[发明专利]一种提高车牌攻击鲁棒性的对抗攻击方法

说明书

一种基于对抗攻击的车牌攻击生成方法，包括以下步骤：1)按照中国车辆号牌标准将制作的车牌整理为标准车牌数据集O；2)采用opencv的仿射变换函数变换得数据集A；采用opencv的亮度变换函数变换得数据集B；采用opencv的仿射变换函数和亮度变换函数变换得数据集C；3)构造一个LeNet‑5，并对车牌数据集O、A、B、C进行字符检测与分割，然后用分割后的数据集训练LeNet‑5模型；4)在不同成像角度和光照强度下对打印的真实对抗车牌样本进行拍摄，调用已训练的车牌分类器LeNet‑5对拍摄的数字对抗样本进行识别。本发明使得对抗扰动的生成不再受限于实际中众多环境因素的影响，具有较高的实用价值。

技术领域

本发明涉及对抗攻击方法和数字图像处理技术，借鉴了梯度下降(GradientDescent)的思想，利用经典的卷积神经网络和鲁棒性现实扰动(Robust PhysicalPerturbations，简称RP2)对抗攻击方法，生成鲁棒性较高的对抗样本(AdversarialSamples)，不易受到光线强度、成像角度、拍摄背景等真实环境影响。

背景技术

随着深度学习地迅速发展，深度神经网络(DNNs)在图像分类、语音处理、医学诊断等各个领域取得了巨大的成功，并且逐渐被用于自动驾驶、无人机和智能机器人领域。这些由大数据训练的深度神经网络只需根据输入即可准确决定输出。但是，最近在计算机视觉(Computer Vision)领域方面的研究工作显示DNNs容易受到对抗扰动的影响，从而发生误分类，可参考文献1(I.J.Goodfellow,J.Shlens,and C.Szegedy,“Explaining andharnessing adversarial examples,”arXiv preprint arXiv:1412.6572,2014，即I.J.Goodfellow,J.Shlens,and C.Szegedy,解释和利用对抗样本,arXiv preprintarXiv:1412.6572,2014.)，并且这种缺陷不仅仅存在于特定结构的DNN之中，在所有DNNs，甚至经典的机器学习算法也普遍存在，这恰恰说明了对抗扰动是普遍存在的，而且具有可转移性，可参考文献2(N.Papernot,P.McDaniel,and I.Goodfellow,“Transferability inmachine learning:from phenomena to black-box attacks using adversarialsamples,”arXiv preprint arXiv:1605.07277,2016，即N.Papernot,P.McDaniel,andI.Goodfellow,机器学习的可转移性：从现象到使用对抗样本的黑盒攻击,arXiv preprintarXiv:1605.07277,2016.)。以上现象足以证明深度学习自身存在着潜在的缺陷：现实世界中对象本身的微小改动可能会对基于深度学习的系统正常工作造成严重影响。