[发明专利]一种面向目标检测的物理攻击对抗补丁的生成方法及系统

说明书

一种面向目标检测的物理攻击对抗补丁的生成方法，包括以下步骤：(1)生成一个像素值随机的矩形对抗补丁；(2)将对抗补丁进行鲁棒性处理；(3)初始化掩码矩阵；(4)将对抗补丁应用在训练集上；(5)从结果中提取真实类别置信度；(6)设计损失函数并计算损失；(7)计算梯度然后更新对抗补丁，循环第2至第7步，直至达到最大迭代次数或者攻击成功率达到阈值；(8)打印补丁，进行物理环境测试。本发明还包括一种面向目标检测的物理攻击对抗补丁的生成系统，由对抗补丁应用模块、目标检测模块、损失计算模块和对抗补丁更新模块组成。本发明可以自定义补丁形状，根据设计的损失函数求梯度，更新对抗补丁，最后进行物理环境测试。

技术领域

本发明涉及计算机视觉领域，尤其涉及一种目标检测的物理攻击对抗补丁生成方法。

背景技术

随着深度学习的不断发展，深度学习在语音识别、恶意软件检测、目标检测与识别、图像识别、无人驾驶、人脸识别等领域有广泛地应用。给生活带来了极大的便利，有效提高了人们的生活水平。但深度学习在给人们生活带来便利的同时，也带来了许多潜在的危险。攻击者可以通过分析深度学习模型的特点，找到模型的弱点，利用精心设计好的规则逃避模型的检测，因此存在重大安全隐患，甚至造成严重的危害。

在计算机视觉研究领域，利用图像处理与模式识别等领域的理论和方法，从图像或视频中分离出有一定意义的实体——对象，如人、汽车等。在对象检测中有一类通用的对象检测方法，利用矩形框将图像中所有可能存在的对象区域定位出来并给出这个窗口内包含对象的概率。有着广泛的应用，如人脸检测，车辆检测，行人计数，自动驾驶，安全系统等。近年来深度学习的发展，基于目标检测的攻击是研究的热点问题。对抗样本的概念是2014年被首次提出，其本质是在正常样本上添加一些人眼不可见的扰动，添加后生成的样本能使目标检测模型在识别这个样本时出现错误的结果。当前深度学习算法对抗攻击的一个特点是，它们对数字图像的扰动通常很小，以至于普通观察者几乎察觉不到。当将数字世界的微小扰动转移到物理世界时，由于彩色打印机存在打印色差和摄像机不能完美捕捉到完整的色彩信息，对抗样本往往是不能被图传传感器捕获，因此会失去攻击效果。而且物理世界场景下的背景环境是多变的，不同时刻的背景可能完全不同，无法通过控制背景进行攻击，因此不能在整个图像上添加扰动，只能将扰动添加在特定的小区域内；光照强度、距离远近和角度大小的不同也会引起对抗扰动的攻击失效；应用在物理世界的扰动通常是很大而且色彩十分艳丽，与环境的贴合程度不高，很容易引起人眼的警觉。

目前目标检测对抗攻击研究集中在数字攻击领域，比如CW攻击、DEEPFOOL攻击和FGSM攻击，这些攻击方法可以实现用微小的扰动成功攻击目标检测算法。实现数字对抗攻击的前提是假设攻击者已经控制了设备，能够随意更改任何一个像素值。更加现实的是攻击者没有权限修改被攻击者使用图像传感器捕捉到的图像，也没有权限修改网络的参数，只能在待识别的物体上预先添加扰动，让图像传感器捕捉已经添加好了扰动的图像。在物理世界中，攻击者通过生成对抗补丁块，然后将对抗补丁贴在被攻击的物体的特定位置上实现攻击。目前现有的物理世界对抗攻击方法生成的对抗补丁尺寸比较大、隐蔽性不强，很容易被肉眼察觉；伪装的灵活性不强，即攻击者不可以控制对抗补丁的外观。如申请号为202011601941.2的专利所公开的技术方案，红外目标检测的安全性测试方法和装置。通过基于发热部件的红外图像，构建数字对抗补丁，并根据优化后的数字对抗补丁，确定物理对抗补丁，根据本公开实例的物理对抗补丁可以有效对红外目标检测器进行攻击，从而对红外目标检测器安全可靠性进行检测，以利于对目标检测器进行完善。我们的目标是研究是为现实世界的物体生成鲁棒的物理扰动，即使在一系列不同的物理条件下拍摄图像，这些物理扰动也会误导分类器做出错误的预测。我们的物理世界对抗攻击算法可以生成不明显的灰度补丁，可以将对抗补丁的外观设置成任意的形状。具有重大意义，较大程度的提高了补丁的隐蔽性和伪装灵活性。

发明内容

本发明要克服现有技术所生成的对抗补丁隐蔽性不强、灵活性不高的缺点，提供一种生成有效的、能够应用在物理世界的目标检测对抗攻击算法。