本发明公开了一种基于梯度的对抗样本生成方法与系统,包括：获取原始图像样本和待攻击的神经网络模型；将原始图像样本输入神经网络模型,根据交叉熵损失函数获取原始图像样本的损失信息；根据损失信息得到对应的梯度符号矩阵并生成扰动信息,采用扰动信息对原始图像样本添加扰动,得到第一噪声图像样本；对第一噪声图像样本进行过滤操作和剪切操作,得到第二噪声图像样本；判断第二噪声图像样本是否满足对抗样本的要求,若未满足将其输入神经网络模型进行下一轮迭代,反之将其作为对抗样本并停止迭代。本发明可生成攻击成功率更高且噪声可见性更小的对抗样本,来增强神经网络模型抵御对抗攻击的能力。

• 单位
  华南理工大学