(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211138059.8 (22)申请日 2022.09.19 (71)申请人 西安交通大 学 地址 710049 陕西省西安市碑林区咸宁西 路28号 (72)发明人 蔺琛皓　杨雨龙　沈超　李前　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 专利代理师 李鹏威 (51)Int.Cl. G06V 10/776(2022.01) G06V 10/774(2022.01) G06V 10/764(2022.01) G06V 10/82(2022.01) G06N 3/04(2006.01)G06N 3/08(2006.01) (54)发明名称 深度学习模型的对抗鲁棒性测评方法及相 关装置 (57)摘要 本发明属于深度学习安全领域， 公开了一种 深度学习模型的对抗鲁棒性测评方法及相关装 置， 包括获取与待测评深度学习模 型功能相同的 预训练量化替代模型； 获取预训练量化替代模型 的类型， 并根据预训练量化替代模型的类型， 在 预训练量化替代模型中引入随机量化操作， 得到 预处理替代模型； 获取若干图像样本， 并根据预 处理替代模 型， 通过迁移对抗攻击算法得到若干 对抗图像样 本； 将若干对抗图像样 本输入至待测 评深度学习模型， 得到若干对抗图像样本的输 出， 并根据若干对抗图像样本的输出， 得到待测 评深度学习模 型的对抗鲁棒性测评结果。 通过引 入随机量化操作实现对抗样本迁移性的提升， 能 够最大限度地暴露对抗样本安全风险， 提升对抗 鲁棒性测评的可靠性。 权利要求书2页 说明书8页 附图2页 CN 115393675 A 2022.11.25 CN 115393675 A 1.一种深度学习模型的对抗鲁棒 性测评方法， 其特 征在于， 包括： 获取与待测评深度学习模型功能相同的预训练量 化替代模型； 获取预训练量化替代模型的类型， 并根据预训练量化替代模型的类型， 在预训练量化 替代模型中引入随机量 化操作， 得到预处 理替代模型； 获取若干 图像样本， 并根据预处理替代模型， 通过迁移对抗攻击算法得到若干对抗图 像样本； 将若干对抗图像样本输入至待测评深度学习模型， 得到若干对抗图像样本的输出， 并 根据若干对抗图像样本的输出， 得到待测评深度学习模型的对抗鲁棒 性测评结果。 2.根据权利要求1所述的深度 学习模型的对抗鲁棒性测评方法， 其特征在于， 所述获取 与待测评深度学习模型功能相同的预训练量 化替代模型包括： 获取与待测评深度学习 模型具有同一分类目标， 且在与待测评深度学习 模型的数据集 相同的数据集或相似度小于预设值的数据集上基于模拟量化技术训练的深度学习模型， 得 到预训练量 化替代模型。 3.根据权利要求2所述的深度 学习模型的对抗鲁棒性测评方法， 其特征在于， 所述预训 练量化替代模型的类型包括： 基于模拟量化技术的量化感知训练模型和基于模拟量化技术 的后训练量 化模型。 4.根据权利要求3所述的深度 学习模型的对抗鲁棒性测评方法， 其特征在于， 当预训练 量化替代模型的类型为基于模拟量化技术训练的量化感知训练模型时， 所述在预训练量化 替代模型中引入随机量 化操作包括： 在预训练量化替代模型每一轮前向传播之前， 随机选取一个深度值， 使预训练量化替 代模型在所述深度值之前的所有层使用全精度激活值， 在所述深度值之后的所有层使用量 化激活值， 且预训练量 化替代模型 所有层均采用量 化权重。 5.根据权利要求4所述的深度 学习模型的对抗鲁棒性测评方法， 其特征在于， 所述根据 预处理替代模型， 通过迁移对抗 攻击算法得到若干对抗图像样本前， 还 包括： 获取预训练量 化替代模型的训练集； 通过预训练量化替代模型的训练集训练预处理替代模型， 至训练预处理替代模型的准 确率不低于预设的准确率阈值。 6.根据权利要求3所述的深度 学习模型的对抗鲁棒性测评方法， 其特征在于， 当预训练 量化替代模型的类型为基于模拟量化技术的后训练量化模型时， 所述在预训练量化替代模 型中引入随机量 化操作包括： 在预训练量化替代模型每一轮前向传播之前， 随机选择是否使用量化， 如果使用量化， 则预训练量化替代模型所有层均采用量化权重和量化激活值； 如果不使用量化， 则预训练 量化替代模型 所有层均采用原 始权重和原始激活值。 7.根据权利要求1所述的深度 学习模型的对抗鲁棒性测评方法， 其特征在于， 所述通过 迁移对抗 攻击算法得到若干对抗图像样本包括： 将各图像样本均迭代进行扰动步骤至预定迭代次数， 得到若干对抗图像样本； 其中， 扰 动步骤包括： 输入图像样本至预 处理替代模型， 得到图像样本的输出损失值， 并通过反向传 播机制计算输出损失值关于图像样本的梯度矩阵， 以及以所述梯度矩阵为扰动方向， 将图 像样本叠加一个预设步长的扰动。权　利　要　求　书 1/2 页 2 CN 115393675 A 28.一种深度学习模型的对抗鲁棒 性测评系统， 其特 征在于， 包括： 获取模块， 用于获取与待测评深度学习模型功能相同的预训练量 化替代模型； 预处理模块， 用于获取预训练量化替代模型的类型， 并根据预训练量化替代模型的类 型， 在预训练量 化替代模型中引入随机量 化操作， 得到预处 理替代模型； 生成模块， 用于获取若干图像样本， 并根据 预处理替代模型， 通过迁移对抗攻击算法得 到若干对抗图像样本； 测评模块， 用于将若干对抗图像样本输入至待测评深度学习模型， 得到若干对抗图像 样本的输出， 并根据若干对抗图像样本的输出， 得到待测评深度学习模型 的对抗鲁棒性测 评结果。 9.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器 上运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1至 7任一项所述深度学习模型的对抗鲁棒 性测评方法的步骤。 10.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于， 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述深度学习模型的对抗 鲁棒性测评方法的步骤。权　利　要　求　书 2/2 页 3 CN 115393675 A 3