(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211141577.5 (22)申请日 2022.09.20 (71)申请人 中南大学 地址 410083 湖南省长 沙市岳麓区麓山 南 路932号 (72)发明人 何文勇　鲁鸣鸣　宁瑞鸿　 (74)专利代理 机构 长沙永星专利商标事务所 (普通合伙) 43001 专利代理师 周咏　米中业 (51)Int.Cl. G06N 20/00(2019.01) G06F 17/14(2006.01) G06K 9/62(2022.01) (54)发明名称 基于时间序列预测对抗攻击的机器学习模 型评价方法 (57)摘要 本发明公开了一种基于时间序列预测对抗 攻击的机器学习模型评价方法， 包括获取待评价 的机器学习模 型； 获取待评价的机器学习模型的 正常输出数据； 生成每一个标准样本的扰动； 将 扰动转换到频域； 按照设定的阈值滤除高频分 量； 将频域扰动转换到时域； 将时域扰动叠加到 标准样本得到生成对抗样本； 将生成对抗样本输 入到待评价的机器学习模型得到异常输出数据； 计算正常输出数据和异常输出数据之间距离； 根 据距离值对待评价的机器学习模型进行性能判 定。 本发明设计了一种扰动值更小且 更加不易被 发现的扰动攻击序列， 并采用该序列进行机器学 习模型评价； 因此本发明能够在更加严苛和残酷 的环境下对机器学习模型评价， 而且可靠性高、 科学性好且稳定安全。 权利要求书2页 说明书5页 附图3页 CN 115222062 A 2022.10.21 CN 115222062 A 1.一种基于时间序列 预测对抗攻击的机器学习 模型评价方法， 其特征在于包括如下步 骤： S1. 获取待评价的机器学习模型； S2. 获取标准样本， 并将标准样本 输入到待评价的机器学习模型， 得到正常输出 数据； S3. 采用快速梯度符号方法生成步骤S2获取的每一个标准样本的扰动； S4. 通过傅里叶变换， 将步骤S3生成的扰动转换到频域； S5. 将步骤S4得到的变换后的频域扰动， 按照设定的阈值滤除高频分量； S6. 通过傅里叶逆变换， 将步骤S5得到的频域扰动转换到时域； S7. 将步骤S6得到的时域扰动叠加到标准样本上， 得到生成对抗样本； S8. 将步骤S7得到的生成对抗样本输入到待评价的机器学习模型， 得到异常输出数 据； S9. 计算步骤S2得到的正常输出 数据和步骤S 8得到的异常输出 数据之间距离； S10. 根据步骤S9得到的距离值， 对待评价的机器学习模型进行性能判定 。 2.根据权利要求1所述的基于时间序列预测对抗攻击的机器学习模型评价方法， 其特 征在于所述的步骤S 3， 具体为采用快速梯度符号方法， 计算模型对输入样 本的梯度， 并对得 到的梯度进行 大小控制， 从而得到每一个标准样本的扰动。 3.根据权利要求2所述的基于时间序列预测对抗攻击的机器学习模型评价方法， 其特 征在于所述的步骤S3， 具体包括如下步骤： 采用如下算式计算得到每一个标准样本的扰动： 式中 为标准样本的扰动； 为系数， ， 并用于控制扰动的大小； 表示模型 对于输入样本 x的梯度； 为预测损失对输入 X的梯度； 表示梯度 的方向。 4.根据权利要求3所述的基于时间序列预测对抗攻击的机器学习模型评价方法， 其特 征在于所述的步骤S4， 具体为采用离 散傅里叶变换， 将步骤S3生成的扰动转换到频域。 5.根据权利要求4所述的基于时间序列预测对抗攻击的机器学习模型评价方法， 其特 征在于所述的步骤S4， 具体包括如下步骤： 采用如下算式进行离 散傅里叶变换： 式中C(u)为离散傅里叶变换结果； a(u)为补偿系数， 可以使得变换后的矩阵为正交矩 阵， 且 ，N为原始输入序列的长度； f(x)为原始输入序列； u为广义 频率变量。权　利　要　求　书 1/2 页 2 CN 115222062 A 26.根据权利要求5所述的基于时间序列预测对抗攻击的机器学习模型评价方法， 其特 征在于所述的步骤S5， 具体包括如下步骤： 阈值因子从(0,  1)区间内， 按照0.1的差值， 逐渐增大并分别进行选择； 若选择的阈值 因子为0.2， 则设置扰动中位于前20%的分量大小的值 为0。 7.根据权利要求6所述的基于时间序列预测对抗攻击的机器学习模型评价方法， 其特 征在于所述的S6， 具体包括如下步骤： 采用如下算式进行 快速傅里叶逆变换， 从而将得到的频域扰动转换到时域： 式中f(x)为转换后得到快速傅里叶逆变换结果； a(u)为补偿系数， 可以使得变换后的 矩阵为正交矩阵， 且 ，N为频域输入序列的长度； C(u)为频域 输入分量； u为广义频率变量；  x为时域变量。 8.根据权利要求7所述的基于时间序列预测对抗攻击的机器学习模型评价方法， 其特 征在于所述的步骤S7， 具体包括如下步骤： 将得到的时域扰动叠加到标准样本上， 得到生成对抗样本  为 ， 其中X为获 取的标准样本， 为得到的时域扰动。 9.根据权利要求8所述的基于时间序列预测对抗攻击的机器学习模型评价方法， 其特 征在于所述的步骤S10， 具体为距离值越小， 表示待评价的机器学习模型的性能越好。权　利　要　求　书 2/2 页 3 CN 115222062 A 3