【技术实现步骤摘要】
对抗图像生成方法、装置、电子设备及存储介质
[0001]本公开涉及计算机视觉
,尤其涉及深度学习、自动驾驶
具体涉及一种对抗图像生成方法、装置、电子设备及存储介质。
技术介绍
[0002]对抗图像是指含有蓄意或故意干扰像素来混淆或欺骗模型的图像。对抗图像可以导致深度神经网络做出错误的预测。
[0003]随着目标检测技术在自动驾驶安全领域的广泛应用,对目标检测模型的安全性要求也越来越高。
技术实现思路
[0004]本公开提供了一种对抗图像生成方法、装置、电子设备及存储介质。
[0005]根据本公开的一方面,提供了一种对抗图像生成方法,包括:利用第一补丁图像对样本图像集中的目标样本图像进行遮挡处理,得到扰动区域位置彼此不同的多个第一图像;并通过对多个第一图像进行目标检测,得到M个第二图像和与M个第二图像对应的扰动区域的多个候选位置信息,其中,M为大于等于1的整数。针对第m个第二图像,调整第一补丁图像的尺寸,得到扰动区域尺寸彼此不同的多个第三图像;并通过对多个第三图像进行目标检测,确定...
【技术保护点】
【技术特征摘要】
1.一种对抗图像生成方法,包括:利用第一补丁图像对样本图像集中的目标样本图像进行遮挡处理,得到扰动区域位置彼此不同的多个第一图像;并通过对所述多个第一图像进行目标检测,得到M个第二图像和与所述M个第二图像对应的扰动区域的多个候选位置信息,其中,M为大于等于1的整数;针对第m个第二图像,调整所述第一补丁图像的尺寸,得到扰动区域尺寸彼此不同的多个第三图像;并通过对所述多个第三图像进行目标检测,确定所述扰动区域的多个候选尺寸,其中,m为大于等于1且小于等于M的整数;基于所述多个候选位置信息和所述多个候选尺寸,对所述样本图像集中的样本图像添加扰动信息,得到候选对抗图像集;以及通过对所述候选对抗图像集和所述样本图像集进行目标检测,从所述候选对抗图像集中得到目标对抗图像。2.根据权利要求1所述的方法,其中,所述利用第一补丁图像对样本图像集中的目标样本图像进行遮挡处理,得到扰动区域位置彼此不同的多个第一图像,包括:根据所述目标样本图像中目标对象的位置信息,确定所述第一补丁图像的第一起始位置信息;以及根据所述第一起始位置信息,利用所述第一补丁图像以第一步长对所述目标样本图像执行滑窗操作,得到所述多个第一图像。3.根据权利要求2所述的方法,其中,所述根据所述第一起始位置信息,利用所述第一补丁图像以第一步长对所述目标样本图像执行滑窗操作,得到所述多个第一图像,包括:确定第一步长和第一移动方向的信息;以及利用所述第一补丁图像,对所述目标样本图像沿着所述第一移动方向以所述第一步长执行滑窗操作,得到所述多个第一图像。4.根据权利要求1所述的方法,其中,所述通过对所述多个第一图像进行目标检测,得到M个第二图像和与所述M个第二图像对应的扰动区域的多个候选位置信息,包括:对所述多个第一图像进行目标检测,得到第一检测结果,其中,所述第一检测结果表征目标对象被正确识别的置信度;根据所述第一检测结果,从所述多个第一图像中得到M个第二图像;以及针对第m个第二图像,根据所述第一补丁图像在第m个第二图像中的位置信息,确定所述扰动区域的第m个候选位置信息。5.根据权利要求1所述的方法,其中,所述针对第m个第二图像,调整所述第一补丁图像的尺寸,得到多个扰动区域尺寸不同的多个第三图像,包括:根据第m个第二图像中所述第一补丁图像的位置信息,确定所述第一补丁图像调整尺寸的第二起始位置信息;以及根据所述第二起始位置信息,以第二步长调整所述第一补丁图像的尺寸,得到多个第三图像。6.根据权利要求5所述的方法,其中,所述根据所述第二起始位置信息,以第二步长调整所述第一补丁图像的尺寸,得到多个第三图像,包括:确定第二步长和第二移动方向的信息;以及沿着所述第二移动方向,以所述第二步长调整所述第一补丁图像的尺寸,得到多个第
三图像。7.根据权利要求1所述的方法,其中,所述通过对所述多个第三图像进行目标检测,确定所述扰动区域的多个候选尺寸,包括:对所述多个第三图像进行目标检测,得到第二检测结果,其中,所述第二检测结果表征目标对象被正确识别的置信度;根据所述第二检测结果,从所述多个第三图像中得到N个第四图像,N为大于等于1的整数;以及针对第n个第四图像,根据所述第n个第四图像中第二补丁图像的尺寸信息,确定所述扰动区域的第n个候选尺寸信息,n为大于等于1且小于等于N的整数。8.根据权利要求1所述的方法,其中,所述多个候选位置信息包括M个,所述候选尺寸信息包括S个,其中,M、S均为大于等于1的整数,所述基于所述多个候选位置信息和所述多个候选尺寸,对所述样本图像集中的样本图像添加扰动信息,得到候选对抗图像集,包括:根据第m个候选位置信息、第s个候选尺寸信息,得到所述目标样本图像的扰动信息,其中,s为大于等于1且小于等于S的整数;根据所述目标样本图像的扰动信息和第一样本图像的目标检测框信息,得到所述第一样本图像的扰动信息,所述第一样本图像表征所述样本图像集中除所述目标样本图像之外的任一样本图像;以及对所述目标样本图像添加所述目标样本图像的扰动信息,对所述第一样本图像添加所述第一样本图像的扰动信息,得到候选对抗图像集。9.根据权利要求8所述的方法,其中,所述根据所述目标样本图像的扰动信息和第一样本图像的目标检测框信息,得到所述第一样本图像的扰动信息,包括:根据所述目标样本图像的扰动信息和所述目标样本图像的目标检测框信息,得到扰动偏移信息;以及根据所述扰动偏移信息和所述第一样本图像的目标检测框信息,得到所述第一样本图像的扰动信息。10.根据权利要求1所述的方法,其中,所述通过对所述候选对抗图像集和所述样本图像集进行目标检测,从所述候选对抗图像集中得到目标对抗图像,包括:对所述候选对抗图像集进行目标检测,得到对抗图像特征和对抗图像的置信度;对所述样本图像集进行目标检测,得到样本图像特征和样本图像的置信度;基于目标损失函数,根据所述对抗图像特征、所述对抗图像、所述样本图像特征和所述样本图像的置信度,得到图像攻击结果;以及根据所述图像攻击结果,从所述候选对抗图像集中得到目标对抗图像。11.根据权利要求1所述的方法,其中,所述目标对抗图像用于评估目标检测模型的识别风险。12.根据权利要求1所述的方法,其中,所述方法还包括:利用所述目标检测模型对所述目标对抗图像进行检测,得到第三检测结果,所述第三检测结果表征目标对象被正确识别的置信度;在所述第三检测结果小于预定阈值的情况下,确定所述目标检测模型存在识别风险。13.一种对抗图像生成的装置,包括:
第一处理模块,用于利用第一补丁图像对样本图像集中的目标样本图像进行遮挡处理,得到扰动区域位置彼此不同的多个第一图像;并通过对所述多个第一图像进行目标检测,得到M个第二图像...
【专利技术属性】
技术研发人员:田伟娟,包沉浮,王洋,高梦晗,吕中厚,黄英仁,张华正,
申请(专利权)人:北京百度网讯科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。