基于补丁检测的对抗防御模型训练方法技术

本发明专利技术涉及一种基于补丁检测的对抗防御模型训练方法，包括以下步骤：a、利用训练数据集训练目标检测神经网络，得到预训练模型；b、对预训练模型进行对抗补丁攻击，生成对抗补丁数据集；c、利用所述对抗补丁数据集对训练数据集进行更新，并更新模型参数后对其再次攻击；d、重复步骤(a)至(c)至得到由充足的对抗补丁数据构成的对抗补丁数据集；e、将步骤(d)获得的对抗补丁数据集中的补丁添加到原始的训练数据集的数据上，并在训练数据集中添加对抗补丁的类别，利用之训练神经网络，得到目标检测模型。本发明专利技术训练的模型有较为良好的抵御补丁攻击的能力，且在时效性，检测性和鲁棒性三个方面均具备优势。

【技术实现步骤摘要】
基于补丁检测的对抗防御模型训练方法
本专利技术涉及一种基于补丁检测的对抗防御模型训练方法。
技术介绍
基于深度学习的目标检测系统容易受到对抗补丁的攻击，其安全性问题逐渐引起人们的普遍重视。目前，围绕对抗样本的概念已经发展出丰富的攻击深度神经网络的算法，其中补丁攻击已经被认为是一种非常实用的手段用以威胁计算机视觉系统。不同于传统的攻击策略，补丁攻击仅仅改变有限区域的部分像素点，同时不必要求人眼无法察觉，在形式上比较类似于涂鸦或者贴纸，因此比较容易在物理世界中实现。目前，很多对抗补丁的攻击方法已经在图像分类，人脸识别和目标检测等领域展现出显著性的成果。相比较于补丁攻击方面丰富的研究工作，补丁防御方面的研究还相对较少，且很难在目标检测问题中实现。具体来说，一方面，相关研究多集中于图像分类问题，由于该类问题相比于目标检测问题所需的计算要求低，相应的方法很难迁移到目标检测问题中。另一方面，一些基于图像数据预处理的工作虽然并不依赖于具体问题本身，但却存在一定的不足。如一些去噪的方法会降低原始样本的检测准确率且容易被白盒对抗样本攻破，而一些基于部分遮本文档来自技高网...

【技术保护点】
1.一种基于补丁检测的对抗防御模型训练方法，包括以下步骤：/na、利用训练数据集训练目标检测神经网络，得到预训练模型；/nb、对所述预训练模型进行对抗补丁攻击，生成对抗补丁数据集；/nc、利用所述对抗补丁数据集对训练数据集进行更新，并重新训练所述预训练模型，并更新模型参数后对其再次攻击；/nd、重复所述步骤(a)至(c)至得到由充足的对抗补丁数据构成的对抗补丁数据集；/ne、将所述步骤(d)获得的对抗补丁数据集中的补丁添加到原始的训练数据集的数据上，并在所述训练数据集中添加对抗补丁的类别，利用之训练神经网络，得到目标检测模型。/n

【技术特征摘要】
1.一种基于补丁检测的对抗防御模型训练方法，包括以下步骤：
a、利用训练数据集训练目标检测神经网络，得到预训练模型；
b、对所述预训练模型进行对抗补丁攻击，生成对抗补丁数据集；
c、利用所述对抗补丁数据集对训练数据集进行更新，并重新训练所述预训练模型，并更新模型参数后对其再次攻击；
d、重复所述步骤(a)至(c)至得到由充足的对抗补丁数据构成的对抗补丁数据集；
e、将所述步骤(d)获得的对抗补丁数据集中的补丁添加到原始的训练数据集的数据上，并在所述训练数据集中添加对抗补丁的类别，利用之训练神经网络，得到目标检测模型。


2.根据权利要求1所述的基于补丁检测的对抗防御模型训练方法，其特征在于，在所述步骤(a)中，所述目标检测神经网络为YOLO或RCNN。


3.根据权利要求1所述的基于补丁检测的对抗防御模型训练方法，其特征在于，所述步骤(b)中的对抗补丁攻击采用的目标函数为：



其中，D是样本分布，T是补丁变换的分布，A(δ,x,t)用于将补丁δ以变换t的方式添加到样本x上，J(A(δ,x,t),y)为预训练模型的损失函数。


4.根据权利要求3所述的基于补丁检测的对抗防御模型训练方法，其特征在于，所述对抗补丁攻击为，在目标数据集的数据中添加方形的补丁图案，利用之训练模型；
对补丁图案进行初始化后进行变换，使模型函数接近于所述目标函数，所述变换包括对比度、亮度、随机噪声、尺寸、角度和位置的变换；
其中，对比度的变化范围为0.8到1.2，亮度的变化范围为－0.1到0.1，随机噪声因子为0.1，角度变化范围为－20°到20°，补丁中心位于目标所在预测框的中心位置处，尺寸与预测框成比例关系。


5.根据权利要求4所述的基于补丁检测的对...

【专利技术属性】
技术研发人员：纪楠，谢海东，向雪霜，刘乃金，
申请(专利权)人：中国空间技术研究院，
类型：发明
国别省市：北京;11