本发明专利技术提供一种针对目标检测对抗攻击的预处理防御方法。该方法包括:步骤1:对原始图像数据集中的图像添加对抗扰动,生成目标检测对抗样本;步骤2:对目标检测对抗样本进行双边滤波和数据归一化处理,得到处理后的目标检测对抗样本;步骤3:构建降噪自编码器模型,将处理后的目标检测对抗样本作为输入,将其对应的原始图像作为标签,对降噪自编码器模型进行降噪训练;步骤4:获取待目标检测图像,对待目标检测图像进行双边滤波和数据归一化处理,得到处理后的待目标检测图像;步骤5:将处理后的待目标检测图像输入至训练好的降噪自编码器模型,得到去噪后的待目标检测图像,将去噪后的待目标检测图像作为目标检测模型的输入实现目标检测。目标检测。目标检测。
【技术实现步骤摘要】
针对目标检测对抗攻击的预处理防御方法
[0001]本专利技术涉及目标检测、对抗攻击防御
,尤其涉及一种针对目标检测对抗攻击的预处理防御方法。
技术介绍
[0002]目标检测是计算机视觉中最基本的任务之一,随着目标检测应用的快速发展,其在医疗图像、汽车自动驾驶及行人检测等都扮演着重要的角色,它的安全性尤为重要。然而,基于深度学习的目标检测在优异性能的同时也继承了深度网络的缺点,目标检测领域被证实极易受到对抗样本的攻击。有很多研究将图像分类的思想引入目标检测,图像分类的很多对抗攻击迁移到了目标检测领域,提出了基于像素扰动和基于对抗补丁的对抗方法,目标检测领域的安全受到了很大的威胁。
[0003]目前,针对目标检测对抗攻击的防御方法主要是对抗训练。该方法也是图像分类对抗攻击防御手段中的一种,在对抗训练的过程中,样本会被混合一些微小的扰动,然后使神经网络适应这种改变,从而对对抗样本具有鲁棒性。但是对抗训练仍具有以下不足:1)对抗训练这种方法需要大量的时间和大量的算力,非常的耗时耗力;2)由于目标检测是多任务的学习(即目标定位和目标识别),因此在对抗训练过程中目标任务之间具有一定的矛盾性,会造成梯度不对齐,因此目前提出的对抗训练方法对目标检测的性能提升效果仍然不佳;3)对抗训练是某一种或几种攻击的针对性训练,因此模型在面对其他未训练过的攻击时的防御效果会大大降低。
技术实现思路
[0004]针对现有采用对抗训练来防御目标检测对抗攻击的方式存在耗时耗力、防御效果较差的问题,本专利技术提供一种针对目标检测对抗攻击的预处理防御方法,本专利技术方法对算力和时间成本要求都较低,并且对大部分的攻击方法都具有稳健的防御能力。
[0005]本专利技术提供的针对目标检测对抗攻击的预处理防御方法,包括以下步骤:
[0006]步骤1:对原始图像数据集中的图像添加对抗扰动,生成目标检测对抗样本;
[0007]步骤2:对所述目标检测对抗样本进行双边滤波和数据归一化处理,得到处理后的目标检测对抗样本;
[0008]步骤3:构建降噪自编码器模型,将所述处理后的目标检测对抗样本作为输入,将其对应的原始图像作为标签,对所述降噪自编码器模型进行降噪训练;
[0009]步骤4:获取待目标检测图像,对所述待目标检测图像进行双边滤波和数据归一化处理,得到处理后的待目标检测图像;
[0010]步骤5:将所述处理后的待目标检测图像输入至训练好的降噪自编码器模型,得到去噪后的待目标检测图像,将所述去噪后的待目标检测图像作为目标检测模型的输入实现目标检测。
[0011]进一步地,步骤1具体包括:
[0012]步骤1.1:根据预期攻击效果,设计对应的任务损失函数;
[0013]步骤1.2:采用给定对抗攻击算法,在原始图像上添加能够使得所述任务损失函数的值变化最大的对抗扰动,从而得到目标检测对抗样本。
[0014]进一步地,步骤3中,所述降噪自编码器模型包括编码器、解码器和距离损失函数;
[0015]所述编码器按照图像处理顺序依次包括第一卷积层、第一池化层、第二卷积层、第二池化层和第三卷积层;所述解码器按照图像处理顺序依次包括第一反卷积层、第一升采样层、第二反卷积层、第二升采样层和第三反卷积层;
[0016]所述距离损失函数采用将wasserstein GAN的Earth
‑
Mover距离和KL散度相结合后得到的损失函数。
[0017]进一步地,所述距离损失函数如公式(3)所示;
[0018]Loss=loss
KL
+α*loss
W
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)
[0019]其中,loss
KL
表示KL距离损失,loss
W
表示Earth
‑
Mover距离损失,α为系数参数。
[0020]本专利技术的有益效果:
[0021]本专利技术提供的预处理防御方法将双边滤波和降噪自编码器结合,使用双边滤波对图像进行初步去噪,使用降噪自编码器对图像进行进一步去噪;由于降噪自编码器是使用多种对抗攻击算法所生成的对抗样本作为输入,使用原始图像(未添加对抗扰动的干净样本)作为标签训练得到的,这就使得经过降噪自编码器降噪后的图像基本上已经成为不再含有对抗扰动的干净图像,将该干净图像再输入至目标检测模型,从而可以提高目标检测模型的检测准确率。并且,由于训练降噪自编码器所采用的对抗样本是采用多种不同对抗攻击算法所生成的,具有一定的普适性,无论是针对目标检测模型的单任务或者是多任务结合的攻击,该方法都能够在输入模型之前,过滤添加在图片样本上的噪声,从而在一定程度上防御对抗攻击,因此,无论对抗攻击采用何种攻击方法,都不会影响预处理对目标检测模型准确率提升的效果。
[0022]此外,相对于目标检测模型而言,本专利技术中所构建的降噪自编码器模型是目标检测模型的一个附加网络,该附加网络的训练过程是单独训练的,并不参与原目标检测模型的网络训练过程,即本专利技术利用一个单独训练的网络加在原来的模型上,可以达到不需要调整原目标检测模型系数而实现对对抗样本免疫的效果。并且,相较于对抗训练的防御方法,本专利技术无论是时间成本还是显卡成本都较低。
附图说明
[0023]图1为本专利技术实施例提供的针对目标检测对抗攻击的预处理防御方法的流程示意图;
[0024]图2为本专利技术实施例提供的降噪自编码器的结构示意图。
具体实施方式
[0025]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0026]如图1所示,本专利技术实施例提供了一种针对目标检测对抗攻击的预处理防御方法,包括以下步骤:
[0027]S101:对原始图像数据集中的图像添加对抗扰动,生成目标检测对抗样本;
[0028]具体地,本步骤包括以下子步骤:
[0029]S1011:根据预期攻击效果(例如目标框消失攻击),设计对应的任务损失函数;
[0030]S1012:采用给定对抗攻击算法,在原始图像上添加能够使得所述任务损失函数的值变化最大的对抗扰动,从而得到目标检测对抗样本。
[0031]例如,采用FGSM、IBM、PGD等经典对抗攻击算法,通过让扰动方向与梯度方向一致,使任务损失函数值变化最大,进而使检测器检测结果变化最大。sign函数保证了扰动方向与梯度方向一致,得到模型梯度方向;在获取到的模型梯度方向乘上一个设定好的扰动大小(设置好的扰动大小>0,它仅决定更新的步长),添加到原始图像上,即生成了目标检测对抗样本。
[0032]此外,为了检验生成的目标检测对抗样本的攻击效果,可以通过求mAP、Recal本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.针对目标检测对抗攻击的预处理防御方法,其特征在于,包括:步骤1:对原始图像数据集中的图像添加对抗扰动,生成目标检测对抗样本;步骤2:对所述目标检测对抗样本进行双边滤波和数据归一化处理,得到处理后的目标检测对抗样本;步骤3:构建降噪自编码器模型,将所述处理后的目标检测对抗样本作为输入,将其对应的原始图像作为标签,对所述降噪自编码器模型进行降噪训练;步骤4:获取待目标检测图像,对所述待目标检测图像进行双边滤波和数据归一化处理,得到处理后的待目标检测图像;步骤5:将所述处理后的待目标检测图像输入至训练好的降噪自编码器模型,得到去噪后的待目标检测图像,将所述去噪后的待目标检测图像作为目标检测模型的输入实现目标检测。2.根据权利要求1所述的针对目标检测对抗攻击的预处理防御方法,其特征在于,步骤1具体包括:步骤1.1:根据预期攻击效果,设计对应的任务损失函数;步骤1.2:采用给定对抗攻击算法,在原始图像上添加能够使得所述任务损失函数的值变化最大的对抗扰动,从而得到目标检测对抗样本。3.根...
【专利技术属性】
技术研发人员:孙磊,毛秀青,汪小芹,郭松辉,李作辉,戴乐育,郭松,胡翠云,张婷,臧韦菲,张静,李楠,徐八一,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。