一种使用冷热贴欺骗热红外检测器的对抗攻击方法,涉及图像识别技术领域,包括步骤:S1.获取原始图像样本集,原始图像包含一个或者多个人;S2.将原始图像输入至以冷热贴作为补丁的HotCold Block模型,并基于粒子群优化算法,通过面向SSP的对抗优化算法,优化补丁的大小、形状和位置;S3.将原始图像的局部区域替换成补丁,得到攻击图像;S4.将攻击图像输入到基于DNNs的热红外检测器,实现对热红外检测器的对抗攻击。本发明专利技术利用面向SSP的对抗优化算法,探索补丁的大小、形状和位置对攻击效果的影响,提高了攻击的效果、隐蔽性以及鲁棒性。隐蔽性以及鲁棒性。隐蔽性以及鲁棒性。
【技术实现步骤摘要】
一种使用冷热贴欺骗热红外检测器的对抗攻击方法及系统
[0001]本专利技术涉及图像识别
,具体涉及一种使用冷热贴欺骗热红外检测器的对抗攻击方法及系统。
技术介绍
[0002]深度神经网络已经在多个领域取得了巨大的成功,不仅在可见光下工作良好,而且在热红外成像方面也解决了具有挑战性的任务,例如热红外检测系统,热红外检测系统被广泛应用于自动驾驶、夜间监控和温度测量等安全相关领域。然而,发生在实验室环境和现实物理环境中的对抗攻击暴露了深度神经网络的漏洞,引起了对相关应用程序安全的担忧。在可见光下的安全性引起了人们的极大关注,但在热红外成像的安全性尚未得到充分的研究。
[0003]目前针对热红外成像安全性的研究非常少,有使用发光小灯泡制造特殊的红外图像,以及使用新型气凝胶材料设计红外隐身衣。虽然达到了合理的攻击效果,但是在现实物理环境中实施攻击时看起来不够自然,比较引人注目。这两种方法都属于对抗补丁攻击,对抗补丁攻击通常生成一个精心设计的补丁,将补丁放置在图像特定区域,从而使得深度神经网络产生误判。这种攻击方法用补丁替换攻击图像的局部区域,而不考虑扰动约束,具有更大的灵活性,常用于物理攻击。近年来研究人员试图权衡对抗补丁攻击的有效性和隐蔽性,主要是针对补丁设计特殊的结构和纹理,忽视了补丁的大小、形状和位置对攻击效果的影响。
技术实现思路
[0004]针对现有技术中存在的缺陷,本专利技术的目的在于提供一种使用冷热贴欺骗热红外检测器的对抗攻击方法及系统,使得针对热红外检测器的攻击更加隐蔽,提高补丁的有效性。
[0005]为达到以上目的,一方面,采取一种使用冷热贴欺骗热红外检测器的对抗攻击方法,包括步骤:
[0006]S1.获取热红外成像下的原始图像样本集,原始图像包含一个或者多个人;
[0007]S2.将原始图像输入至以冷热贴作为补丁的HotCold Block模型,并基于粒子群优化算法,通过面向SSP的对抗优化算法,优化补丁的大小、形状和位置;
[0008]S3.将原始图像的对应区域替换成补丁,得到攻击图像;
[0009]S4.将攻击图像输入到基于DNNs的热红外检测器,在数字空间实现对热红外检测器的对抗攻击;
[0010]S5.在物理空间,根据S1
‑
S4构造实体冷热贴补丁,将实体热贴补丁放置在人身上的指定位置,在热红外成像下对热红外检测器发动对抗攻击。
[0011]在上述实施例的基础上,所述S2中基于粒子群优化算法,包括:
[0012]S201.初始化补丁,随机初始化补丁的形状M和位置P;位置P 通过坐标集表示;
[0013]S202.根据输入的原始图像和初始补丁得到攻击图像,将攻击图像输入到热红外检测器中得到优化算法的目标函数L
obj
;
[0014]S203.基于粒子群优化算法,本着得到最小目标函数L
obj
的原则,优化补丁的大小、形状和位置。
[0015]在上述实施例的基础上,所述SSP对抗优化算法包括:
[0016]初始化粒子群,根据预设的迭代次数epoch;
[0017]在每一个epoch中,遍历图像样本集中每一张图像,在图像上添加冷热贴在数字空间的仿真色块,然后输入热红外检测器,得到L
obj
1;改变仿真色块的形状M和位置P,在图像上添加改变后的仿真色块,输入热红外检测器,得到L
obj
2;对比L
obj
1和L
obj
2的大小,若L
obj
1> L
obj
2,则更新粒子最优位置和粒子群最优位置,若L
obj
1<L
obj
2,不做处理;
[0018]每次更新粒子最优位置时,不断调整粒子的速度和位置,使粒子朝着减小L
obj
的方向运动。
[0019]在上述实施例的基础上,所述S2中通过面向SSP的对抗优化算法,优化补丁的大小包括:
[0020]使用九宫格模拟数字空间中的补丁,补丁的大小取决于补丁的数量m、所占方格的数量n以及九宫格的边长v,对抗攻击的攻击效果随着补丁的数量m和九宫格的边长v的增加而增强。
[0021]在上述实施例的基础上,将补丁大小的增长部分作为惩罚项,用于限制补丁的大小,目标函数L
obj
表示为:
[0022][0023]其中,为惩罚项,V
obj
表示行人位置存在物体的置信度;λ为一个超参数以防止V
obj
覆盖惩罚项;Δ
↑
表示正增长,当它下降时,惩罚项设置为0。
[0024]在上述实施例的基础上,采用3
×
3的矩阵M表示补丁的形状, 0和1表示每个方格的状态,位置P={(x1,y1),(x2,y2),
…
,(x
n
,y
n
)},确定每个补丁左上顶点的位置,n为补丁的数量,将补丁的形状M和位置P作为优化参数,优化补丁的大小。
[0025]在上述实施例的基础上,所述S4中,基于所述热红外检测器f:I
→
y导出与真实标签y匹配的预测标签即即其中,I表示原始没有增加补丁的图像,V
pos
表示行人位置,V
obj
表示该位置存在物体的置信度,V
cls
表示检测物体的类别置信度,攻击图像为I
adv
时,目标描述为 arg min V
obj
=arg min f(I
adv
)。
[0026]在上述实施例的基础上,所述S1中,原始图像样本集通过数据集过滤后获得,每幅原始图像中包含人,且人的高度超过120像素。
[0027]在上述实施例的基础上,所述冷热贴指暖宝宝和冰凉贴。
[0028]另一方面,本专利技术还提供一种使用冷热贴欺骗热红外检测器的对抗攻击系统,包括:
[0029]样本获取模块,用于获取热红外成像下的原始图像样本集,原始图像包含一个或者多个人;
[0030]HotCold Block模型,以冷热贴作为补丁,其用于输入原始图像,并基于粒子群优
化算法,通过面向SSP的对抗优化算法,优化补丁的大小、形状和位置;
[0031]图像生成模块,其用于将原始图像的对应区域替换成补丁,得到攻击图像;
[0032]检测模块,其用于将攻击图像输入到基于DNNs的热红外检测器,在数字空间实现对热红外检测器的对抗攻击。
[0033]上述技术方案中的一个具有如下有益效果:
[0034]通过使用可穿戴的冷热贴作为对抗补丁,能够实现对热红外检测器灵活且隐蔽的对抗攻击。冷热贴会影响红外成像,在热红外检测器下呈现为纯色块,能有效避开人眼和热红外检测器。并且冷热贴可以直接贴在身上,攻击实现较为方便,成本较低。同本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种使用冷热贴欺骗热红外检测器的对抗攻击方法,其特征在于,包括步骤:S1.获取热红外成像下的原始图像样本集,原始图像包含一个或者多个人;S2.将原始图像输入至以冷热贴作为补丁的HotCold Block模型,并基于粒子群优化算法,通过面向SSP的对抗优化算法,优化补丁的大小、形状和位置;S3.将原始图像的对应区域替换成补丁,得到攻击图像;S4.将攻击图像输入到基于DNNs的热红外检测器,在数字空间实现对热红外检测器的对抗攻击;S5.在物理空间,根据S1
‑
S4构造实体冷热贴补丁,将实体热贴补丁放置在人身上的指定位置,在热红外成像下对热红外检测器发动对抗攻击。2.如权利要求1所述的使用冷热贴欺骗热红外检测器的对抗攻击方法,其特征在于,所述S2中基于粒子群优化算法,包括:S201.初始化补丁,随机初始化补丁的形状M和位置P;位置P通过坐标集表示;S202.根据输入的原始图像和初始补丁得到攻击图像,将攻击图像输入到热红外检测器中得到优化算法的目标函数L
obj
;S203.基于粒子群优化算法,本着得到最小目标函数L
obj
的原则,优化补丁的大小、形状和位置。3.如权利要求2所述的使用冷热贴欺骗热红外检测器的对抗攻击方法,其特征在于,所述SSP对抗优化算法包括:初始化粒子群,根据预设的迭代次数epoch;在每一个epoch中,遍历图像样本集中每一张图像,在图像上添加冷热贴在数字空间的仿真色块,然后输入热红外检测器,得到L
obj
1;改变仿真色块的形状M和位置P,在图像上添加改变后的仿真色块,输入热红外检测器,得到L
obj
2;对比L
obj
1和L
obj
2的大小,若L
obj
1>L
obj
2,则更新粒子最优位置和粒子群最优位置,若L
obj
1<L
obj
2,不做处理;每次更新粒子最优位置时,不断调整粒子的速度和位置,使粒子朝着减小L
obj
的方向运动。4.如权利要求3所述的使用冷热贴欺骗热红外检测器的对抗攻击方法,其特征在于,所述S2中通过面向SSP的对抗优化算法,优化补丁的大小包括:使用九宫格模拟数字空间中的补丁,补丁的大小取决于补丁的数量m、所占方格的数量n以及九宫格的边长v,对抗攻击的攻击效果随着补丁的数量m和九宫格的边长...
【专利技术属性】
技术研发人员:王正,卫慧,戴书钰,常元和,
申请(专利权)人:武汉大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。