[发明专利]一种面向物理攻击的自适应对抗补丁生成方法及装置

权利要求书

1.一种面向物理攻击的自适应对抗补丁生成方法，其特征在于，包括以下步骤：

选择对包含目标物的图像进行目标识别的代理模型，并通过已知图像数据集对所述代理模型进行训练；

构建对抗补丁并初始化，根据所述对抗补丁生成对抗样本图像；

利用所述代理模型对所述对抗样本图像进行目标识别，得到目标识别结果；

根据所述目标识别结果计算目标损失；

基于所述目标损失，利用反向传播法更新所述对抗补丁中每个像素的参数值。

2.如权利要求1所述的一种面向物理攻击的自适应对抗补丁生成方法，其特征在于，所述目标损失由目标置信度损失、不可打印分数损失和平滑约束损失组成。

3.如权利要求2所述的一种面向物理攻击的自适应对抗补丁生成方法，其特征在于，所述目标置信度损失为代理模型的预测结果中所有目标置信度分数的均值。

4.如权利要求2所述的一种面向物理攻击的自适应对抗补丁生成方法，其特征在于，所述不可打印分数损失为：

L_nps＝∑_i,jminp_i,j-c_print|，

其中，L_nps为不可打印分数损失，p_i,j对抗补丁上第i行j列像素的参数值，c_print为物理可打印色域集合C中的一个颜色。

5.如权利要求2所述的一种面向物理攻击的自适应对抗补丁生成方法，其特征在于，所述平滑约束损失根据所述对抗补丁上像素与其相邻像素的参数值计算得到。

6.如权利要求2-5任一所述的一种面向物理攻击的自适应对抗补丁生成方法，其特征在于，根据所述对抗补丁生成对抗样本图像包括：

对初始化后的对抗补丁进行增强处理；所述增强处理包括添加噪声、尺度变换、随机旋转和光照变化中的至少一种；

根据增强处理后的对抗补丁生成对抗样本图像。

7.如权利要求6所述的一种面向物理攻击的自适应对抗补丁生成方法，其特征在于，根据增强处理后的对抗补丁生成对抗样本图像包括：

提取干净样本图像中的目标框信息，所述干净样本图像为所述已知图像数据集的样本图像；

根据所述目标框信息确定所述对抗补丁的面积以及所述对抗补丁在所述干净样本图像中的位置；

基于所述面积和位置将所述对抗补丁添加到所述干净样本图像上。

8.如权利要求7所述的一种面向物理攻击的自适应对抗补丁生成方法，其特征在于，根据所述目标框信息确定所述对抗补丁在所述干净样本图像中的位置包括：

以所述目标框信息计算目标框的中心点，将目标框的中心点作为对抗补丁的中心点。

9.如权利要求7所述的一种面向物理攻击的自适应对抗补丁生成方法，其特征在于，根据所述目标框信息确定所述对抗补丁在所述干净样本图像中的位置包括：

以所述目标框信息计算目标框的中心点；

以目标框的中心点偏移距离阈值后的偏移点作为对抗补丁的中心点。

10.一种面向物理攻击的自适应对抗补丁生成装置，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，其特征在于，处理器执行计算机程序时实现权利要求1-9任一所述的一种面向物理攻击的自适应对抗补丁生成方法。