[发明专利]一种面向物理攻击的自适应对抗补丁生成方法及装置

说明书

本发明公开了一种面向物理攻击的自适应对抗补丁生成方法，选择对包含目标物的图像进行目标识别的代理模型，并通过已知图像数据集对代理模型进行训练；构建对抗补丁并初始化，根据对抗补丁生成对抗样本图像；利用代理模型对对抗样本图像进行目标识别，得到目标识别结果；根据目标识别结果计算目标损失；基于目标损失，利用反向传播法更新对抗补丁中每个像素的参数值。本发明通过使用代理模型对对抗补丁中像素的参数值进行迭代更新，可以得到攻击效率更高的对抗补丁；同时在迭代过程中增加了目标置信度损失、不可打印分数损失和平滑约束损失，可以使得对抗补丁上像素的参数值尽快收敛，适应性更强，可以提升对抗补丁的灵活性。

技术领域

本发明属于遥感探测安全技术领域，尤其涉及一种面向物理攻击的自适应对抗补丁生成方法及装置。

背景技术

遥感技术是从人造卫星、飞机或其他飞行器上收集地物目标的电磁辐射信息，判认地球环境和资源的技术。它是60年代在航空摄影和判读的基础上随航天技术和电子计算机技术的发展而逐渐形成的综合性感测技术。任何物体都有不同的电磁波反射或辐射特征。遥感探测即利用遥感技术进行各项信息的探测收集。

随着深度神经网络(Deep Neural Networks,DNNs)的迅猛发展，基于DNNs的智能遥感探测系统在精度和效率上均表现出优异的性能。然而，相关研究表明基于DNNs的智能遥感探测系统容易受到精心设计的对抗样本图像的攻击，即通过向干净样本图像中添加微小的对抗噪声，令其做出完全不同的错误预测，这在某些关键的应用场合可能会造成严重后果。

因此，对抗性鲁棒性被认为是基于DNNs的智能遥感探测系统的关键性能。研究新的对抗攻击方法为提高智能遥感探测系统的对抗性和鲁棒性提供了数据基础，也为解释智能遥感探测系统面临对抗样本图像时的脆弱性提供了思路。

在现有的对抗样本图像设计过程中，首先精心设计对抗补丁，然后将此补丁绘制或粘贴到目标物表面，可以干扰其输出错误的目标类别。到目前为止，对抗性补丁已应用于诸如人脸识别、物体检测、行人检测、图像检索以及遥感探测等各个领域。

尽管对抗补丁在物理攻击方面取得了显著成效，但其也存在一些局限性。首先，生成对抗补丁的过程非常耗时，因为对抗补丁需要使用大量数据进行迭代训练更新优化；其次，对抗补丁还面临从数字域到物理域的变换，这些操作导致了较高的计算成本；再次，由于补丁打印和图像采集设备的限制，补丁的像素值不可避免地会失真；最后，目前的对抗性补丁是在物体表面绘制或粘贴的，在实际场景中使用方式不够方便灵活，容易引人察觉。

发明内容

本发明的目的是提供一种面向物理攻击的自适应对抗补丁生成方法及装置，以提高对抗样本图像的攻击效率和灵活性。

本发明采用以下技术方案：一种面向物理攻击的自适应对抗补丁生成方法，包括以下步骤：

选择对包含目标物的图像进行目标识别的代理模型，并通过已知图像数据集对代理模型进行训练；

构建对抗补丁并初始化，根据对抗补丁生成对抗样本图像；

利用代理模型对对抗样本图像进行目标识别，得到目标识别结果；

根据目标识别结果计算目标损失；

基于目标损失，利用反向传播法更新对抗补丁中每个像素的参数值。

进一步地，目标损失由目标置信度损失、不可打印分数损失和平滑约束损失组成。

进一步地，目标置信度损失为代理模型的预测结果中所有目标置信度分数的均值。

进一步地，不可打印分数损失为：

L_nps＝∑_i,jminp_i,j-c_print|，