(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111678925.8 (22)申请日 2021.12.31 (65)同一申请的已公布的文献号 申请公布号 CN 114444579 A (43)申请公布日 2022.05.06 (73)专利权人 北京瑞莱智慧科技有限公司 地址 100084 北京市海淀区清华科技园科 技大厦A座19层 (72)发明人 田天　其他发明人请求 不公开姓名　 (74)专利代理 机构 北京中强智尚知识产权代理 有限公司 1 1448 专利代理师 贾依娇 (51)Int.Cl. G06V 10/764(2022.01) G06V 10/774(2022.01)(56)对比文件 CN 110245598 A,2019.09.17 CN 111930634 A,2020.1 1.13 审查员 宋泽宇 (54)发明名称 通用扰动获取方法、 装置、 存储介质及计算 机设备 (57)摘要 本申请实施例涉及图像处理领域， 并提供了 一种通用扰动获取方法、 装置、 存储介质及计算 机设备。 其中方法包括： 获取样本图像集， 所述样 本图像集包括多个样本图像； 将所述多个样本图 像分别与原始图像进行比对， 获取变换矩阵特征 的概率分布； 根据所述变换矩阵特征的概率分布 构建图像分类模 型的损失函数； 将所述样本图像 集输入所述图像 分类模型， 得到各样本图像的预 测结果； 根据各样本图像的预测结果确定攻击参 数值大于 预设攻击参数值的目标扰动噪声； 将所 述目标扰动噪声作为目标通用扰动并输出。 上述 方法能够有效提高通用扰动攻击的鲁棒 性。 权利要求书4页 说明书16页 附图4页 CN 114444579 B 2022.10.28 CN 114444579 B 1.一种通用扰动获取 方法， 其特 征在于， 所述方法包括： 获取样本图像集， 所述样本图像集包括多个样本图像； 将所述多个样本图像分别与原 始图像进行比对， 获取变换矩阵特 征的概率分布； 根据所述变换矩阵特 征的概率分布构建图像分类模型的损失函数； 将所述样本图像集输入所述图像分类模型， 得到各样本图像的预测结果； 根据各样本图像的预测结果确定攻击参数值大于预设攻击参数值的目标扰动噪声； 将所述目标扰动噪声作为目标通用扰动并输出； 所述将所述样本图像集输入图像分类模型， 得到各样本图像的预测结果， 包括： 将初始扰动添加到第一样本图像后， 输入图像分类模型； 获取所述图像分类模型的第一预测结果； 若所述第一预测结果为失败， 则获取历史扰动噪声， 以及从所述样本 图像集中选择候 选样本图像； 将所述历史扰动噪声添加到所述 候选样本图像后， 输入所述图像分类模型； 获取所述图像分类模型的第二预测结果； 所述根据所述变换矩阵特 征的概率分布构建图像分类模型的损失函数， 包括： 根据所述变换矩阵特征的概率分布， 抽取多个变换矩阵特征， 并根据所述多个变换矩 阵特征， 生成多个 变换函数； 根据所述变换函数以及所述 概率分布的期望， 构建所述损失函数。 2.根据权利要求1所述的方法， 其特征在于， 所述历史扰动噪声包括历史样本图像输入 所述图像分类模型后对应的历史预测结果为 失败时生成的扰动噪声， 以及所述第一样本图 像输入所述图像分类模型后对应的第一预测结果 为失败时生成的扰动噪声； 所述根据各样本图像的预测结果确定攻击参数值大于预设攻击参数值的目标扰动噪 声； 将所述目标扰动噪声作为目标通用扰动， 包括： 若所述第二预测结果为失败， 则将所述第 二预测结果对应的扰动噪声更新到所述历史 扰动噪声中， 直至攻击参数值大于预设攻击参数值， 则将大于所述预设攻击参数值时获取 的历史扰动噪声输出并作为所述目标通用扰动。 3.根据权利要求2所述的方法， 其特征在于， 所述将所述第 二预测结果对应的扰动噪声 更新到所述历史扰动噪声中， 包括： 根据所述第二预测结果和所述 候选样本图像对应的实际结果， 构建预测损失函数； 根据所述候选样本图像与 添加历史扰动噪声后的候选样本图像之间的距离， 构建距离 损失函数； 基于所述距离损失函数对应的权重参数， 将所述预测损失函数与所述距离损失函数相 减； 当预测损失函数与 所述距离损失函数的差值达到最大时， 输出所述第 二预测结果对应 的扰动噪声， 并将所述第二预测结果对应的扰动噪声更新到所述历史扰动噪声中。 4.根据权利要求2所述的方法， 其特征在于， 在所述将所述第 二预测结果对应的扰动噪 声更新到所述历史扰动噪声中之前， 所述方法还 包括： 对所述第二预测结果对应的扰动噪声 进行扰动范 数限制， 得到限制后的扰动噪声； 所述将所述第二预测结果对应的扰动噪声更新到所述历史扰动噪声中， 包括：权　利　要　求　书 1/4 页 2 CN 114444579 B 2将所述第二预测结果对应的限制后的扰动噪声更新到所述历史扰动噪声中。 5.根据权利要求4所述的方法， 其特征在于， 所述对所述第 二预测结果对应的扰动噪声 进行扰动范 数限制， 得到限制后的扰动噪声， 包括： 将与所述第二预测结果对应的扰动噪声的范数距离最小的扰动噪声， 确定为所述限制 后的扰动噪声， 其中， 所述范 数距离最小的扰动噪声满足预设扰动范 数限制。 6.根据权利要求2至5任一项所述的方法， 其特征在于， 在所述直至攻击参数值大于预 设攻击参数值， 则将大于所述预设攻击参数值时获取的历史扰动噪声输出并作为所述目标 通用扰动之前， 所述方法还 包括： 根据所述各样本图像的预测结果， 确定攻击成功的样本图像数量； 根据所述攻击成功的样本图像数量和所述样本图像集对应的总样本图像数量， 计算针 对所述样本图像集的攻击参数值。 7.根据权利要求1至5任一项所述的方法， 其特征在于， 所述根据所述变换矩阵特征的 概率分布构建图像分类模型的损失函数， 包括： 根据所述变换矩阵特 征的概率分布， 随机获取变换矩阵特 征； 基于获取的所述变换矩阵特 征， 构建图像分类模型的损失函数。 8.根据权利要求7 所述的方法， 其特 征在于， 所述方法还 包括： 若不存在所述攻击参数值大于所述预设攻击参数值的目标扰动噪声， 则根据 所述变换 矩阵特征的概率分布， 重新获取变换矩阵特 征； 基于重新获取的所述变换矩阵特 征， 构建所述图像分类模型的损失函数。 9.根据权利要求1至 5任一项所述的方法， 其特 征在于， 所述方法还 包括： 将所述样本图像集对应的子图像集输入所述图像分类模型， 得到所述子图像集中各样 本图像的预测结果； 根据所述子图像集中各样本图像的预测结果确定攻击参数值大于预设攻击参数值的 目标扰动噪声。 10.一种通用扰动获取装置， 其特 征在于， 包括： 输入输出模块， 用于获取样本图像集， 所述样本图像集包括多个样本图像； 处理模块， 用于将所述多个样本 图像分别与原始图像进行比对， 获取变换矩阵特征的 概率分布； 根据所述变换矩阵特征 的概率分布构建图像分类模型 的损失函数； 将所述样本 图像集输入所述图像分类模型， 得到各样本图像的预测结果； 根据各样本图像的预测结果 确定攻击参数值大于预设攻击参数值的目标扰动噪声； 将所述目标扰动噪声作为目标通用 扰动并输出； 所述处理模块， 具体用于将初始扰动添加到第 一样本图像后， 输入图像分类模型； 获取 所述图像分类模型的第一预测结果； 若 所述第一预测结果为 失败， 则获取历史扰动噪声， 以 及从所述样本图像集中选择候选样本图像； 将所述历史扰动噪声 添加到所述候选样本图像 后， 输入所述图像分类模型； 获取 所述图像分类模型的第二预测结果； 所述处理模块， 还用于根据 所述变换矩阵特征的概率分布， 抽取多个变换矩阵特征， 并 根据所述多个 变换矩阵特 征， 生成多个 变换函数； 根据所述变换函数以及所述 概率分布的期望， 构建所述损失函数。 11.根据权利要求10所述的装置， 其特 征在于，权　利　要　求　书 2/4 页 3 CN 114444579 B 3