一种基于预测攻击步长的对抗训练方法及系统与流程

1.本发明涉及人工智能安全技术领域，尤其涉及一种基于预测攻击步长的对抗训练方法及系统。


背景技术：

2.深度学习模型在图像分类领域已经取得了巨大成成功，但研究发现，深度学习模型在对抗样本面前非常脆弱，为了解决深度学习模型的这一巨大安全隐患，相继出现了各种防御手段，其中对抗训练(at)是公认最有效也是应用最为广泛的防御方法，现有对抗训练，主要分为pgd-at和fgsm-at，传统的对抗训练(at)方法，主要采用投影梯度下降(pgd)攻击算法来生成对抗样本用于训练，需要手动设计攻击算法的一系列参数，如迭代次数、最大扰动大小、迭代的攻击步长等参数，即攻击策略，其存在的一个主要的问题，由于pgd攻击算法需要迭代多次，即需要多次前向与反向传播计算模型梯度，这使得基于投影梯度下降攻击算法的对抗训练(pgd-at)的训练速度非常缓慢，即对抗训练的时间代价太大，为了解决这一问题，有人提出了使用快速梯度符号(fgsm)攻击算法来生成对抗样本用于训练，即基于快速梯度符号攻击算法的对抗训练(fgsm-at)，该方法由于只需要一次大攻击步长的迭代，即只需要一次前向与反向传播计算模型梯度，因此该方法解决了pgd-at训练速度缓慢的问题，但是出现了另外两个问题，一是fgsm-at的对抗鲁棒性远低于pgd-at，二是fgsm-at还会出现灾难性的过拟合，即通过fgsm-at训练出来的模型，对fgsm对抗攻击产生的对抗样本的预测达到了100％的精度，而对pgd等对抗攻击产生的对抗样本的预测几乎全部失败，即预测成功率为0。


技术实现要素：

3.为了解决上述技术问题，本发明的目的是提供一种基于预测攻击步长的对抗训练方法及系统，通过采用预测模型预测样本的攻击步长，进一步提高了对抗训练的对抗鲁棒性。
4.本发明所采用的第一技术方案是：一种基于预测攻击步长的对抗训练方法，包括以下步骤：
5.获取批量干净样本并输入至预测模型进行训练，输出预测比例值向量；
6.对预测比例值向量进行添加一个扰动预算步长处理，得到预测的攻击步长；
7.将批量干净样本输入至目标模型进行训练，生成对抗样本；
8.基于得到的预测的攻击步长和对抗样本对预测模型和目标模型进行联合训练，得到训练后的预测模型和训练后的目标模型。
9.进一步，所述获取批量干净样本并输入至预测模型进行训练，得到预测比例值向量这一步骤，其具体包括：
10.获取批量干净样本；
11.构建预测模型，所述预测模型包括残差块、relu激活层、平均池化层、flatten层、
全连接层和sigmoid激活层；
12.将批量干净样本输入至预测模型；
13.基于预测模型的残差块，对批量干净样本进行特征提取处理，得到批量干净样本特征向量；
14.基于预测模型的relu激活层，对批量干净样本特征向量进行非线性因素，增加批量干净样本特征向量之间的非线性关系，得到优化后的批量干净样本特征向量；
15.基于预测模型的平均池化层，对优化后的批量干净样本特征向量进行压缩处理，得到压缩后的批量干净样本特征向量；
16.基于预测模型的flatten层，对压缩后的批量干净样本特征向量进行一维化处理，得到一维的批量干净样本特征向量；
17.基于预测模型的全连接层和sigmoid激活层，对一维的批量干净样本特征向量进行分类，得到预测比例值向量。
18.进一步，所述基于预测模型的残差块，对批量干净样本进行特征提取处理，得到批量干净样本特征向量这一步骤，其具体包括：
19.构建预测模型的残差块，所述预测模型的残差块包括1
×
1卷积层、3
×
3卷积层和批量归一化层；
20.基于预测模型残差块的1
×
1卷积层对批量干净样本进行通道数扩充处理，得到扩大后的批量干净样本特征；
21.基于预测模型残差块的3
×
3卷积层对批量干净样本进行卷积运算处理，得到批量干净样本特征；
22.基于预测模型残差块的批量归一化层对批量干净样本特征进行标准化处理，得到标准化后的批量干净样本特征；
23.将扩大后的批量干净样本特征与标准化后的批量干净样本特征进行相加计算处理，得到批量干净样本特征向量。
24.进一步，所述预测攻击步长的表达式具体如下所示：
25.α(θ)＝1.25∈
×
pm
θ
(x)
26.上式中，α表示攻击步长的预测值，1.25∈表示常数值，∈表示扰动预算即超参数，θ表示预测模型的参数，x表示批量干净样本，pm
θ
(x)表示预测模型。
27.进一步，所述将批量干净样本输入至目标模型进行训练，生成对抗样本这一步骤，其具体包括：
28.对批量干净样本在[-∈～∈]之间进行添加随机初始化扰动处理，得到随机初始化结果；
[0029]
将随机初始化结果输入至目标模型进行一次前向传播训练，得到前向传播训练结果；
[0030]
根据前向传播训练结果进行反向传播训练，计算得到目标模型参数的梯度；
[0031]
提取目标模型参数的梯度符号与预测的攻击步长进行相乘处理，得到相乘结果；
[0032]
将计算得到相乘结果与随机初始化扰动进行相加计算处理，得到相加计算结果；
[0033]
将相加计算结果投影至[-∈～∈]之间，得到对抗样本。
[0034]
进一步，所述生成对抗样本的表达式具体如下所示：
[0035][0036]
上式中，x+δ表示生成对抗样本，η表示随机初始化值，表示目标模型参数的梯度符号，x+η表示批量干净样本x进行随机初始化得到的结果。
[0037]
进一步，所述基于得到的预测的攻击步长和对抗样本对预测模型和目标模型进行联合训练，得到训练后的预测模型和训练后的目标模型这一步骤，其具体包括：
[0038]
循环遍历n，i＝0,...,n-1，其中，i表示对训练集的第i+1次遍历，n表示训练集用于训练的次数；
[0039]
循环遍历b，j＝0,...,b-1，其中，j表示对第j+1个批量进行训练，b表示一个批量的大小即一次训练的最小样本数；
[0040]
计算η
ij
，其中，η
ij
表示对训练集第i+1次遍历的第j+1个批量的随机初始化值；
[0041]
若imodk＝0，则；
[0042]
通过α(θ)＝1.25∈
×
pm
θ
(x
ij
)，计算x
ij
的攻击步长α(θ)；
[0043]
通过计算对抗扰动δ(θ)；
[0044]
通过更新预测模型的参数θ；
[0045]
通过α＝1.25∈
×
pm
θ
(x
ij
)，计算x
ij
的攻击步长α；
[0046]
通过计算对抗扰动δ；
[0047]
通过更新目标模型的参数w；
[0048]
基于更新后的预测模型参数和更新后的目标模型参数，构建训练后的预测模型和训练后的目标模型。
[0049]
进一步，所述预测模型和目标模型的预设联合训练目标的表达式具体如下所示：
[0050][0051]
上式中，w表示目标模型的参数，l(
·
)表示目标模型的损失函数，d表示批量干净样本构建的训练集，e
(x,y)～d
表示在(x,y)～d这一分布下目标模型损失的期望值，y表示干净样本对应的标签。
[0052]
本发明所采用的第二技术方案是：一种基于预测攻击步长的对抗训练系统，包括：
[0053]
预测训练模块，用于获取批量干净样本并输入至预测模型进行训练，输出预测比例值向量；
[0054]
添加扰动模块，用于对预测比例值向量进行添加一个扰动预算步长处理，得到预测的攻击步长；
[0055]
目标训练模块，用于将批量干净样本输入至目标模型进行训练，生成对抗样本；
[0056]
联合训练模块，基于得到的预测的攻击步长和对抗样本对预测模型和目标模型进行联合训练，得到训练后的预测模型和训练后的目标模型。
[0057]
本发明方法及系统的有益效果是：本发明通过预测模型获取一个预测比例值向量，再对预测比例值向量进行添加一个扰动预算步长处理，采用预测模型预测样本的攻击步长，而不是使用固定的大攻击步长，从而解决了现有的fgsm-at中的灾难性过拟合问题，同时也大幅提供了模型的对抗鲁棒性，进一步使用的目标模型生成对抗样本方法只需要进
行一次前向与反向传播计算梯度就能生成良好的对抗样本，可以有效降低对抗训练的时间成本。
附图说明
[0058]
图1是本发明一种基于预测攻击步长的对抗训练方法的步骤流程图；
[0059]
图2是本发明一种基于预测攻击步长的对抗训练系统的结构框图；
[0060]
图3是本发明基于预测模型进行攻击步长预测的流程示意图；
[0061]
图4是本发明对抗样本生成的流程示意图。
具体实施方式
[0062]
下面结合附图和具体实施例对本发明做进一步的详细说明。对于以下实施例中的步骤编号，其仅为了便于阐述说明而设置，对步骤之间的顺序不做任何限定，实施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。
[0063]
参照图1，本发明提供了一种基于预测攻击步长的对抗训练方法，该方法包括以下步骤：
[0064]
s1、获取批量干净样本并输入至预测模型进行训练，输出预测比例值向量；
[0065]
具体地，预测模型(pm)由一个残差块和一个全连接层构成，残差块由一个3
×
3的卷积层、一个批量归一化、一个1
×
1的卷积层构成，经过残差块后需要通过relu激活、平均池化、以及flatten层，然后通过全连接层，最后通过sigmoid激活层得到预测比例值r；
[0066]
基于预测模型的残差块，对批量干净样本进行特征提取处理，得到批量干净样本特征向量；基于预测模型的relu激活层，对批量干净样本特征向量进行非线性因素，增加批量干净样本特征向量之间的非线性关系，得到优化后的批量干净样本特征向量；基于预测模型的平均池化层，对优化后的批量干净样本特征向量进行压缩处理，得到压缩后的批量干净样本特征向量；基于预测模型的flatten层，对压缩后的批量干净样本特征向量进行一维化处理，得到一维的批量干净样本特征向量；基于预测模型的全连接层和sigmoid激活层，对一维的批量干净样本特征向量进行分类，得到预测比例值向量；
[0067]
其中，所述预测模型的残差块包括1
×
1卷积层、3
×
3卷积层和批量归一化层；基于预测模型残差块的1
×
1卷积层对批量干净样本进行通道数扩充处理，得到扩大后的批量干净样本特征；基于预测模型残差块的3
×
3卷积层对批量干净样本进行卷积运算处理，得到批量干净样本特征；基于预测模型残差块的批量归一化层对批量干净样本特征进行标准化处理，得到标准化后的批量干净样本特征；将扩大后的批量干净样本特征与标准化后的批量干净样本特征进行相加计算处理，得到批量干净样本特征向量。
[0068]
s2、对预测比例值向量进行添加一个扰动预算步长处理，得到预测的攻击步长；
[0069]
具体地，一个批量的干净样本x通过预测模型的到对应的预测攻击步长的流程如图3所示，预测模型的输出为r，然后r与常数值1.25∈相乘得到攻击步长的预测值α，得到的α是一个向量，其长度为批量的大小，即每个样本都会预测出不同的攻击步长，且因为目标模型和预测模型的参数会随着训练的进行而不断更新，所以同一个样本经过预测模型预测的攻击步长会随着训练的进行而改变；
[0070]
所述预测攻击步长的表达式具体如下所示：
[0071]
α(θ)＝1.25∈
×
pm
θ
(x)
[0072]
上式中，α表示攻击步长的预测值，1.25∈表示常数值，∈表示扰动预算即超参数，θ表示预测模型的参数，x表示批量干净样本，pm
θ
(x)表示预测模型；
[0073]
即本发明提出了一种预测模型，干净样本作为输入，得到一个比例值(范围0～1)，然后与扰动预算(∈)的1.25倍相乘得到预测的攻击步长(α)，而fgsm-at的攻击步长固定就是1.25倍∈，采用预测模型预测样本的攻击步长，而不是使用固定的大攻击步长，从而解决了fgsm-at中的灾难性过拟合问题，同时也大幅提供了模型的对抗鲁棒性。
[0074]
s3、将批量干净样本输入至目标模型进行训练，生成对抗样本；
[0075]
具体地，目标模型可以是任何图片分类的深度卷积神经网络模型，如vggnet、googlenet、resnet和mobilenet等；
[0076]
参照图4，批量干净样本x在[-∈～∈]之间进行随机初始化得x+η，然后将x+η输入到目标模型(tm)进行一次前向传播，然后进行反向传播(bp)计算得到目标模型参数的梯度符号，记为然后与预测模型预测出来的攻击步长α相乘，相乘所得结果与随机初始化值η相加，然后将相加后的结果投影(限制)到[-∈～∈]得到对抗扰动δ，x+δ即为对抗样本；
[0077]
所述生成对抗样本的表达式具体如下所示：
[0078][0079]
上式中，x+δ表示生成对抗样本，η表示随机初始化值，表示目标模型参数的梯度符号，x+η表示批量干净样本x进行随机初始化得到的结果。
[0080]
s4、基于得到的预测的攻击步长和对抗样本对预测模型和目标模型进行联合训练，得到训练后的预测模型和训练后的目标模型。
[0081]
具体地，目标模型与预测模型进行联合训练，训练预测模型的目的是更新预测模型的参数(θ)使得目标模型的损失增大，训练目标模型的目的是更新目标模型的参数(w)使得目标模型的随时最小，联合训练的目标可以定义为：
[0082][0083]
上式中，w表示目标模型的参数，l(
·
)表示目标模型的损失函数，d表示批量干净样本构建的训练集，e
(x,y)～d
表示在(x,y)～d这一分布下目标模型损失的期望值，y表示干净样本对应的标签。
[0084]
进一步对来联合训练的参数进行说明，超参数：n表示训练集用于训练的次数；b表示一个批量的大小(即一次训练的最小样本数)；∈表示扰动预算；k表示预测模型与目标模型联合训练的频次，即训练一次预测模型后，需要训练k次目标模型才会进行下一次预测模型的训练，其他描述符说明：pm
θ
(
·
)表示预测模型，θ表示其参数；x表示训练集中的样本，y表示其对应的标签；∏
[-∈,∈]
[
·
]表示将[]括号中的计算结果投影至[-∈～∈]之间；l(x+η,y；w)表示计算目标模型的损失；
[0085]
基于预测攻击步长的对抗训练方法的算法逻辑的具体步骤为：
[0086]
s41、for循环遍历n，i＝0,...,n-1，i表示对训练集的第i+1次遍历；
[0087]
s42、for循环遍历b，j＝0,...,b-1，j表示对第j+1个批量进行训练；
[0088]
s43、计算η
ij
，η
ij
表示对训练集第i+1次遍历的第j+1个批量的随机初始化值，若imodk＝0，则；
[0089]
s44、通过α(θ)＝1.25∈
×
pm
θ
(x
ij
)，计算x
ij
的攻击步长α(θ)；
[0090]
s45、通过计算对抗扰动δ(θ)；
[0091]
s46、通过更新预测模型的参数θ；
[0092]
s47、通过α＝1.25∈
×
pm
θ
(x
ij
)，计算x
ij
的攻击步长α；
[0093]
s48、通过计算对抗扰动δ；
[0094]
s49、通过更新目标模型的参数w；
[0095]
干净样本的训练集(d)以批量为单位训练，均分成m个批量用于对抗训练，对抗训练会对样本集进行n次扫描，n＝1,
…
,n表示此时对d进行第n次扫描，i＝0,
…
,m-1表示正在参与训练的是第i个批量，k表示每训练一次预测模型后要训练k次目标模型，l为目标模型的损失函数，步骤s44至s46是对预测模型进行训练，利用梯度上升算法更新预测模型的参数使得目标模型的损失增大，即增大l，步骤s47至s49是对目标模型进行训练，利用梯度下降算法更新目标模型的参数使得目标模型的损失减小，即减小l，在这种博弈机制下，训练得到的目标模型的抗对抗攻击的能力非常强，不仅能抵御低对抗攻击(如fgsm)，而且能抵御各种各样的强对抗攻击(如pgd、autoattack等)；
[0096]
即本发明提出一种新颖的模型对抗训练的方式，目标模型与预测模型进行联合训练，设计了一个超参数k，目标模型训练k次，每次拿一个批量(默认为128)的干净样本，通过预测模型得到的攻击步长，运用于fgsm对抗攻击，得到该批量的对抗样本用于训练目标模型，更新目标模型参数使目标模型损失减小，每更新完k次目标模型的参数后，更新一次预测模型的参数使目标模型损失增大，在这种对抗训练机制下，最终预测模型预测出来的攻击步长会变得越来越有效，目标模型的鲁棒性也会越来越强，即不仅仅能抵御fgsm攻击，还能抵御各种各样的强对抗攻击算法，如pgd、auto attack等。
[0097]
本发明的仿真模拟实验过程具体如下所示：
[0098]
数据集cifar-10，cifar-10有50000张训练集和10000张测试集，图片大小为32
×
32
×
3，本发明采用cifar-10的训练集用于训练，采用测试集用于验证；
[0099]
目标模型使用resnet18，训练执行110个epoch，批量大小为128，目标模型的初始学习率为0.1，动量值为0.9，权重衰退为0.0005，分别在第100与第105个epoch时对学习率乘以0.1，∈设为8/255；
[0100]
fgsm-at的攻击步长α设为10/255，pgd-at的α设为2/255，迭代次数为10，在本发明提出的方法中的超参数k设置为20，预测模型的学习率采用固定值0.0003；
[0101]
本发明方法训练出来的目标模型在测试集上进行预测的结果与现有的fgsm-at和pgd-at对比，数据如下表所示，其中所有实验均是用两块tesla p100进行。
[0102]
表1本发明方法预测的结果与现有的fgsm-at和pgd-at对比数据表
[0103]
methodcleanpgd-10pgd-20pgd-50autoattacktime(h)fgsm-at79.530.190.060.020.001.26
pgd-at82.7850.6349.5649.3445.475.34ours86.3150.8449.9949.5746.441.05
[0104]
上表中的实验结果表明，本发明提出的方法训练出来的目标模型的对抗鲁棒性是最好的，同时时间消耗也是最少的。
[0105]
参照图2，一种基于预测攻击步长的对抗训练系统，包括：
[0106]
预测训练模块，用于获取批量干净样本并输入至预测模型进行训练，输出预测比例值向量；
[0107]
添加扰动模块，用于对预测比例值向量进行添加一个扰动预算步长处理，得到预测的攻击步长；
[0108]
目标训练模块，用于将批量干净样本输入至目标模型进行训练，生成对抗样本；
[0109]
联合训练模块，基于得到的预测的攻击步长和对抗样本对预测模型和目标模型进行联合训练，得到训练后的预测模型和训练后的目标模型。
[0110]
如今图像分类模型的应用十分广泛，如百度app通过将图像分类模型嵌入其中，可以通过拍照识别出图片中的物品，但一般的图像分类模型，即不使用对抗样本训练的模型，在对图像添加一些难以察觉的扰动后，会使得图像分类模型分类结果出现很大的偏差，即可能出现，例如在大熊猫图片中添加一些微小的扰动，使得图片被分类成了长臂猿，本方案得到的目标模型，可以用于替换一般的图像分类模型，以提高图像分类软件的健壮，本方案中的预测模型用于辅助目标模型的训练，训练好的目标模型可以用于图像分类软件，以实现更加健壮的图像分类软件。
[0111]
上述方法实施例中的内容均适用于本系统实施例中，本系统实施例所具体实现的功能与上述方法实施例相同，并且达到的有益效果与上述方法实施例所达到的有益效果也相同。
[0112]
以上是对本发明的较佳实施进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换，这些等同的变形或替换均包含在本技术权利要求所限定的范围内。

技术特征：
1.一种基于预测攻击步长的对抗训练方法，其特征在于，包括以下步骤：获取批量干净样本并输入至预测模型进行训练，输出预测比例值向量；对预测比例值向量进行添加一个扰动预算步长处理，得到预测的攻击步长；将批量干净样本输入至目标模型进行训练，生成对抗样本；基于得到的预测的攻击步长和对抗样本对预测模型和目标模型进行联合训练，得到训练后的预测模型和训练后的目标模型。2.根据权利要求1所述一种基于预测攻击步长的对抗训练方法，其特征在于，所述获取批量干净样本并输入至预测模型进行训练，得到预测比例值向量这一步骤，其具体包括：获取批量干净样本；构建预测模型，所述预测模型包括残差块、relu激活层、平均池化层、flatten层、全连接层和sigmoid激活层；将批量干净样本输入至预测模型；基于预测模型的残差块，对批量干净样本进行特征提取处理，得到批量干净样本特征向量；基于预测模型的relu激活层，对批量干净样本特征向量进行非线性因素，增加批量干净样本特征向量之间的非线性关系，得到优化后的批量干净样本特征向量；基于预测模型的平均池化层，对优化后的批量干净样本特征向量进行压缩处理，得到压缩后的批量干净样本特征向量；基于预测模型的flatten层，对压缩后的批量干净样本特征向量进行一维化处理，得到一维的批量干净样本特征向量；基于预测模型的全连接层和sigmoid激活层，对一维的批量干净样本特征向量进行分类，得到预测比例值向量。3.根据权利要求2所述一种基于预测攻击步长的对抗训练方法，其特征在于，所述基于预测模型的残差块，对批量干净样本进行特征提取处理，得到批量干净样本特征向量这一步骤，其具体包括：构建预测模型的残差块，所述预测模型的残差块包括1
×
1卷积层、3
×
3卷积层和批量归一化层；基于预测模型残差块的1
×
1卷积层对批量干净样本进行通道数扩充处理，得到扩大后的批量干净样本特征；基于预测模型残差块的3
×
3卷积层对批量干净样本进行卷积运算处理，得到批量干净样本特征；基于预测模型残差块的批量归一化层对批量干净样本特征进行标准化处理，得到标准化后的批量干净样本特征；将扩大后的批量干净样本特征与标准化后的批量干净样本特征进行相加计算处理，得到批量干净样本特征向量。4.根据权利要求3所述一种基于预测攻击步长的对抗训练方法，其特征在于，所述预测攻击步长的表达式具体如下所示：α(θ)＝1.25∈
×
pm
θ
(x)上式中，α表示攻击步长的预测值，1.25∈表示常数值，∈表示扰动预算即超参数，θ表
示预测模型的参数，x表示批量干净样本，pm
θ
(x)表示预测模型。5.根据权利要求4所述一种基于预测攻击步长的对抗训练方法，其特征在于，所述将批量干净样本输入至目标模型进行训练，生成对抗样本这一步骤，其具体包括：对批量干净样本在[-∈～∈]之间进行添加随机初始化扰动处理，得到随机初始化结果；将随机初始化结果输入至目标模型进行一次前向传播训练，得到前向传播训练结果；根据前向传播训练结果进行反向传播训练，计算得到目标模型参数的梯度；提取目标模型参数的梯度符号与预测的攻击步长进行相乘处理，得到相乘结果；将计算得到相乘结果与随机初始化扰动进行相加计算处理，得到相加计算结果；将相加计算结果投影至[-∈～∈]之间，得到对抗样本。6.根据权利要求5所述一种基于预测攻击步长的对抗训练方法，其特征在于，所述生成对抗样本的表达式具体如下所示：上式中，x+δ表示生成对抗样本，η表示随机初始化值，表示目标模型参数的梯度符号，x+η表示批量干净样本x进行随机初始化得到的结果。7.根据权利要求6所述一种基于预测攻击步长的对抗训练方法，其特征在于，所述基于得到的预测的攻击步长和对抗样本对预测模型和目标模型进行联合训练，得到训练后的预测模型和训练后的目标模型这一步骤，其具体包括：循环遍历n，i＝0,...,n-1，其中，i表示对训练集的第i+1次遍历，n表示训练集用于训练的次数；循环遍历b，j＝0,...,b-1，其中，j表示对第j+1个批量进行训练，b表示一个批量的大小即一次训练的最小样本数；计算η
ij
，其中，η
ij
表示对训练集第i+1次遍历的第j+1个批量的随机初始化值；若imodk＝0，则；通过α(θ)＝1.25∈
×
pm
θ
(x
ij
)，计算x
ij
的攻击步长α(θ)；通过计算对抗扰动δ(θ)；通过更新预测模型的参数θ；通过α＝1.25∈
×
pm
θ
(x
ij
)，计算x
ij
的攻击步长α；通过计算对抗扰动δ；通过更新目标模型的参数w；基于更新后的预测模型参数和更新后的目标模型参数，构建训练后的预测模型和训练后的目标模型。8.根据权利要求7所述一种基于预测攻击步长的对抗训练方法，其特征在于，所述预测模型和目标模型的预设联合训练目标的表达式具体如下所示：上式中，w表示目标模型的参数，l(
·
)表示目标模型的损失函数，d表示批量干净样本
构建的训练集，e
(x,y)～d
表示在(x,y)～d这一分布下目标模型损失的期望值，y表示干净样本对应的标签。9.一种基于预测攻击步长的对抗训练系统，其特征在于，包括以下模块：预测训练模块，用于获取批量干净样本并输入至预测模型进行训练，输出预测比例值向量；添加扰动模块，用于对预测比例值向量进行添加一个扰动预算步长处理，得到预测的攻击步长；目标训练模块，用于将批量干净样本输入至目标模型进行训练，生成对抗样本；联合训练模块，基于得到的预测的攻击步长和对抗样本对预测模型和目标模型进行联合训练，得到训练后的预测模型和训练后的目标模型。

技术总结
本发明公开了一种基于预测攻击步长的对抗训练方法及系统，该方法包括：获取批量干净样本并输入至预测模型进行训练，输出预测比例值向量；对预测比例值向量进行添加一个扰动预算步长处理，得到预测的攻击步长；将批量干净样本输入至目标模型进行训练，生成对抗样本；基于得到的预测的攻击步长和对抗样本对预测模型和目标模型进行联合训练，得到训练后的预测模型和训练后的目标模型。本发明通过采用预测模型预测样本的攻击步长，进一步提高了对抗训练的对抗鲁棒性。本发明作为一种基于预测攻击步长的对抗训练方法及系统，可广泛应用于人工智能安全技术领域。工智能安全技术领域。工智能安全技术领域。


技术研发人员：柳毅 杨时康 黎阳 谢嘉乐 巫朝平 毕玲滢 余家丽
受保护的技术使用者：佳都科技集团股份有限公司
技术研发日：2023.04.28
技术公布日：2023/7/27