[发明专利]一种面向人工智能安全的物理灯光后门攻击的训练方法

权利要求书

1.一种面向人工智能安全的物理灯光后门攻击的训练方法，其特征在于，包括：

对目标对象进行灯光后门攻击，根据灯光颜色在目标对象上产生对应的灯光触发器，基于所述灯光触发器生成后门图像数据；

获取干净图像数据，基于所述后门图像数据和所述干净图像数据分别构建训练集；所述干净图像数据为未产生灯光触发器的原始图像；

构建后门模型，其中，所述后门模型为深度学习模型，基于所述训练集对所述后门模型进行训练，得到训练后的后门模型；

构建测试集，基于所述测试集对所述训练后的后门模型进行评估，得到灯光后门攻击的攻击成功率数据和干净准确率数据。

2.根据权利要求1所述的物理灯光后门攻击方法，其特征在于，

所述灯光触发器包括蓝、绿、红三种颜色。

3.根据权利要求1所述的物理灯光后门攻击方法，其特征在于，

生成所述后门图像数据的过程包括：

在目标对象上产生灯光触发器后，通过摄像机对生成所述灯光触发器的目标对象进行拍摄，得到所述后门图像数据。

4.根据权利要求1所述的物理灯光后门攻击方法，其特征在于，

所述干净图像数据为未经过灯光后门攻击的CTSRD交通标志数据集。

5.根据权利要求4所述的物理灯光后门攻击方法，其特征在于，

构建所述训练集的过程包括：

将所述后门图像数据作为后门训练集X_b，并将所述后门训练集X_b中的所有图像标记为目标标签，将所述干净图像数据作为干净训练集X_c，对所述干净训练集X_c和后门训练集X_b进行结合分析，得到所述训练集X_p；

其中，获取所述训练集X_p的计算公式为：

X_p＝X_b∪X_c。

6.根据权利要求5所述的物理灯光后门攻击方法，其特征在于，

所述训练后的后门模型f_θ为：

f_θ(x)＝y，f_θ(T_p)＝y′

T_p(x_i,t_p,m_i)＝(1-m_i)·x_i+m_i·t_p

其中，T_p是后门图像，t_p是后门触发器，x_i为干净图像，m_i为触发器在图像中的占比，m_i∈[0,1]，x为干净图像，y为干净标签，y′为后门标签。

7.根据权利要求6所述的物理灯光后门攻击方法，其特征在于，

所述测试集为经过变亮、变暗和加噪处理后的图像。

8.根据权利要求7所述的物理灯光后门攻击方法，其特征在于，

所述对所述训练后的后门模型进行评估的过程包括：

基于所述测试集对所述训练后的后门模型进行评估，通过计算干净测试集X_c的分类准确率得到干净准确率数据；通过计算错误分类为所述目标标签的后门测试集X_b占所有后门测试集X_b的比率，得到攻击成功率数据。