[发明专利]一种基于顶点扰动的三维网格对抗样本生成方法及系统

说明书

本发明提供一种基于顶点扰动的三维网格对抗样本生成方法及系统，利用神经网络对三维网格顶点的反传梯度方向，迭代地修改指定数量的梯度最大顶点的坐标，直到坐标扰动的最大值达到上限；同时在每步迭代之后剪切坐标值，以确保更新后的项点坐标位于初始顶点的值域中，从而生成能够误导神经网络且视觉自然的对抗样本。本发明提出的方法可以控制实际工程设计和应用中的顶点扰动数量。因此，该方法能够避免三维网格到二维图像的投影和近似误差，同时能够减少计算开销。本发明可用于探究三维网格的对抗攻击任务中，且所生成的三维网格能明显有效地攻击分类任务的神经网络，且具有很好的黑盒迁移能力，有利于大型三维几何设计和新一代人工智能模型实现。

技术领域

本发明属于计算机视觉、人工智能领域，具体涉及三维网格的设计、分类和对抗样本生成技术。

背景技术

人类生活周围的形状，尤其是那些描述自然实体的形状，通常都是三维几何数据。而在三维形状的各种近似方法中，一种基本的网格是多边形网格，它用一组多边形逼近一个连续的曲面，提供了质量均衡的近似效果。

深度学习技术被认为是一种很有前景的数据分析方法。然而，最近的研究表明，深度学习网络很容易受到精心设计的输入样本的影响，即所谓的对抗性样本。对抗样本是通过对原始输入添加小的、难以察觉的但恶意的干扰而产生的，这些干扰将导致被攻击网络输出不正确的结果。

考虑到三维数据，特别是三维网格在众多有价值的工程应用中的受欢迎程度和潜在用途，以及神经网络本身具有受对抗样本攻击的脆弱性，研究三维数据的对抗攻击非常有必要，也为三维数据神经网络的鲁棒性研究提供了前提和基础。近年来三维网格对抗攻击的工作都是借助可微渲染器完成二维/三维的转换，这种间接的方法必然会增加计算开销。因此，提出一个直接的、可行性高的三维网格对抗样本生成方法，不仅在学术领域有重要意义，而且能给工程领域带来实践意义。

发明内容

本发明的目的是要解决三维网格对抗样本生成过程存在的流程复杂、计算开销大、实操可行性低的问题，为此，本发明提供一种基于顶点扰动的三维网格对抗样本生成方案。

为了实现所述目的，本发明提出一种基于顶点扰动的三维网格对抗样本生成方法，利用神经网络对三维网格顶点的反传梯度方向，迭代地修改指定数量的梯度最大顶点的坐标，直到坐标扰动的最大值达到上限；同时在每步迭代之后剪切坐标值，以确保更新后的项点坐标位于初始顶点的值域中，从而生成能够误导神经网络且视觉自然的对抗样本。

而且，实现过程包括以下步骤，

步骤S1，令其中t表示当前迭代数，表示第t次迭代的三维网格对抗样本，表示当t＝0时的三维网格对抗样本，M表示初始三维网格；表示第t次迭代的三维网格对抗样本顶点集，表示当t＝0时的三维网格对抗样本的顶点集，V表示初三维网格的顶点集；ΔV表示允许扰动的顶点数量上限，∈表示单个顶点的位置扰动上限，T表示迭代总次数；

步骤S2，将对抗样本及其对应顶点输入生成对抗的源神经网络，利用神经网络的梯度反向传播机制，得到每个顶点的梯度

步骤S3，定义一个与顶点标号对应掩膜向量mask，并初始化为零向量；

步骤S4，令本次迭代的顶点扰动数量上限为顶点按照梯度值降序排序，选择梯度最大的个顶点，更新掩膜向量mask中顶点对应值为1；

步骤S5，利用当前的顶点坐标和顶点梯度和顶点掩膜向量更新下一次迭代对抗样本的顶点坐标优化顶点的规则如下：

其中α为顶点位置优化的步长，sign(·)为符号函数，⊙为元素乘积；

步骤S6，将更新后的顶点坐标