一种对抗点云的构建方法、装置及设备与流程

1.本文件涉及计算机技术领域，尤其涉及一种对抗点云的构建方法、装置及设备。


背景技术：

2.随着企业数字化转型的深入，互联网时代的金融业务需要全面做好黑产防御的先手准备，这对模型的鲁棒性提出了极大的挑战。只有先黑产一步，才能脱身于的落后局面，打造有效的防御方案。其中，“以防养攻，以攻促防”的攻防一体缺一不可。二维和三维的视觉任务广泛应用于金融领域的业务场景，例如，面部识别等业务往往利用二维图像和三维图像进行融合以获取更高的准确率，类似于二维的任务中的情况，为三维点云任务设计的模型也容易受到对抗样本的影响。因此，应用于三维任务的模型鲁棒性及安全性具有重要意义。为此，需要提出一种简单而有效的方式来生成更具迁移性的对抗点云数据，从而可以生成更多可迁移的攻击样本且可以与当前攻击相结合，以提高其可迁移性。


技术实现要素：

3.本说明书实施例的目的是提出一种简单而有效的方式来生成更具迁移性的对抗点云数据，从而可以生成更多可迁移的攻击样本且可以与当前攻击相结合，以提高其可迁移性。
4.为了实现上述技术方案，本说明书实施例是这样实现的：
5.本说明书实施例提供的一种对抗点云的构建方法，所述方法包括：获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据。从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息。基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据。基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。
6.本说明书实施例提供的一种对抗点云的构建装置，所述装置包括：第一点云构建模块，获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据。扰动分解模块，从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰
动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息。第二点云构建模块，基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据。第三点云构建模块，基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。
7.本说明书实施例提供的一种对抗点云的构建设备，所述对抗点云的构建设备包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据。从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息。基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据。基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。
8.本说明书实施例还提供了一种存储介质，所述存储介质用于存储计算机可执行指令，所述可执行指令在被处理器执行时实现以下流程：获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据。从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息。基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据。基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。
附图说明
9.为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图；
10.图1为本说明书一种对抗点云的构建方法实施例；
11.图2为本说明书另一种对抗点云的构建方法实施例；
12.图3为本说明书一种样本空间的示意图；
13.图4为本说明书一种对抗点云的构建装置实施例；
14.图5为本说明书一种对抗点云的构建设备实施例。
具体实施方式
15.本说明书实施例提供一种对抗点云的构建方法、装置及设备。
16.为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。
17.本说明书实施例提供一种对抗点云的构建机制，目前，大多数针对三维点云的对抗性攻击的研究都处于白盒设置下，即攻击者完全可以访问模型源文件，很容易根据梯度信息生成对抗性扰动信息来攻击相应的模型。而在大部分实际场景中，模型部署在黑盒中，这样只能查询得到模型预测结果而无法访问模型源文件。因此，攻击代理模型生成的可迁移的对抗性三维点云，既可以攻击被攻击的代理模型也可以攻击其他黑盒模型，这种基于对抗可迁移性的黑盒攻击是一个更现实的威胁。基于此，提出一种联合优化扰动及其子扰动的简单而有效的方式来生成更具迁移性的对抗点云数据，从而可以生成更多可迁移的攻击样本且可以与当前攻击相结合，以提高其可迁移性。具体处理可以参见下述实施例中的具体内容。
18.实施例一
19.如图1所示，本说明书实施例提供一种对抗点云的构建方法，该方法的执行主体可以为终端设备或服务器等，其中的终端设备可以如手机、平板电脑等移动终端设备，还可以如笔记本电脑或台式电脑等计算机设备，或者，也可以为iot设备(具体如智能手表、车载设备等)等，其中的服务器可以是独立的一个服务器，还可以是由多个服务器构成的服务器集群等，该服务器可以是如金融业务或网络购物业务等的后台服务器，也可以是某应用程序的后台服务器等。本实施例中以执行主体为服务器为例进行详细说明，对于执行主体为终端设备的情况，可以参见下述服务器的情况处理，在此不再赘述。该方法具体可以包括以下步骤：
20.在步骤s102中，获取应用于预设业务的第一点云数据，并获取应用于第一点云数据的扰动信息，基于第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于更新后的扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第一对抗点云数据。
21.其中，预设业务可以是任意业务，例如，预设业务可以是面部识别业务、生物检测业务等，具体可以根据实际情况设定。点云(point clouds)数据可以是通过三维扫描设备等采集的离散的采样点构成的集合，点云数据中通常包含采样点的三维坐标、法向以及表面外观属性，点云数据是几何模型的一种表达方式。扰动信息可以是用于对第一点云数据
进行干扰的信息，扰动信息可以包括多种，例如，该扰动信息可以是噪声(具体如随机噪声或高斯噪声等，具体可以根据实际情况设定)，也可以是预先设定的指定信息(如预先设定的指定文本信息、图像等，具体可以根据实际情况设定)等，具体可以根据实际情况设定，本说明书实施例对此不做限定。目标函数也可以由相应的损失函数确定，目标函数可以用于表征迭代计算中所需要达到的目标，当目标函数收敛时，迭代计算结束，目标函数的具体形式可以包括多种，例如，可以通过交叉熵损失函数确定，或者，可以通过l2范数确定相应的目标函数等，具体可以根据实际情况设定，本说明书实施例对此不做限定。扰动更新策略可以包括多种，可以用于对扰动信息进行更新，例如，扰动更新策略可以包括对扰动信息增加固定的数值或信息，或者，扰动更新策略可以包括指定的更新算法(如指数加权平均值算法或梯度下降算法等)等，具体可以根据实际情况设定。对抗点云数据是指在原点云数据中通过添加细微的干扰所形成的点云数据，该对抗点云数据会导致模型以高置信度给出一个错误的输出结果，而且对抗点云数据与原点云数据可以非常近似，观察者可能不会察觉原点云数据和对抗点云数据之间的差异，但是模型会作出非常不同的预测结果，对抗点云数据可以是用于进行迁移攻击的点云数据，即基于某模型构建的对抗点云数据可以用于攻击另一指定的模型，并且具有较高的攻击成功率。
22.在实施中，随着企业数字化转型的深入，互联网时代的金融业务需要全面做好黑产防御的先手准备，这对模型的鲁棒性提出了极大的挑战。只有先黑产一步，才能脱身于的落后局面，打造有效的防御方案。其中，“以防养攻，以攻促防”的攻防一体缺一不可。二维和三维的视觉任务广泛应用于金融领域的业务场景，例如，面部识别等业务往往利用二维图像和三维图像进行融合以获取更高的准确率，类似于二维的任务中的情况，为三维点云任务设计的模型也容易受到对抗样本的影响。因此，应用于三维任务的模型鲁棒性及安全性具有重要意义。为此，需要提出一种简单而有效的方式来生成更具迁移性的对抗点云数据，从而可以生成更多可迁移的攻击样本且可以与当前攻击相结合，以提高其可迁移性。本说明书实施例提供一种可实现的处理方式，具体可以参见下述内容。
23.可以通过多种不同的方式获取应用于预设业务的第一点云数据，例如，可以记录预设业务在执行的过程中获取的点云数据，可以将获取的点云数据作为第一点云数据，或者，可以从指定的数据库中获取应用于预设业务的第一点云数据，或者，可以通过网络获取能够应用于预设业务的点云数据，可以将获取的点云数据作为第一点云数据等，具体可以根据实际情况设定，本说明书实施例对此不做限定。
24.此外，还可以通过多种不同的方式获取应用于第一点云数据的扰动信息，例如，可以设定高斯噪声作为应用于第一点云数据的扰动信息，则可以获取上述扰动信息，或者，可以预先设定指定的代码或字符，可以将指定的代码或字符作为上述扰动信息，可以获取上述扰动信息等，具体可以根据实际情况设定，本说明书实施例对此不做限定。
25.可以对扰动信息进行分析，可以根据分析结果确定扰动信息中所包含的内容，然后，可以基于扰动信息中包含的内容，使用预设的扰动更新策略生成一个新的扰动信息，可以使用新的扰动信息对上述扰动信息进行更新，得到更新后的扰动信息。可以将更新后的扰动信息嵌入到第一点云数据中，以此基于更新后的扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第一对抗点云数据，之后，可以对更新后的扰动信息进行分析，可以根据分析结果确定更新后的扰动信息中所包含的内容，然后，可以基于更新后的扰
动信息中包含的内容，使用预设的扰动更新策略生成一个新的扰动信息，可以使用新的扰动信息对上述更新后的扰动信息进行更新，得到进一步更新后的扰动信息。可以将进一步更新后的扰动信息嵌入到第一点云数据中，以此基于更新后的扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第一对抗点云数据。如上所述，可以重复执行上述处理过程，直到满足目标函数对应的收敛条件为止，最终，可以得到第一点云数据对应的第一对抗点云数据。例如，预设业务为面部识别业务，第一点云数据为包括某用户的面部的点云数据，可以通过上述处理过程，基于更新后的扰动信息(如对高斯噪声构建的扰动信息进行更新后得到的)对第一点云数据进行扰动处理，得到第一点云数据对应的第一对抗点云数据(如包括面部的第一对抗点云数据等，其中，第一对抗点云数据与第一点云数据非常近似，观察者不会察觉第一点云数据和第一对抗点云数据之间的差异，但是模型会作出非常不同的预测结果)。
26.在步骤s104中，从扰动信息和更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个目标扰动信息分解为第一子扰动信息和第二子扰动信息。
27.在实施中，可以将上述扰动信息和更新后的扰动信息集合到一起，得到由扰动信息和更新后的扰动信息构成的集合，可以从上述集合中选取一个或多个扰动信息作为目标扰动信息，基于上述内容，若选取一个扰动信息作为目标扰动信息，则从集合中的选取的扰动信息，可以是上述扰动信息，也可以是更新后的扰动信息中的一个，若选取多个扰动信息作为目标扰动信息，则从集合中的选取的扰动信息，可以包括上述扰动信息和更新后的扰动信息，或者，也可以是只从更新后的扰动信息中选取多个更新后的扰动信息作为目标扰动信息等，具体可以根据实际情况设定。
28.为了后续能够得到效果较好的模型，可以将每个目标扰动信息分解为两个部分，分别可以为第一子扰动信息和第二子扰动信息，其中，第一子扰动信息与第二子扰动信息的和为目标扰动信息。
29.在步骤s106中，基于第一子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第三对抗点云数据，并基于第二子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第四对抗点云数据，并基于第一点云数据、第三对抗点云数据和第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据。
30.其中，点云合成策略可以是用于基于当前已知的点云数据生成(或合成)新的点云数据的策略，点云合成策略可以包括多种，例如，点云合成策略可以是基于向量的合成算法构建，或者，点云合成策略可以是基于指定的加权求和的算法构建等，具体可以根据实际情况设定，本说明书实施例对此不做限定。
31.在实施中，可以基于第一子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第三对抗点云数据，同时，可以基于第二子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第四对抗点云数据，上述处理的具体处理过程，可以参见前述相关内容，在此不再赘述。然后，可以分别将第一点云数据、第三对抗点云数据和第四对抗点云数据看作一个二维坐标点，可以将从第一点云数据到第三对抗点云数据的射线作为一个向量，将从第一点云数据到第四对抗点云数据的射线作为另一个向量，可以通过预设的点云合成策略中的向量的合成算法将上述两个向量进行合成，得到的合成向量即为从第一点云数据到第五对抗点云数据的射线，从而可以得到第五对抗点云数据。或者，也可以
通过预设的点云合成策略中的指定的加权求和的算法，对第一点云数据、第三对抗点云数据和第四对抗点云数据进行相应的加权求和计算，得到的结果可以作为第五对抗点云数据等，具体可以根据点云合成策略的实际设置而设定，本说明书实施例对此不做限定。
32.在步骤s108中，基于第一对抗点云数据和第五对抗点云数据构建针对预设业务的对抗点云数据。
33.在实施中，可以将第一对抗点云数据和第五对抗点云数据作为针对预设业务的对抗点云数据，或者，可以分别从第一对抗点云数据和第五对抗点云数据中选取一定数量的对抗点云数据作为针对预设业务的对抗点云数据，或者，可以从第一对抗点云数据中选取一定数量的对抗点云数据，并将选取的对抗点云数据与第五对抗点云数据作为针对预设业务的对抗点云数据，或者，可以从第五对抗点云数据中选取一定数量的对抗点云数据，并将选取的对抗点云数据与第一对抗点云数据作为针对预设业务的对抗点云数据等，具体可以根据实际情况设定，本说明书实施例对此不做限定。
34.此外，除了可以基于第一对抗点云数据和第五对抗点云数据构建针对预设业务的对抗点云数据外，还可以基于第一对抗点云数据、第三对抗点云数据、第四对抗点云数据和第五对抗点云数据构建针对预设业务的对抗点云数据，具体可以根据实际情况设定。
35.本说明书实施例提供一种对抗点云的构建方法，通过获取应用于预设业务的第一点云数据，并获取应用于第一点云数据的扰动信息，基于扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新，得到更新后的扰动信息，然后，可以基于更新后的扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第一对抗点云数据，之后，可以从扰动信息和更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个目标扰动信息分解为第一子扰动信息和第二子扰动信息，基于第一子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第三对抗点云数据，并基于第二子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第四对抗点云数据，并基于第一点云数据、第三对抗点云数据和第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据，最终，可以基于第一对抗点云数据和第五对抗点云数据构建针对预设业务的对抗点云数据，这样，提出了一种简单而有效的攻击来增加对抗点云数据的可迁移性，具体地，提出了通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新的处理，以及对目标扰动信息进行分解产生相应的子扰动信息的处理，而不是简单地单独优化通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新的处理，因此，生成的对抗点云数据离决策边界更远，更易于进行对抗迁移，此外，还开发了一种基于抽样的方式，该方式在每次迭代中选择部分扰动信息进行随机分解以提高效率。
36.实施例二
37.如图2所示，本说明书实施例提供一种对抗点云的构建方法，该方法的执行主体可以为终端设备或服务器等，其中的终端设备可以如手机、平板电脑等移动终端设备，还可以如笔记本电脑或台式电脑等计算机设备，或者，也可以为iot设备(具体如智能手表、车载设备等)等，其中的服务器可以是独立的一个服务器，还可以是由多个服务器构成的服务器集群等，该服务器可以是如金融业务或网络购物业务等的后台服务器，也可以是某应用程序的后台服务器等。本实施例中以执行主体为服务器为例进行详细说明，对于执行主体为终
端设备的情况，可以参见下述服务器的情况处理，在此不再赘述。该方法具体可以包括以下步骤：
38.在步骤s202中，获取应用于预设业务的第一点云数据，并获取应用于第一点云数据的扰动信息。
39.其中，扰动信息可以是服从均值为0，方差为1的分布规律的扰动信息。第一点云数据可以是代理模型所应用的预设业务中的点云数据，代理模型是能够实现对目标模型进行迁移攻击的模型，针对预设业务的对抗点云数据可以用于攻击目标模型。其中的目标模型可以是任意模型，例如，目标模型可以是应用于金融业务或指定交易业务中的面部识别模型，或者，目标模型可以是风险防控模型等，具体可以根据实际情况设定。目标模型可以基于多种不同的算法构建，例如，目标模型可以基于神经网络算法构建，或者，目标模型可以基于分类算法构建等，具体可以根据实际情况设定。代理模型可以是与目标模型具有相同模型架构的模型，例如，目标模型可以为卷积神经网络模型，代理模型也可以为卷积神经网络模型，两者可以是具有相同的网络层，而仅仅是其中的模型参数不同，或者，也可以是两者具有的网络层不同，其中的模型参数也不相同，具体可以根据实际情况设定，本说明书实施例对此不做限定。迁移攻击可以是基于对抗迁移性攻击代理模型，从而得到相应的对抗样本，以用于攻击目标模型的黑盒攻击方式。
40.在实施中，可以通过多种不同的方式获取应用于预设业务的第一点云数据，具体可以参见上述相关内容。此外，还可以生成均值为0，方差为1的初始扰动信息(即应用于第一点云数据的扰动信息)，即扰动信息δ0～n(0,1)。
41.在步骤s204中，基于上述扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第二对抗点云数据。
42.在步骤s206中，基于上述扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新，得到更新后的扰动信息。
43.其中，扰动更新策略可以包括基于梯度下降算法构建的策略。目标函数可以是基于通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新的处理对应的子损失函数和对目标扰动信息进行分解产生相应的子扰动信息的处理对应的子损失函数构建的函数，而不是简单地单独通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新，进而生成的对抗点云数据离决策边界更远，因此更易于对抗迁移。
44.在实施中，可以根据预设的目标函数确定相应的迭代次数阈值。可以判断当前扰动信息的迭代次数是否小于预设的迭代次数阈值，如果是，则可以对扰动信息进行分析，可以根据分析结果确定扰动信息中所包含的内容，然后，可以基于扰动信息中包含的内容，使用预设的扰动更新策略中的梯度下降算法生成一个新的扰动信息，可以使用新的扰动信息对上述扰动信息进行更新，得到更新后的扰动信息，具体地，如果当前扰动信息的迭代次数t≤t，则可以通过下述公式得到新的扰动信息
[0045][0046]
其中，δ
t+1
为第t+1次迭代的扰动信息，δ
t
为第t次迭代的扰动信息，p为第一点云数据，p
′
t
为第t次迭代的扰动信息对应的对抗点云数据，l
reg
表示目标函数。
[0047]
在步骤s208中，如果更新后的扰动信息处于预设的范围内，则将更新后的扰动信息嵌入到第一点云数据中，得到第一点云数据对应的第一对抗点云数据。
[0048]
在实施中，可以根据目标函数的无穷范数得到预设的范围∈，如果更新后的扰动信息δ
t+1
处于预设的范围∈内(即|δ
t+1
|≤∈)，则将更新后的扰动信息嵌入到第一点云数据中，得到第一点云数据对应的第一对抗点云数据，即
[0049]
p
′
t+1
←
p+δ
t+1
[0050]
其中，p
′
t+1
表示第t次迭代的扰动信息对应的对抗点云数据(即第一对抗点云数据)。
[0051]
在步骤s210中，如果更新后的扰动信息未处于预设的范围内，则基于更新后的扰动信息、更新后的扰动信息的范数和预设的误差参数，确定第一扰动信息，将第一扰动信息嵌入到第一点云数据中，得到第一点云数据对应的第一对抗点云数据。
[0052]
在实施中，如果更新后的扰动信息δ
t+1
未处于预设的范围∈内(即|δ
t+1
|》∈)，则基于更新后的扰动信息、更新后的扰动信息的范数和预设的误差参数，确定第一扰动信息，即
[0053][0054]
然后，将第一扰动信息嵌入到第一点云数据中，得到第一点云数据对应的第一对抗点云数据
[0055][0056]
在步骤s212中，基于迭代法线投影算法对第一对抗点云数据进行平滑处理，得到处理后的第一对抗点云数据。
[0057]
其中，迭代法线投影算法可以是用于对点云数据进行平滑处理的算法，通过迭代法线投影算法，可以将指定的点云数据中各个点之间，以及点云整体上更加平滑。
[0058]
在步骤s214中，从扰动信息和更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个目标扰动信息分解为第一子扰动信息和第二子扰动信息。
[0059]
在实施中，一般来说，因为不同的dnn可能具有相对不同的边界，所以靠近代理模型决策边界的对抗点云数据，存在过拟合的风险，其可迁移性较低。然而，因为边界很复杂且没有分析形式，很难规范对抗点云数据和决策边界之间的距离，以生成更具迁移性的对抗点云数据。同时，在实际应用中，一个扰动信息可以分解为两个子扰动信息，这两个子扰动信息也很可能是对抗性扰动信息，该现象表明子扰动信息也可能包含有关决策边界的有用信息，因此可以帮助生成更多可转移的对抗点云数据。此外，考虑到对抗点云数据的构建效率和模型训练的效率，可以基于抽样的方式，在每次迭代中选择部分扰动信息进行随机分解，具体如，可以在每次迭代中选择一个扰动信息进行随机分解，或者，可以在每次迭代中选择两个扰动信息进行随机分解等，具体可以根据实际情况设定。基于上述内容，如果需要选取一个目标扰动信息，则从扰动信息或更新后的扰动信息中选取一个扰动信息作为目标扰动信息，如果需要选取多个目标扰动信息，则从扰动信息中选取一个扰动信息作为目标扰动信息，并可以从更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，或者，可以从更新后的扰动信息中选取多个扰动信息作为目标扰动信息等。然后，可以将每个目标扰动信息分解为第一子扰动信息和第二子扰动信息，具体处理方式可以参见前述相关内容，在此不再赘述。
[0060]
在步骤s216中，基于第一子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第三对抗点云数据，并基于第二子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第四对抗点云数据，并基于第一点云数据、第三对抗点云数据和第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据。
[0061]
在实施中，如图3所示，可以基于第一子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第三对抗点云数据，同时，可以基于第二子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第四对抗点云数据，上述处理的具体处理过程，可以参见前述相关内容，在此不再赘述。如图3所示，可以将整个样本空间划分为3部分，一个是非对抗样本空间和对抗样本空间，其中，对抗样本空间包括两部分，即第一对抗样本空间和第二对抗样本空间，第一点云数据可以位于非对抗样本空间内，第三对抗点云数据和第四对抗点云数据均位于第一对抗样本空间内。可以分别将第一点云数据、第三对抗点云数据和第四对抗点云数据看作一个二维坐标点，即第一点云数据对应的二维坐标点x，第三对抗点云数据对应的二维坐标点x1，第四对抗点云数据对应的二维坐标点x2，可以将从第一点云数据到第三对抗点云数据的射线作为一个向量(即)，将从第一点云数据到第四对抗点云数据的射线作为另一个向量(即)，可以通过预设的点云合成策略中的向量的合成算法将上述两个向量进行合成，得到的合成向量即为从第一点云数据到第五对抗点云数据的射线，从而可以得到第五对抗点云数据(如图3所示第五对抗点云数据对应的二维坐标点x3)，第五对抗点云数据位于第二对抗样本空间内。
[0062]
在步骤s218中，基于第一对抗点云数据、第二对抗点云数据和第五对抗点云数据构建针对预设业务的对抗点云数据。
[0063]
上述步骤s218具体处理可以参见前述相关内容，在此不再赘述。
[0064]
基于上述步骤s202～步骤s218的处理，可以使用广泛使用的数据集modelnet40来训练模型并评估每种攻击方式的性能。根据攻击成功率衡量模型性能，基于得到的结果，可以得到在白盒设置中，本说明书实施例提供的技术方案达到了100％的基线攻击成功率，并且在大多数情况下，本说明书实施例提供的技术方案生成的对抗点云数据可实现更好的可迁移性。为了定量比较本说明书实施例提供的技术方案和其他技术方案生成的对抗点云数据的可迁移性，可以使用可迁移分(即平均攻击成功率)来进行衡量。最终得到的结果表明本说明书实施例提供的技术方案的整体迁移性优于当前其他基线攻击算法，例如，∈＝0.18时，超过基于3d-adv的对抗点云生成方式28％，超过基于advpc的对抗点云生成方式9.4％，在∈＝0.45时，超过基于3d-adv的对抗点云生成方式34.2％，超过基于advpc的对抗点云生成方式13.5％。
[0065]
通过上述方式得到对抗点云数据后，还可以通过对抗点云数据对目标模型进行二次训练，从而提高目标模型的预测准确度，具体可以参见下述步骤s220和步骤222的处理。
[0066]
在步骤s220中，将针对预设业务的对抗点云数据输入到目标模型中，得到相应的预测结果。
[0067]
在步骤s222中，基于预测结果和针对预设业务的对抗点云数据对应的标签信息，通过预设的损失函数，确定相应的损失信息，基于损失信息对目标模型的模型参数进行调整，以对目标模型进行模型训练，得到训练后的目标模型。
[0068]
本说明书实施例提供一种对抗点云的构建方法，通过获取应用于预设业务的第一点云数据，并获取应用于第一点云数据的扰动信息，基于扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新，得到更新后的扰动信息，然后，可以基于更新后的扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第一对抗点云数据，之后，可以从扰动信息和更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个目标扰动信息分解为第一子扰动信息和第二子扰动信息，基于第一子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第三对抗点云数据，并基于第二子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第四对抗点云数据，并基于第一点云数据、第三对抗点云数据和第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据，最终，可以基于第一对抗点云数据和第五对抗点云数据构建针对预设业务的对抗点云数据，这样，提出了一种简单而有效的攻击来增加对抗点云数据的可迁移性，具体地，提出了通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新的处理，以及对目标扰动信息进行分解产生相应的子扰动信息的处理，而不是简单地单独优化通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新的处理，因此，生成的对抗点云数据离决策边界更远，更易于进行对抗迁移，此外，还开发了一种基于抽样的方式，该方式在每次迭代中选择部分扰动信息进行随机分解以提高效率。
[0069]
实施例三
[0070]
以上为本说明书实施例提供的对抗点云的构建方法，基于同样的思路，本说明书实施例还提供一种对抗点云的构建装置，如图4所示。
[0071]
该对抗点云的构建装置包括：第一点云构建模块401、扰动分解模块402、第二点云构建模块403和第三点云构建模块404，其中：
[0072]
第一点云构建模块401，获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据；
[0073]
扰动分解模块402，从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息；
[0074]
第二点云构建模块403，基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据；
[0075]
第三点云构建模块404，基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。
[0076]
本说明书实施例中，所述装置还包括：
[0077]
第四点云构建模块，基于所述扰动信息对所述第一点云数据进行扰动处理，得到
所述第一点云数据对应的第二对抗点云数据；
[0078]
所述第三点云构建模块404，基于第一对抗点云数据、所述第二对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。
[0079]
本说明书实施例中，所述第一点云构建模块801，包括：
[0080]
第一点云构建单元，如果更新后的扰动信息处于预设的范围内，则将所述更新后的扰动信息嵌入到所述第一点云数据中，得到所述第一点云数据对应的第一对抗点云数据；
[0081]
第二点云构建单元，如果更新后的扰动信息未处于预设的范围内，则基于所述更新后的扰动信息、所述更新后的扰动信息的范数和预设的误差参数，确定第一扰动信息，将所述第一扰动信息嵌入到所述第一点云数据中，得到所述第一点云数据对应的第一对抗点云数据。
[0082]
本说明书实施例中，所述装置还包括：
[0083]
处理模块，基于迭代法线投影算法对所述第一对抗点云数据进行平滑处理，得到处理后的第一对抗点云数据。
[0084]
本说明书实施例中，所述目标函数是基于通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新的处理对应的子损失函数和对所述目标扰动信息进行分解产生相应的子扰动信息的处理对应的子损失函数构建的函数。
[0085]
本说明书实施例中，所述扰动信息是服从均值为0，方差为1的分布规律的扰动信息；所述扰动更新策略包括基于梯度下降算法构建的策略。
[0086]
本说明书实施例中，所述第一点云数据是代理模型所应用的所述预设业务中的点云数据，所述代理模型是能够实现对目标模型进行迁移攻击的模型，针对所述预设业务的对抗点云数据用于攻击所述目标模型。
[0087]
本说明书实施例中，所述装置还包括：
[0088]
预测模块，将针对所述预设业务的对抗点云数据输入到所述目标模型中，得到相应的预测结果；
[0089]
模型训练模块，基于所述预测结果和针对所述预设业务的对抗点云数据对应的标签信息，通过预设的损失函数，确定相应的损失信息，基于所述损失信息对所述目标模型的模型参数进行调整，以对所述目标模型进行模型训练，得到训练后的目标模型。
[0090]
本说明书实施例提供一种对抗点云的构建装置，通过获取应用于预设业务的第一点云数据，并获取应用于第一点云数据的扰动信息，基于扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新，得到更新后的扰动信息，然后，可以基于更新后的扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第一对抗点云数据，之后，可以从扰动信息和更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个目标扰动信息分解为第一子扰动信息和第二子扰动信息，基于第一子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第三对抗点云数据，并基于第二子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第四对抗点云数据，并基于第一点云数据、第三对抗点云数据和第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据，最终，可以基于第一对抗点云数据和第五对抗点云数据构建针对预设业务的对抗点云数据，这样，提出了一种简单而有效的
攻击来增加对抗点云数据的可迁移性，具体地，提出了通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新的处理，以及对目标扰动信息进行分解产生相应的子扰动信息的处理，而不是简单地单独优化通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新的处理，因此，生成的对抗点云数据离决策边界更远，更易于进行对抗迁移，此外，还开发了一种基于抽样的方式，该方式在每次迭代中选择部分扰动信息进行随机分解以提高效率。
[0091]
实施例四
[0092]
以上为本说明书实施例提供的对抗点云的构建装置，基于同样的思路，本说明书实施例还提供一种对抗点云的构建设备，如图5所示。
[0093]
所述对抗点云的构建设备可以为上述实施例提供终端设备或服务器等。
[0094]
对抗点云的构建设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上的处理器501和存储器502，存储器502中可以存储有一个或一个以上存储应用程序或数据。其中，存储器502可以是短暂存储或持久存储。存储在存储器502的应用程序可以包括一个或一个以上模块(图示未示出)，每个模块可以包括对对抗点云的构建设备中的一系列计算机可执行指令。更进一步地，处理器501可以设置为与存储器502通信，在对抗点云的构建设备上执行存储器502中的一系列计算机可执行指令。对抗点云的构建设备还可以包括一个或一个以上电源503，一个或一个以上有线或无线网络接口504，一个或一个以上输入输出接口505，一个或一个以上键盘506。
[0095]
具体在本实施例中，对抗点云的构建设备包括有存储器，以及一个或一个以上的程序，其中一个或者一个以上程序存储于存储器中，且一个或者一个以上程序可以包括一个或一个以上模块，且每个模块可以包括对对抗点云的构建设备中的一系列计算机可执行指令，且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令：
[0096]
获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据；
[0097]
从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息；
[0098]
基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据；
[0099]
基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。
[0100]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于对抗点云的构建设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处
参见方法实施例的部分说明即可。
[0101]
本说明书实施例提供一种对抗点云的构建设备，通过获取应用于预设业务的第一点云数据，并获取应用于第一点云数据的扰动信息，基于扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新，得到更新后的扰动信息，然后，可以基于更新后的扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第一对抗点云数据，之后，可以从扰动信息和更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个目标扰动信息分解为第一子扰动信息和第二子扰动信息，基于第一子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第三对抗点云数据，并基于第二子扰动信息对第一点云数据进行扰动处理，得到第一点云数据对应的第四对抗点云数据，并基于第一点云数据、第三对抗点云数据和第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据，最终，可以基于第一对抗点云数据和第五对抗点云数据构建针对预设业务的对抗点云数据，这样，提出了一种简单而有效的攻击来增加对抗点云数据的可迁移性，具体地，提出了通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新的处理，以及对目标扰动信息进行分解产生相应的子扰动信息的处理，而不是简单地单独优化通过预设的扰动更新策略对应用于第一点云数据的扰动信息进行更新的处理，因此，生成的对抗点云数据离决策边界更远，更易于进行对抗迁移，此外，还开发了一种基于抽样的方式，该方式在每次迭代中选择部分扰动信息进行随机分解以提高效率。
[0102]
实施例五
[0103]
进一步地，基于上述图1到图3所示的方法，本说明书一个或多个实施例还提供了一种存储介质，用于存储计算机可执行指令信息，一种具体的实施例中，该存储介质可以为u盘、光盘、硬盘等，该存储介质存储的计算机可执行指令信息在被处理器执行时，能实现以下流程：
[0104]
获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据；
[0105]
从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息；
[0106]
基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据；
[0107]
基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。
[0108]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于上述一种存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参
integrated circuit hardware description language)与verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。
[0112]
控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(application specific integrated circuit，asic)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：arc 625d、atmel at91sam、microchip pic18f26k20以及silicone labs c8051f320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
[0113]
上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
[0114]
为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书一个或多个实施例时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
[0115]
本领域内的技术人员应明白，本说明书的实施例可提供为方法、系统、或计算机程序产品。因此，本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0116]
本说明书的实施例是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程欺诈案例的串并设备的处理器以产生一个机器，使得通过计算机或其他可编程欺诈案例的串并设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0117]
这些计算机程序指令也可存储在能引导计算机或其他可编程欺诈案例的串并设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0118]
这些计算机程序指令也可装载到计算机或其他可编程欺诈案例的串并设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计
算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0119]
在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
[0120]
内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
[0121]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0122]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0123]
本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0124]
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书一个或多个实施例，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0125]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0126]
以上所述仅为本说明书的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。

技术特征：
1.一种对抗点云的构建方法，所述方法包括：获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据；从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息；基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据；基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。2.根据权利要求1所述的方法，所述方法还包括：基于所述扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第二对抗点云数据；所述基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据，包括：基于第一对抗点云数据、所述第二对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。3.根据权利要求2所述的方法，所述基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据，包括：如果更新后的扰动信息处于预设的范围内，则将所述更新后的扰动信息嵌入到所述第一点云数据中，得到所述第一点云数据对应的第一对抗点云数据；如果更新后的扰动信息未处于预设的范围内，则基于所述更新后的扰动信息、所述更新后的扰动信息的范数和预设的误差参数，确定第一扰动信息，将所述第一扰动信息嵌入到所述第一点云数据中，得到所述第一点云数据对应的第一对抗点云数据。4.根据权利要求1-3中任一项所述的方法，所述方法还包括：基于迭代法线投影算法对所述第一对抗点云数据进行平滑处理，得到处理后的第一对抗点云数据。5.根据权利要求4所述的方法，所述目标函数是基于通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新的处理对应的子损失函数和对所述目标扰动信息进行分解产生相应的子扰动信息的处理对应的子损失函数构建的函数。6.根据权利要求5所述的方法，所述扰动信息是服从均值为0，方差为1的分布规律的扰动信息；所述扰动更新策略包括基于梯度下降算法构建的策略。7.根据权利要求6所述的方法，所述第一点云数据是代理模型所应用的所述预设业务中的点云数据，所述代理模型是能够实现对目标模型进行迁移攻击的模型，针对所述预设业务的对抗点云数据用于攻击所述目标模型。
8.根据权利要求7所述的方法，所述方法还包括：将针对所述预设业务的对抗点云数据输入到所述目标模型中，得到相应的预测结果；基于所述预测结果和针对所述预设业务的对抗点云数据对应的标签信息，通过预设的损失函数，确定相应的损失信息，基于所述损失信息对所述目标模型的模型参数进行调整，以对所述目标模型进行模型训练，得到训练后的目标模型。9.一种对抗点云的构建装置，所述装置包括：第一点云构建模块，获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据；扰动分解模块，从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息；第二点云构建模块，基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据；第三点云构建模块，基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。10.一种对抗点云的构建设备，所述对抗点云的构建设备包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：获取应用于预设业务的第一点云数据，并获取应用于所述第一点云数据的扰动信息，基于所述第一扰动信息和预设的目标函数，通过预设的扰动更新策略对应用于所述第一点云数据的扰动信息进行更新，得到更新后的扰动信息，并基于所述更新后的扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第一对抗点云数据；从所述扰动信息和所述更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个所述目标扰动信息分解为第一子扰动信息和第二子扰动信息；基于所述第一子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第三对抗点云数据，并基于所述第二子扰动信息对所述第一点云数据进行扰动处理，得到所述第一点云数据对应的第四对抗点云数据，并基于所述第一点云数据、所述第三对抗点云数据和所述第四对抗点云数据，根据预设的点云合成策略生成相应的第五对抗点云数据；基于第一对抗点云数据和所述第五对抗点云数据构建针对所述预设业务的对抗点云数据。

技术总结
本说明书实施例公开了一种对抗点云的构建方法、装置及设备，该方法包括：获取应用于预设业务的第一点云数据和扰动信息，基于第一扰动信息和预设的目标函数对扰动信息进行更新，并基于更新后的扰动信息对第一点云数据进行扰动处理，得到第一对抗点云数据，从扰动信息和更新后的扰动信息中选取一个或多个扰动信息作为目标扰动信息，将每个目标扰动信息分解为第一子扰动信息和第二子扰动信息，基于第一子扰动信息和第二子扰动信息分别对第一点云数据进行扰动处理，得到第三对抗点云数据和第四对抗点云数据，并基于第一点云数据、第三对抗点云数据和第四对抗点云数据合成第五对抗点云数据，进而构建针对预设业务的对抗点云数据。据。据。


技术研发人员：刘健 李建树 罗曼
受保护的技术使用者：支付宝（杭州）信息技术有限公司
技术研发日：2023.06.08
技术公布日：2023/9/6