本发明专利技术公开了一种基于交通标志目标检测器改进的对抗样本生成方法,先通过随机RGB图像生成算法生成一个初始对抗样本;再通过目标检测器对原始训练样本进行训练,获取各原始训练样本上交通标志的检测框;然后对初始对抗样本进行一系列数据增强操作附加在原始训练样本上形成对抗训练样本,计算交通标志仍然被检测到的置信度;最后通过置信度来衡量对抗样本性能的损失函数。目前由于大多数的对抗方法主要的对抗目标针是大目标物体,而对小目标物体的对抗效果较差,本发明专利技术融合了一个新的损失函数来进一步优化对抗目标以应对该问题,该损失函数通过最小化目标检测器所预测的视觉距离和真实的视觉距离之间的偏差,从而来提高对抗样本的鲁棒性。样本的鲁棒性。样本的鲁棒性。
【技术实现步骤摘要】
一种基于交通标志目标检测器改进的对抗样本生成方法
[0001]本专利技术涉及一种基于交通标志目标检测器改进的对抗样本生成方法,属于计算机图形处理技术和人工智能技术。
技术介绍
[0002]随着深度学习领域的不断发展以及计算机性能的快速提高,计算机视觉领域的发展取得了巨大的成功。而在计算机视觉领域中,卷积神经网络更是其主要的代表技术之一,并且已经在图像识别、定位、视频跟踪和视频分割等领域得到了广泛的应用。
[0003]CNN在图像上的端到端的深度学习处理方法已经在广泛的计算机视觉任务中取得了良好的效果。通过多层的网络结构,神经网络能够让输入模块从网络底层的过滤器学习到具有上下文信息的高级特征。为了做到这一点,一个典型的CNN通常包含数以百万计的学习参数。虽然这种方法能够得到非常精确的模型,但其解释性显著降低,并且已经被证明容易受到特定对抗干扰的欺骗。这种缺陷对于非安全系统的应用程序来说影响相对较小,但是在安全系统中可能会造成严重的实际问题。比如在无人驾驶系统中交通标志检测模型中的一个弱点可能被用来恶意导致车载识别摄像头检测失效。对抗性攻击也可用于破坏欺诈检测、恶意软件检测或误导自主导航系统等。Thys等人最近的一项研究进一步证实了这些结果。该研究结果显示,通过一种对抗块生成算法生成一个具有对抗性的“样本”,能够导致主流的目标检测器对人的检测失效或者分类错误,但是该算法针对交通标志检测性能较差。
技术实现思路
[0004]专利技术目的:为了克服现有技术中存在的不足,本专利技术提供一种基于交通标志目标检测器改进的对抗样本生成方法,通过最小化检测器所看到的感知距离和真实距离之间的偏差,从而来提高对抗样本的鲁棒性。
[0005]技术方案:为实现上述目的,本专利技术采用的技术方案为:
[0006]一种基于交通标志目标检测器改进的对抗样本生成方法,包括如下步骤:
[0007]步骤1:通过随机RGB图像生成算法生成一个初始对抗样本;
[0008]步骤2:选取图像作为原始训练样本,将图像上的交通标志作为对抗目标;所有原始训练样本构成原始训练样本集;
[0009]步骤3:基于Tiny
‑
YOLO目标检测器,通过非极大值抑制算法对原始训练样本进行交通标志检测,得到各原始训练样本上交通标志的检测框;
[0010]步骤4:对对抗样本进行数据增强操作后附加在各原始训练样本的检测框中心位置形成敌对训练样本;
[0011]步骤5:基于Tiny
‑
YOLO目标检测器,通过非极大值抑制算法对敌对训练样本进行交通标志检测,计算相对于原始训练样本交通标志在敌对训练样本中仍被检测到的置信度;通过置信度衡量对抗样本性能的损失函数;
[0012]步骤6:通过网络的反向传播,使用Adam优化器(自适应矩估计优化器)改变对抗样本的像素值,生成新的对抗样本;
[0013]步骤7:重复执行步骤4~6,直至对抗样本性能的损失函数收敛或达到迭代次数,最终获得一个具有高鲁棒性、高攻击性的对抗样本。
[0014]优选的,所述步骤5中,通过置信度衡量对抗样本性能的损失函数,该损失函数通过下式计算:
[0015]L=αL
nps
+βL
tv
+L
obj
+L
det
[0016]其中:L
nps
为对抗样本非打印性得分的损失函数(该损失函数表示对抗样本的颜色可以用一台普通打印机来表示的可能性),L
tv
为对抗样本总变化得分的损失函数(该损失函数表示对抗样本颜色的平滑程度),L
obj
为对抗检测器或者分类器攻击的损失函数(获取对抗目标的最薄弱的攻击点,从而最小化检测器或分类器输出的对象或分类的得分),L
det
=E[d(t(p'),t(p))],t(p)为摄像头与对抗样本p的真实的视觉距离,t(p')为预测得到的摄像头与对抗样本p的视觉距离,E[d(t(p'),t(p))]表示t(p)和t(p')最小值的损失函数;α和β为系统参数。
[0017]本案有两个重要的创新点。一个创新点是,对损失函数进行了改进,增加了一个新的损失函数L
det
,通过最小化目标检测器所预测的视觉距离和真实的视觉距离之间的偏差,从而来提高对抗样本的鲁棒性;该改进解决了现有的对抗方法只能针对人、车辆等大目标物体才具有良好的对抗效果的问题;而本案方法的对抗目标既可以是上述的大目标物体,也可以是交通标志这种大小形状不一的小目标物体。另一个创新点是,我们采用了目前主流的Tiny
‑
YOLO目标检测器来进行交通标志的对抗,而非传统的使用分类器进行对抗的方法。
[0018]优选的,所述步骤4中,对抗样本进行数据增强操作,数据增强操作包括随机正向或反向旋转一定角度、随机放大或缩小、添加随机噪声、随机改变亮度和对比度中的一个或两个以上。
[0019]优选的,所述初始对抗样本为矩形或正方向,初始对抗样本的面积为原始训练样本的1//6~1/8,初始对抗样本的长宽应尽可能接近,优选为正方形;我们在试验过程中采用300
×
300像素的正方形图片作为初始对抗样本,该尺寸样本能够适应绝大多数的交通标志。
[0020]有益效果:本专利技术提供的基于交通标志目标检测器改进的对抗样本生成方法,相对于现有技术,具有如下优势:1、在无人驾驶领域,目前大多数研究了交通标志检测,但仍存在漏检问题,我们将目标对准在了这种漏检的问题上;2、由于大多数的对抗方法主要对抗目标针对的是大目标物体,而对小目标的对抗效果较差,我们改进过的对抗样本生成方法提高了对抗样本的鲁棒性,扩大了对抗目标的检测范围,有效的攻击了交通标志,为提高无人驾驶领域的安全性提供了一种防御思路,所以交通标志对抗样本的研究具有现实的重要性。
附图说明
[0021]图1为原始训练样本和敌对训练样本的训练流程示意图;
[0022]图2为本专利技术方法的实施流程示意图。
具体实施方式
[0023]下面结合附图对本专利技术作更进一步的说明。
[0024]一种基于交通标志目标检测器改进的对抗样本生成方法,在无人驾驶车辆行驶在道路过程中,实时检测路道边周围的交通标志,将通过摄像头传感器采集到的视频数据分割成以帧为单位的图像作为原始训练样本(416
×
416像素的图像),将原始训练样本输入到Tiny
‑
YOLO目标检测器中,通过非极大值抑制算法对原始训练样本进行交通标志检测,得到各原始训练样本上交通标志的检测框。接着对对抗样本进行数据增强操作后附加在各原始训练样本的检测框中心位置形成敌对训练样本,将敌对训练样本输入到Tiny
‑
YOLO目标检测器中,通过非极大值抑制算法对敌对训练样本进行交通标志检测,得到各敌对训练样本上交通标志的检测框,计算交通标志仍被检测到的置信度。然后通过置信度来衡量对抗样本性能本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于交通标志目标检测器改进的对抗样本生成方法,其特征在于:包括如下步骤:步骤1:通过随机RGB图像生成算法生成一个初始对抗样本;步骤2:选取图像作为原始训练样本,将图像上的交通标志作为对抗目标;所有原始训练样本构成原始训练样本集;步骤3:基于Tiny
‑
YOLO目标检测器,通过非极大值抑制算法对原始训练样本进行交通标志检测,得到各原始训练样本上交通标志的检测框;步骤4:对对抗样本进行数据增强操作后附加在各原始训练样本的检测框中心位置形成敌对训练样本;步骤5:基于Tiny
‑
YOLO目标检测器,通过非极大值抑制算法对敌对训练样本进行交通标志检测,计算相对于原始训练样本交通标志在敌对训练样本中仍被检测到的置信度;通过置信度衡量对抗样本性能的损失函数;步骤6:通过网络的反向传播,使用Adam优化器改变对抗样本的像素值,生成新的对抗样本;步骤7:重复执行步骤4~6,直至对抗样本性能的损失函数收敛或达到迭代次数,得到最终的对抗样本。2.根据权利要求1所述的基于交通标志目标检测器改进的对抗样本生成方法,其特征在于:所述步骤5中,通过置信度衡量对抗样本性能的损失函数,该损失函数通过下式计算:L=αL
nps
+βL
tv
...
【专利技术属性】
技术研发人员:季一木,田鹏浩,刘尚东,王汝传,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。