[发明专利]提高目标检测模型鲁棒性的对抗训练方法及目标检测方法

说明书

本发明公开了一种提高目标检测模型鲁棒性的对抗训练方法及目标检测方法，具体应用于Single‑Shot object Detector(SSD)骨架上。本发明通过一种可以感知对抗强度的方式来提高网络鲁棒性。首先将待检测的图像I预处理成300×300×3的大小，然后将I输入到辨别器Net1中以判断I的对抗样本的攻击强度，攻击强度为零则是干净样本，并以此为依据输出1×3权重向量W(I)。W(I)被用于引导检测器Net2感知对抗样本强度，按W(I)分配动态卷积的权重，进行特征提取与目标检测。本发明能有效的提高目标检测模型的对抗防御能力，并且针对不同强度的对抗攻击依然能保持强鲁棒性。

技术领域

本发明属于人工智能技术领域，涉及一种对抗训练方法及目标检测方法，具体涉及一种基于对抗攻击强度感知的提高目标检测模型鲁棒性的对抗训练方法及目标检测方法。

背景技术

人工智能技术目前使用的算法与人类大脑的工作方式并不一样，人类能够借助某些伎俩来欺骗人工智能系统，比如在图像上叠加肉眼难以识别的修改，就可以欺骗主流的深度学习模型。这种经过修改的对机器具有欺骗能力而人类无法觉察出差别的样本被称为对抗样本（adversarial samples），机器接受对抗样本后做出的后续操作可能给无人驾驶之类智能无人系统造成灾难性后果。例如，已有研究者构造出一个图片，在人眼看来是一个stop 标志，但是在汽车看来是一个限速60的标志。当前学术界已经披露了几十种针对深度学习模型的对抗性攻击（adversarial attacks）手段，人工智能系统尤其是基于深度学习的智能系统的可靠性面临严峻挑战。

目前针对目标检测的深度学习模型的对抗攻击手段大多是基于PGD (ProjectGradient Descent)攻击。这种对抗攻击方法基于输入的图片进行迭代优化，优化目标为模型预测的目标种类损失L_cls或目标定位损失L_loc。通过这种方式可以对目标检测器的种类预测或位置预测做出有效的攻击，亦可通过L_cls和L_loc结合的方式，同时攻击二者，这种专门针对目标检测模型的对抗攻击方法被称为MTD。

现有针对深度学习模型对抗攻击的防御手段主要包括4种类型。对抗性样本检测：发现具有潜在危险的对抗样本，并将他们排除在处理范围之内；鲁棒优化：设计能够对扰动（perturbation）的影响完全鲁棒的目标模型，正确预测样本的原始类别；对抗训练：将对抗样本添加到训练集中进行针对性训练，从而增加预测模型的免疫力；扰动去除预处理：预处理输入样本以消除对抗性扰动。

其中对抗训练被认为是最有效的增强深度学习模型鲁棒性的方法，对抗训练可以很好的帮助模型学习鲁棒的特征，大大提高模型在处理对抗攻击图片时的准确性。

发明内容

为了更好的学习具有鲁棒性的特征，提高目标检测模型应对不同强度的对抗攻击的能力，本发明提供的了一种基于对抗攻击强度感知的提高目标检测模型鲁棒性的对抗训练方法及目标检测方法。

本发明的对抗训练方法采用的技术方案是：一种提高目标检测模型鲁棒性的对抗训练方法，所述目标检测模型包括辨别器Net1和检测器Net2；包括以下步骤：

步骤1：采集干净样本图片作为训练数据集，并攻击样本图片，攻击的迭代次数为i，其中i=0则为输入干净的样本图片，攻击后生成的图片记为I；