(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210797001.8 (22)申请日 2022.07.08 (65)同一申请的已公布的文献号 申请公布号 CN 114882323 A (43)申请公布日 2022.08.09 (73)专利权人 第六镜科技 （北京） 集团有限责任 公司 地址 100089 北京市海淀区高里掌 路1号院 6号楼202-60 (72)发明人 王瑶　刘闯　胡峻毅　叶雨桐　 陈诗昱　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 张欣欣(51)Int.Cl. G06V 10/774(2022.01) G06V 10/74(2022.01) G06V 10/82(2022.01) G06N 3/08(2006.01) (56)对比文件 CN 110443203 A,2019.1 1.12 CN 113362822 A,2021.09.07 CN 110443203 A,2019.1 1.12 CN 113673581 A,2021.1 1.19 CN 113780123 A,2021.12.10 审查员 郭岚晞 (54)发明名称 对抗样本生成方法、 装置、 电子设备及存储 介质 (57)摘要 本发明涉及人工智能技术领域， 提供了一种 对抗样本生成方法、 装置、 电子设备及存储介质， 所述方法包括： 获取原始图像； 对原始图像添加 基于多维高斯分布生成的扰动噪声， 得到原始图 像的对抗样 本， 对抗样本给出预设图像识别模型 不被期望的输出， 且原始图像能够给出预设图像 识别模型正确的输出。 本发明通过为原始图像添 加基于多维高斯分布生成的扰动噪声， 得到原始 图像的对抗样本， 可更高效、 更快捷地得到对抗 样本， 进而提升了预设图像识别模 型的鲁棒性验 证效率。 权利要求书2页 说明书13页 附图8页 CN 114882323 B 2022.10.14 CN 114882323 B 1.一种对抗样本生成方法， 其特 征在于， 所述方法包括： 获取原始图像； 对所述原始图像添加基于多维高斯分布生成的扰动噪声， 得到所述原始图像的对抗样 本， 所述对抗样本给出预设图像识别模型不被期望的输出， 且所述原始图像能够给出预设 图像识别模型正确的输出； 所述对所述原 始图像添加基于多维高斯分布生成的扰动噪声的步骤 包括： 生成满足所述多维高斯分布的扰动噪声数据； 利用所述扰动噪声数据， 为所述原 始图像添加扰动噪声， 得到初选样本； 若所述初选样本不满足预设优化条件， 则返回所述生成满足所述多维高斯分布的扰动 噪声数据的步骤， 其中， 所述预设优化条件是基于初始温度确定的； 若所述初选样本满足所述预设优化条件、 且满足预设终止条件， 则将所述初选样本作 为所述对抗样本； 若所述初选样本满足所述预设优化条件、 且不满足所述预设终止条件， 则对所述初始 温度进行调整， 并返回所述基于所述多维高斯分布生成扰动噪声数据的步骤， 直至所述初 选样本满足预设终止条件， 得到所述对抗样本； 所述方法还 包括： 对于第i次的所述初选样本， 获取第i ‑1次的第一相似度， 其中， 所述第一相似度为第i ‑ 1次的初选样本和所述原 始图像之间的相似度， i 为大于0的整数； 计算第i次的所述初选样本和所述原 始图像之间的第二相似度； 根据所述第一相似度、 所述第二相似度判断所述初选样本是否满足接受条件； 若所述初选样本满足所述接受条件且i小于预设次数、 或者所述初选样本不满足所述 接受条件， 则判定所述初选样本不满足所述预设优化条件； 若所述初选样本满足所述接受条件且i不小于所述预设次数， 则判定所述初选样本满 足所述预设优化条件； 所述根据 所述第一相似度、 所述第 二相似度判断所述初选样本是否满足接受条件的步 骤包括： 若所述第二相似度小于所述第一相似度， 则判定所述初选样本满足所述接受条件； 若所述第 二相似度不小于所述第 一相似度， 则根据 所述第一相似度、 所述第 二相似度、 所述初始温度及温控因子， 确定所述初选样本是否满足所述接受条件。 2.如权利要求1所述的对抗样本生成方法， 其特征在于， 所述扰动噪声数据为M1*N1的 扰动噪声矩阵， 所述原始图像为M2*N2的图像， 所述M1<M2和/或N1<N2， 所述利用所述扰动噪 声数据， 为所述原 始图像添加扰动噪声， 得到初选样本的步骤 包括： 利用双线插值对所述扰动噪声矩阵进行调整， 使M1= M2且N1=N2； 将调整后的所述扰动噪声矩阵中的每个元素对应叠加在所述原始图像中每个像素点 的像素值上， 得到所述初选样本 。 3.如权利要求1所述的对抗样本生成方法， 其特征在于， 所述根据所述第一相似度、 所 述第二相似度、 所述初始温度及温控因子， 确定所述初选样本是否满足所述接受条件的步 骤包括： 生成满足均匀分布的随机数， 并将所述随机数作为 参考概率；权　利　要　求　书 1/2 页 2 CN 114882323 B 2根据所述第一相似度、 所述第 二相似度、 所述初始温度及所述温控因子， 计算用于表征 所述初选样本可接收度的接受概 率； 若所述接受概 率不小于所述 参考概率， 则判定所述初选样本满足所述接受条件； 若所述接受概 率小于所述 参考概率， 则判定所述初选样本不满足所述接受条件。 4.如权利要求1所述的对抗样本生成方法， 其特征在于， 所述对所述初始温度进行调整 的步骤包括： 若所述初始温度大于预设阈值， 则按照第一调整因子调整所述初始温度； 若所述初始温度不大于所述预设阈值， 则按照第二调整因子调整所述初始温度， 所述 第二调整因子小于所述第一调整因子 。 5.一种对抗样本生成装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取原 始图像； 生成模块， 用于对所述原始图像添加基于多维高斯分布生成的扰动噪声， 得到所述原 始图像的对抗样本， 所述对抗样本给出预设图像识别模型不被期望的输出， 且所述原始图 像能够给 出预设图像识别模型正确的输出； 所述生成模块， 具体用于： 生成满足所述多维高斯分布的扰动噪声数据； 利用所述扰动 噪声数据， 为所述原始图像添加扰动噪声， 得到初选样本； 若 所述初选样本不满足预设优化 条件， 则返回所述生成满足所述多维 高斯分布的扰动噪声数据的步骤， 其中， 所述预设优化 条件是基于初始温度确定的； 若所述初选样本满足所述预设优化条件、 且满足预设终止条 件， 则将所述初选样本作为所述对抗样本； 若所述初选样 本满足所述预设优化条件、 且不满 足所述预设终止条件， 则对所述初始温度进行调整， 并返回所述基于所述多维高斯分布生 成扰动噪声数据的步骤， 直至所述初选样本满足预设终止条件， 得到所述对抗样本； 所述生成模块， 还用于： 对于第i次的初选样本， 获取第i ‑1次的第一相似度， 其 中， 所述 第一相似度为第i ‑1次的初选样 本和所述原始图像之间的相似度， i为大于0的整 数； 计算第 i次的所述初选样本和所述原始图像之 间的第二相似度； 根据所述第一相似度、 所述第二相 似度判断所述初选样本是否满足接受条件； 若所述初选样本满足所述接受条件且i小于预 设次数、 或者所述初选样本不满足所述接受条件， 则判定所述初选样本不满足所述预设优 化条件； 若 所述初选样本满足所述接受条件且i不小于所述预设次数， 则判定所述初选样本 满足所述预设优化条件； 所述生成模块在用于根据所述第 一相似度、 所述第 二相似度判断所述初选样本是否满 足接受条件时具体用于： 若所述第二相似度小于所述第一相似度， 则判定所述初选样本满 足所述接受条件； 若 所述第二相似度不小于所述第一相似度， 则根据所述第一相似度、 所述 第二相似度、 所述初始温度及温控因子， 确定所述初选样本是否满足所述接受条件。 6.一种电子设备， 其特征在于， 包括处理器和存储器； 所述存储器用于存储程序； 所述 处理器用于在执 行所述程序时， 实现如权利要求1 ‑4中任一项所述的对抗样本生成方法。 7.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机程序被处 理器执行时实现如权利要求1 ‑4中任一项所述的对抗样本生成方法。权　利　要　求　书 2/2 页 3 CN 114882323 B 3