提高目标检测模型鲁棒性的对抗训练方法及目标检测方法技术

本发明专利技术公开了一种提高目标检测模型鲁棒性的对抗训练方法及目标检测方法，具体应用于Single

【技术实现步骤摘要】
提高目标检测模型鲁棒性的对抗训练方法及目标检测方法


[0001]本专利技术属于人工智能
，涉及一种对抗训练方法及目标检测方法，具体涉及一种基于对抗攻击强度感知的提高目标检测模型鲁棒性的对抗训练方法及目标检测方法。

技术介绍

[0002]人工智能技术目前使用的算法与人类大脑的工作方式并不一样，人类能够借助某些伎俩来欺骗人工智能系统，比如在图像上叠加肉眼难以识别的修改，就可以欺骗主流的深度学习模型。这种经过修改的对机器具有欺骗能力而人类无法觉察出差别的样本被称为对抗样本（adversarial samples），机器接受对抗样本后做出的后续操作可能给无人驾驶之类智能无人系统造成灾难性后果。例如，已有研究者构造出一个图片，在人眼看来是一个stop 标志，但是在汽车看来是一个限速60的标志。当前学术界已经披露了几十种针对深度学习模型的对抗性攻击（adversarial attacks）手段，人工智能系统尤其是基于深度学习的智能系统的可靠性面临严峻挑战。
[0003]目前针对目标检测的深度学习模型的对抗攻击手段大多是基于PGD (Project Gradient Descent)攻击。这种对抗攻击方法基于输入的图片进行迭代优化，优化目标为模型预测的目标种类损失L
cls
或目标定位损失L
loc
。通过这种方式可以对目标检测器的种类预测或位置预测做出有效的攻击，亦可通过L
cls
和L
loc
结合的方式，同时攻击二者，这种专门针对目标检测模型的对抗攻击方法被称为MTD。
[0004]现有针对深度学习模型对抗攻击的防御手段主要包括4种类型。对抗性样本检测：发现具有潜在危险的对抗样本，并将他们排除在处理范围之内；鲁棒优化：设计能够对扰动（perturbation）的影响完全鲁棒的目标模型，正确预测样本的原始类别；对抗训练：将对抗样本添加到训练集中进行针对性训练，从而增加预测模型的免疫力；扰动去除预处理：预处理输入样本以消除对抗性扰动。
[0005]其中对抗训练被认为是最有效的增强深度学习模型鲁棒性的方法，对抗训练可以很好的帮助模型学习鲁棒的特征，大大提高模型在处理对抗攻击图片时的准确性。

技术实现思路

[0006]为了更好的学习具有鲁棒性的特征，提高目标检测模型应对不同强度的对抗攻击的能力，本专利技术提供的了一种基于对抗攻击强度感知的提高目标检测模型鲁棒性的对抗训练方法及目标检测方法。
[0007]本专利技术的对抗训练方法采用的技术方案是：一种提高目标检测模型鲁棒性的对抗训练方法，所述目标检测模型包括辨别器Net1和检测器Net2；包括以下步骤：步骤1：采集干净样本图片作为训练数据集，并攻击样本图片，攻击的迭代次数为i，其中i=0则为输入干净的样本图片，攻击后生成的图片记为I；步骤2：将I输入辨别器Net1，获得权重向量W(I)=[w1,w2,w3]；其中w1,w2,w3表示
生成的权重值，它们被用于控制动态卷积。
[0008]步骤3：将权重W(I)与检测器Net2的动态卷积结合，使其感知对抗强度；设第j层动态卷积的参数组为{convj1,convj2,convj3}，则与W(I)结合后，第j层最终采用的卷积参数为(convj1*w1+convj2*w2+convj3*w3)；步骤4：将I输入已感知对抗强度的Net2中，获得检测结果Net2(I)；步骤5：根据迭代次数i，获得W(I)的真值Wgt；步骤6：将Wgt与W(I)计算L2损失，并以此损失反向传播，更新Net1的网络参数；步骤7：将Net2(I)与训练数据集中给出的目标检测真值标签计算multibox损失，并以此损失反向传播，更新Net2的网络参数；步骤8：重复步骤1
‑
7，训练Net1与Net2至收敛，获得训练好的Net1与Net2。
[0009]本专利技术的目标检测方法采用的技术方案是：一种目标检测方法，采用训练好的目标检测模型；包括以下步骤：（1）将待检测的图像I预处理成300
×
300
×
3的大小并输入到辨别器Net1中，并对输出额外增加一层全连接与softmax处理，得到代表输入图片I的对抗攻击强度的一组1
×
3向量W(I)；（2）将检测器Net2中所有的卷积层用K=3的动态卷积层替代，然后将（1）中得到的W(I)作为所有动态卷积的权重；（3）将I输入Net2中，获得最终的目标检测结果。
[0010]与现有的对抗攻击样本的对抗学习防御方法相比，本专利技术具有以下优点和积极效果：（1）本专利技术基于攻击强度感知的对抗训练方法，使得目标检测网络可以感知对抗攻击强度，并具体体现在动态卷积的权重分配上，对于不同强度的对抗攻击有更好的鲁棒性，表现出了更好的检测效果；（2）本专利技术可以应对更广泛的对抗攻击场景，展现出了很好的适应性。
附图说明
[0011]图1：本专利技术实施例的对抗训练方法流程图；图2：本专利技术实施例的辨别器Net1网络结构图；图3：本专利技术实施例的检测器Net2网络结构图；图4：本专利技术实施例的目标检测方法流程图；图5：本专利技术防御不同强度的cls对抗攻击的效果优越性。
具体实施方式
[0012]为了便于本领域普通技术人员理解和实施本专利技术，下面结合附图及实施例对本专利技术作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本专利技术，并不用于限定本专利技术。
[0013]在对抗训练中，干净样本与对抗样本对于网络参数的优化是矛盾的，这被通过采用动态卷积的方式解决。然而，不同强度的对抗攻击样本同样会影响网络的学习情况，单纯的分辨是否为对抗样本简单的将所有攻击强度的对抗样本归为一类，严重影响了深度学习
模型防御不同强度攻击的鲁棒性。而基于攻击强度感知的对抗训练方法，可以提高目标检测模型应对不同强度的对抗攻击的鲁棒性。
[0014]请见图1，本专利技术提供的一种提高目标检测模型鲁棒性的对抗训练方法，目标检测模型包括辨别器Net1和检测器Net2；请见图2，本实施例的辨别器Net1，采用resnet18网络的骨架，并将所有的batchnorm与其后续的ReLu用Filter Response Normalization与Thresholded Linear Unit替代。
[0015]本实施例的分辨器Net1包括18层采用残差连接的卷积模块，为生成指定形状输出所添加的线性函数全连接层，以及改进输出数值形式的softmax函数层。
[0016]本实施例的卷积模块，第一层是卷积核为3*3的卷积层，第二层是用于替代ReLU的激活函数Thresholded Linear Unit，第三层是用于替代批规范化层BN的规范化函数Filter Response Normalization。
[0017]本实施例的18层残差连接卷积模块，输出大小依次为112
×
112，56
×
56，28
×
28，14<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种提高目标检测模型鲁棒性的对抗训练方法，所述目标检测模型包括辨别器Net1和检测器Net2；其特征在于，所述对抗训练方法包括以下步骤：步骤1：采集干净样本图片作为训练数据集，并攻击样本图片，攻击的迭代次数为i，其中i=0则为输入干净的样本图片，攻击后生成的图片记为I；步骤2：将I输入辨别器Net1，获得权重向量W(I)=[w1,w2,w3]；其中w1,w2,w3表示生成的权重值，它们被用于控制动态卷积；步骤3：将权重W(I)与检测器Net2的动态卷积结合，使其感知对抗强度；设第j层动态卷积的参数组为{convj1,convj2,convj3}，则与W(I)结合后，第j层最终采用的卷积参数为(convj1*w1+convj2*w2+convj3*w3)；步骤4：将I输入已感知对抗强度的Net2中，获得检测结果Net2(I)；步骤5：根据迭代次数i，获得W(I)的真值Wgt；步骤6：将Wgt与W(I)计算L2损失，并以此损失反向传播，更新Net1的网络参数；步骤7：将Net2(I)与训练数据集中给出的目标检测真值标签计算multibox损失，并以此损失反向传播，更新Net2的网络参数；步骤8：重复步骤1
‑
7，训练Net1与Net2至收敛，获得训练好的Net1与Net2。2.根据权利要求1所述的提高目标检测模型鲁棒性的对抗训练方法，其特征在于：步骤1中，随机选取N张样本图片并预处理为预设的大小；其中N为训练批次大小；对其中的N/2张图片施加一次迭代的基于PGD攻击的MTD方法攻击，生成N/2张对抗样本，其对抗攻击强度为i=1；将N/2张对抗样本与N/2张干净样本合并作为一个训练批次batch，输入到Net1中；在后续训练迭代中，重新选择干净样本，保持上一迭代的对抗样本，重复执行迭代，当迭代次数大于i后，重置i=1，并重新选取对抗样本。3.根据权利要求1所述的提高目标检测模型鲁棒性的对抗训练方法，其特征在于：步骤5中，根据i值获取Wgt向量的数值，若i=0，则Wgt=[1,0,0]；若i∈{1,2,3}，则Wgt=[0,1,0]；若i∈{18,19,20}，则Wgt=[0,0,1]。4.根据权利要求1所述的提高目标检测模型鲁棒性的对抗训练方法，其特征在于：步骤6中，将Wgt与W(I)计算L2损失，如下：当i∈[5,17]时，不计算损失，不更新辨别器Net1的网络参数。5.根据权利要求1
‑
...

【专利技术属性】
技术研发人员：王中元，程季康，方砚，王骞，邵振峰，邹勤，
申请(专利权)人：武汉大学，
类型：发明
国别省市：