[发明专利]一种基于顶点扰动的三维网格对抗样本生成方法及系统

权利要求书

1.一种基于顶点扰动的三维网格对抗样本生成方法，其特征在于：利用神经网络对三维网格顶点的反传梯度方向，迭代地修改指定数量的梯度最大顶点的坐标，直到坐标扰动的最大值达到上限；同时在每步迭代之后剪切坐标值，以确保更新后的项点坐标位于初始顶点的值域中，从而生成能够误导神经网络且视觉自然的对抗样本。

2.根据权利要求1所述的基于顶点扰动的三维网格对抗样本生成方法，其特征在于：实现过程包括以下步骤，

步骤S1，令t＝0，其中t表示当前迭代数，表示第t次迭代的三维网格对抗样本，表示当t＝0时的三维网格对抗样本，M表示初始三维网格；表示第t次迭代的三维网格对抗样本顶点集，表示当t＝0时的三维网格对抗样本的顶点集，V表示初三维网格的顶点集；ΔV表示允许扰动的顶点数量上限，∈表示单个顶点的位置扰动上限，T表示迭代总次数；

步骤S2，将对抗样本及其对应顶点输入生成对抗的源神经网络，利用神经网络的梯度反向传播机制，得到每个顶点的梯度

步骤S3，定义一个与顶点标号对应掩膜向量mask，并初始化为零向量；

步骤S4，令本次迭代的顶点扰动数量上限为顶点按照梯度值降序排序，选择梯度最大的个顶点，更新掩膜向量mask中顶点对应值为1；

步骤S5，利用当前的顶点坐标和顶点梯度和顶点掩膜向量更新下一次迭代对抗样本的顶点坐标优化顶点的规则如下：

其中α为顶点位置优化的步长，sign(·)为符号函数，⊙为元素乘积；

步骤S6，将更新后的顶点坐标裁剪到初始顶点坐标V的∈邻域内，保证

步骤S7，迭代次数t增加一次，若当前迭代次数t不足总迭代次数T，顶点扰动数量不足上限ΔV，跳转至步骤S2，否则结束迭代，输出由组成的得到扰动后的三维网格顶点，这些具有对抗信息的顶点按照与原始三维网格相同的拓扑结构组成对抗样本。

3.根据权利要求2所述的基于顶点扰动的三维网格对抗样本生成方法，其特征在于：所述步骤S2包括以下子步骤，

步骤S21，确定生成对抗的源神经网络F_θ；

步骤S22，初始边特征计算编码；

步骤S23，将三维网格对抗样本的初始边特征输入生成对抗的源神经网络进行分类识别任务，神经网络将根据分类结果和类别标签y计算损失值

步骤S24，获取神经网络损失值对顶点的反向梯度，实现如下，

4.根据权利要求2所述的基于顶点扰动的三维网格对抗样本生成方法，其特征在于：所述步骤S4包括以下子步骤，

步骤S41，令本次迭代的顶点扰动数量上限为

步骤S42，根据梯度值对所有顶点从大到小排序；

步骤S43，选择梯度最大的个顶点；

步骤S44，将梯度最大的个顶点对应的mask值设为1。

5.根据权利要求2所述的基于顶点扰动的三维网格对抗样本生成方法，其特征在于：所述步骤S6包括以下子步骤，

将更新后的顶点坐标裁剪到初始顶点坐标V的∈邻域内，保证具体方法如下：

其中V和表示初始样本顶点集和对抗样本顶点集的顶点XYZ坐标。

6.根据权利要求2或3或4或5所述的基于顶点扰动的三维网格对抗样本生成方法，其特征在于：用于通过生成的对抗样本评估基于三维视觉感知应用系统的安全性。

7.一种基于顶点扰动的三维网格对抗样本生成系统，其特征在于：用于实现如权利要求1-6任一项所述的一种基于顶点扰动的三维网格对抗样本生成方法。

8.根据权利要求6所述基于顶点扰动的三维网格对抗样本生成系统，其特征在于：包括处理器和存储器，存储器用于存储程序指令，处理器用于调用存储器中的存储指令执行如权利要求1-6任一项所述的一种基于顶点扰动的三维网格对抗样本生成方法。

9.根据权利要求6所述基于顶点扰动的三维网格对抗样本生成系统，其特征在于：包括可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序执行时，实现如权利要求1-6任一项所述的一种基于顶点扰动的三维网格对抗样本生成方法。