/00(2019.01) G06V 10/74(2022.01) G06V 10/764(2022.01) G06V 20/64(2022.01)(56)对比文件 CN 113688912 A,2021.1 1.23 CN 113808165 A,2021.12.17 CN 114758113 A,202 2.07.15 CN 111724412 A,2020.09.2 9 CN 114387647 A,202 2.04.22 CN 114462489 A,202 2.05.10 CN 114444579 A,202 2.05.06 CN 114299313 A,202 2.04.08 CN 111814916 A,2020.10.23 CN 114297730 A,2022.04.08 CN 112882382 A,2021.0 6.01 CN 106611030 A,2017.0 5.03 US 2022215652 A1,202 2.07.07 US 2022092336 A1,202 2.03.24 US 2020159 924 A1,2020.0 5.21 审查员 轩海珍 (54)发明名称 对抗样本生成方法、 相关装置及存 储介质 (57)摘要 本申请实施例涉及计算机视觉领域， 提供一 种对抗样本生成方法、 相关装置及存储介质， 该 方法包括： 获取候选对抗样本和目标相似度， 目 标相似度包括候选对抗样本与原始样本的曲率 相似度以及与目标样本的识别相似度， 原始样本 包括目标对象各个面上点的集合； 目标样本基于 对抗攻击的攻击目标确定； 若目标相似度不符合 第一预设条件， 则更新候选对抗样 本和目标相似 度， 直至目标相似度符合所述第一预设条件， 将 目标相似度符合第一预设条件时的候选对抗样 本作为目标对抗样本； 其中， 第一预设条件包括 曲率相似度大于预设阈值、 识别相似度符合第二 预设条件。 本申请生成的目标对抗样本与原始样 本的曲率距离小， 攻击成功率高， 在物理世界具 有强隐蔽性。 权利要求书2页 说明书18页 附图7页 CN 115081643 B 2022.11.08 CN 115081643 B 1.一种对抗样本生成方法， 所述方法包括： 获取候选对抗样本； 获取目标相似度， 所述目标相似度包括所述候选对抗样本与原始样本的曲率相似度、 所述候选对抗样本与目标样本的识别相似度， 所述原始样本至少包括目标对象各个面上点 的集合； 所述目标样本基于对抗 攻击的攻击目标确定； 若所述目标相似度不符合第一预设条件， 则更新所述候选对抗样本和所述目标相似 度， 直至目标相似度符合所述第一预设条件， 将所述 目标相似度符合所述第一预设条件时 的候选对抗样本作为目标对抗样本； 其中， 所述第一预设条件包括所述曲率相似度大于预设阈值、 所述识别相似度符合第 二预设条件； 其中， 所述原 始样本、 所述 候选对抗样本和所述目标对抗样本均为 三维图像； 其中， 所述原始样本包括预设数量的待扰动点， 所述候选对抗样本包括预设数量的扰 动点， 所述扰动点与所述待扰动点 一一对应； 获取所述候选对抗样本与所述原 始样本的曲率相似度， 包括： 分别获取 各个待扰动点的曲率以及各个 扰动点的曲率； 基于各个待扰动点和对应 扰动点之间的曲率的预设范 数距离， 确定所述曲率相似度； 所述更新所述 候选对抗样本， 包括： 更新所述 候选对抗样本中扰动点在三维空间的位置 。 2.如权利要求1所述的方法， 其中， 一个待扰动点与对应的扰动点为一组， 所述基于各 个待扰动点和对应 扰动点之间的曲率的预设范 数距离， 确定所述曲率相似度， 包括： 获取各组待扰动点与扰动点的曲率之间的预设范 数距离的平方值； 基于各个平方值的平均值， 确定所述曲率相似度。 3.如权利要求1所述的方法， 其中， 所述待扰动点 通过随机方式获取； 或者所述待扰动点的曲率满足以下项之一： 所述待扰动点的曲率 不为0； 所述待扰动点的曲率 不为0且曲率的一阶导数为0； 所述待扰动点的曲率 不为0且曲率的一阶导数不 为0。 4.如权利要求1 ‑3中任一所述的方法， 其中， 若所述目标相似度不符合第一预设条件， 则更新所述候选对抗样本和所述 目标相似度， 直至目标相似度符合所述第一预设条件， 包 括： 基于候选对抗样本与所述目标样本的识别相似度， 得到第一损失值； 基于候选对抗样本与所述原 始样本的曲率相似度， 得到第二损失值； 根据所述第 一损失值以及所述第 二损失值对所述候选对抗样本进行更新， 并基于更新 后的候选对抗样本重新获取第一损失值和 第二损失值， 直至第一损失值与第二损失值之和 达到极值； 其中， 在所述第一损 失值与所述第二损 失值之和达到极值时， 所述目标相似度符合所 述第一预设条件。 5.如权利要求4所述的方法， 其中， 所述极值为极大值或极小值； 对抗攻击包括有目标 攻击和无目标攻击中的至少一项；权　利　要　求　书 1/2 页 2 CN 115081643 B 2在进行有目标攻击时， 所述目标样本与所述原始样本的标签类别不同； 所述第一损 失 值与所述识别相似度呈反比； 所述第二损失值与所述 曲率相似度呈反比； 在所述第一损失 值与所述第二损失值之和达 到极小值时， 所述目标相似度符合所述第一预设条件； 在进行无目标攻击时， 所述目标样本与所述原始样本的标签类别相同； 所述第一损 失 值与所述识别相似度呈反比； 所述第二损失值与所述 曲率相似度呈正比； 在所述第一损失 值与所述第二损失值之和达 到极大值时， 所述目标相似度符合所述第一预设条件。 6.如权利要求 4所述的方法， 其中， 所述更新所述 候选对抗样本， 包括： 根据所述第一损失值与所述第二损失值之和确定所述候选对抗样本中的各个所述扰 动点的梯度变化信息， 其中， 目标扰动点的梯度变化信息至少包括所述 目标扰动点在三维 空间的更新方向， 所述目标扰动点 为所述候选对抗样本中的任意扰动点； 根据各个扰动点的梯度变化信 息更新各个扰动 点在三维空间的位置， 以更新所述候选 对抗样本 。 7.一种数据处 理装置， 包括： 输入输出模块， 被 配置为获取候选对抗样本； 处理模块， 被配置为获取目标相似度， 所述目标相似度包括所述候选对抗样本与原始 样本的曲率相似度、 所述候选对抗样本与目标样本的识别相似度， 所述原始样本至少包括 目标对象各个面上点的集 合； 所述目标样本基于对抗 攻击的攻击目标确定； 所述处理模块， 还被配置为若所述目标相似度不符合第一预设条件， 则更新所述候选 对抗样本和所述目标相似度， 直至目标相似度符合所述第一预设条件， 将所述目标相似度 符合所述第一预设条件时的候选对抗样本作为目标对抗样本； 其中， 所述原始样本包括预设数量的待扰动点， 所述候选对抗样本包括预设数量的扰 动点， 所述扰动点与所述待扰动点 一一对应； 所述处理模块， 还被配置为通过以下方式获取所述候选对抗样本与 所述原始样本的曲 率相似度： 分别获取各个待扰动点的曲率以及各个扰动点的曲率； 以及基于各个待扰动点 和对应扰动点之间的曲率的预设范 数距离， 确定所述曲率相似度； 所述处理模块， 还被配置为通过以下方式更新所述候选对抗样本： 更新所述候选对抗 样本中扰动点在三维空间的位置； 其中， 所述第一预设条件包括所述曲率相似度大于预设阈值、 所述识别相似度符合第 二预设条件； 其中， 所述原 始样本、 所述 候选对抗样本和所述目标对抗样本均为 三维图像。 8.一种计算设备， 包括存储器， 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其中， 所述处理器执行所述计算机程序时实现如权利要求1 ‑6中任一项所述的方 法。 9.一种计算机可读存储介质， 其包括指令， 当其在计算机上运行时， 使得计算机执行如 权利要求1 ‑6中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115081643 B 3