【技术实现步骤摘要】
一种基于深度网络前景激活特征转移的物理世界对抗攻击方法
[0001]本专利技术属于计算机人工智能安全领域,具体涉及一种基于深度网络前景激活特征转移的物理世界对抗攻击方法。
技术介绍
[0002]随着深度学习以及人工智能的快速发展,深度学习技术已经广泛应用到各个领域中,例如物体检测、图像分类、图像分割、自然语言处理,甚至是一些对系统安全性要求很高的领域中,例如语音识别、人脸识别、指纹识别以及自动驾驶等。然而深度神经网络很容易受到对抗样本的威胁,通过在输入图像上故意添加一些精心设计的细微的对抗扰动,尽管和原图像差别并不是很大,但是DNN会以高置信度输出一个错误的标签。
[0003]根据对抗样本的应用场景,对抗攻击的方法可以分为数字世界对抗攻击和物理世界对抗攻击。数字世界对抗攻击是指直接将对抗扰动添加在图片上,对抗样本不需要经过“打印
‑
重拍摄”应用在现实空间中;物理世界对抗攻击是指在现实物理环境中对已经部署的DNN系统进行攻击,其攻击手段一般都是现实中可以操作的;他们的主要区别是否需要经过真实自然环境的...
【技术保护点】
【技术特征摘要】
1.一种基于深度网络前景激活特征转移的物理世界对抗攻击方法,其特征在于,包括以下步骤:步骤1:给定目标样本图像x,其真实标签是y,前景mask,给定目标风格图像x
s
;步骤2:初始化对抗样本x
′
ori
=x;步骤3:模拟物理世界中的各种变化,经过物理世界模拟器之后,产生新的对抗样本x
′
;步骤4:随机选取目标模型F;步骤5:计算输入图像的各种特征矩阵,以及其对应的各种损失函数;步骤6:根据最终计算的loss,使用Adam优化器计算loss相对于图像x
′
ori
的梯度,反向传播更新x
′
ori
;步骤7:达到给定的迭代次数结束,保存每次迭代的样本,选择最优的。2.根据权利要求1所述的基于深度网络前景激活特征转移的物理世界对抗攻击方法,其特征在于,步骤3中采用EOT算法来模拟物理世界中的各种变化。3.根据权利要求1或2所述的基于深度网络前景激活特征转移的物理世界对抗攻击方法,其特征在于,步骤3中所述变化为环境变化分布T、光照变化、视角变化、相机噪声、物体旋转、物体缩放以及随机背景。4.根据权利要求3所述的基于深度网络前景激活特征转移的物理世界对抗攻击方法,其特征在于,步骤3中所述新的对抗样本为:x
′
=E
t~T
[bg+t(x
′
ori
)]其中,bg代表的是随机选取的背景,T表示物理世界中可能出现的环境变化分布,t表示从环境变化分布T分布中选取的一个样本,E表示求期望值。5.根据权利要求1所述的基于深度网络前景激活特征转移的物理世界对抗攻击方法,其特征在于,步骤4随机选取目标模型的方法为:每次迭代在模型池中随机选取一个模型加载进入GPU显存,在该次迭代结束之后,先随机选取下次迭代使用的目标模型,如果选取的模型和当前模型一致,则继续下次迭代,否则将模型从显存中卸载,然后重新加载下一次迭代的模型。6.根据权利要求1所述的基于深度网络前景激活特征转移的物理世界对抗攻击方法,其特征在于,步骤5具体包括以下步骤:步骤5.1:计算x
′
的FAT损失:其中Mask(x
′
)表示对抗样本x
′
中前景物体的掩膜,表示对mask取反操作,为x
′
的Grad
‑
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。