【技术实现步骤摘要】
提高目标检测模型鲁棒性的对抗训练方法及目标检测方法
[0001]本专利技术属于人工智能
,涉及一种对抗训练方法及目标检测方法,具体涉及一种基于对抗攻击强度感知的提高目标检测模型鲁棒性的对抗训练方法及目标检测方法。
技术介绍
[0002]人工智能技术目前使用的算法与人类大脑的工作方式并不一样,人类能够借助某些伎俩来欺骗人工智能系统,比如在图像上叠加肉眼难以识别的修改,就可以欺骗主流的深度学习模型。这种经过修改的对机器具有欺骗能力而人类无法觉察出差别的样本被称为对抗样本(adversarial samples),机器接受对抗样本后做出的后续操作可能给无人驾驶之类智能无人系统造成灾难性后果。例如,已有研究者构造出一个图片,在人眼看来是一个stop 标志,但是在汽车看来是一个限速60的标志。当前学术界已经披露了几十种针对深度学习模型的对抗性攻击(adversarial attacks)手段,人工智能系统尤其是基于深度学习的智能系统的可靠性面临严峻挑战。
[0003]目前针对目标检测的深度学习模型的对抗攻击手段大多是基于PGD (Project Gradient Descent)攻击。这种对抗攻击方法基于输入的图片进行迭代优化,优化目标为模型预测的目标种类损失L
cls
或目标定位损失L
loc
。通过这种方式可以对目标检测器的种类预测或位置预测做出有效的攻击,亦可通过L
cls
和L
loc
结合的方式,同时攻击二者,这种专门针对目标检测模型的对抗 ...
【技术保护点】
【技术特征摘要】
1.一种提高目标检测模型鲁棒性的对抗训练方法,所述目标检测模型包括辨别器Net1和检测器Net2;其特征在于,所述对抗训练方法包括以下步骤:步骤1:采集干净样本图片作为训练数据集,并攻击样本图片,攻击的迭代次数为i,其中i=0则为输入干净的样本图片,攻击后生成的图片记为I;步骤2:将I输入辨别器Net1,获得权重向量W(I)=[w1,w2,w3];其中w1,w2,w3表示生成的权重值,它们被用于控制动态卷积;步骤3:将权重W(I)与检测器Net2的动态卷积结合,使其感知对抗强度;设第j层动态卷积的参数组为{convj1,convj2,convj3},则与W(I)结合后,第j层最终采用的卷积参数为(convj1*w1+convj2*w2+convj3*w3);步骤4:将I输入已感知对抗强度的Net2中,获得检测结果Net2(I);步骤5:根据迭代次数i,获得W(I)的真值Wgt;步骤6:将Wgt与W(I)计算L2损失,并以此损失反向传播,更新Net1的网络参数;步骤7:将Net2(I)与训练数据集中给出的目标检测真值标签计算multibox损失,并以此损失反向传播,更新Net2的网络参数;步骤8:重复步骤1
‑
7,训练Net1与Net2至收敛,获得训练好的Net1与Net2。2.根据权利要求1所述的提高目标检测模型鲁棒性的对抗训练方法,其特征在于:步骤1中,随机选取N张样本图片并预处理为预设的大小;其中N为训练批次大小;对其中的N/2张图片施加一次迭代的基于PGD攻击的MTD方法攻击,生成N/2张对抗样本,其对抗攻击强度为i=1;将N/2张对抗样本与N/2张干净样本合并作为一个训练批次batch,输入到Net1中;在后续训练迭代中,重新选择干净样本,保持上一迭代的对抗样本,重复执行迭代,当迭代次数大于i后,重置i=1,并重新选取对抗样本。3.根据权利要求1所述的提高目标检测模型鲁棒性的对抗训练方法,其特征在于:步骤5中,根据i值获取Wgt向量的数值,若i=0,则Wgt=[1,0,0];若i∈{1,2,3},则Wgt=[0,1,0];若i∈{18,19,20},则Wgt=[0,0,1]。4.根据权利要求1所述的提高目标检测模型鲁棒性的对抗训练方法,其特征在于:步骤6中,将Wgt与W(I)计算L2损失,如下:当i∈[5,17]时,不计算损失,不更新辨别器Net1的网络参数。5.根据权利要求1
‑
...
【专利技术属性】
技术研发人员:王中元,程季康,方砚,王骞,邵振峰,邹勤,
申请(专利权)人:武汉大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。