本发明专利技术公开了全覆盖隐蔽定向对抗攻击方法,属于人工智能安全领域。本发明专利技术的全覆盖隐蔽定向对抗攻击方法,首先获得输入的模型和纹理信息等;应用每一轮训练的纹理在模型上;计算攻击损失和隐蔽损失;通过损失迭代优化形成最终的对抗纹理。本发明专利技术采用一个新颖的针对yolo模型的定向攻击损失函数,优于目前只能进行非定向攻击的攻击方法,发现了更大的人工智能安全领域漏洞,为以后的防御思路做出贡献。本发明专利技术用于安全性评估、防御方法改进、数据集增强以及异常检测与故障排除,可以提高检测模型的鲁棒性、安全性和可靠性,为人工智能安全领域的预防做出贡献,促进人工智能系统的发展与应用。与应用。与应用。
【技术实现步骤摘要】
全覆盖隐蔽定向对抗攻击方法
[0001]本专利技术设计对抗攻击方法,特别是全覆盖隐蔽定向对抗攻击方法,为人工智能安全方面做贡献。
技术介绍
[0002]虽然人工智能迅速发展,但越来越多的安全问题也随之被发现。大量的针对人工智能模型的攻击方法被提出。这些方法可以按照以下几个方面进行分类。
[0003]一是按照攻击的应用场景可以分为电子域攻击和物理域攻击,电子域攻击是在图片上添加人眼难以察觉的扰动,以形成对抗样本,使得分类模型或检测模型输出错误的结果,由于是直接在图片上添加噪声,这类攻击难以应用到现实世界中。物理域攻击是通过对抗训练训练出一个通用的模式:补丁或者扰动能够附着在物理世界中的物体上,从而导致检测模型难以检测或者输出错误的检测结果,这类攻击易被人眼察觉,因此补丁和伪装隐蔽性也是一个重要的话题。这类具有代表性的工作有:advpatch,UPC,DAS,FCA等。
[0004]二是按照模型知识是否已知进行分类,分为白盒攻击、半黑盒攻击和黑盒攻击。白盒攻击是在攻击前已知攻击对象模型的所有信息,从而产生具有针对该模型的特异性对抗补丁或伪装。半黑盒攻击是能够得到模型的输出信息,此类具有代表性的攻击方法是查询攻击。黑盒攻击是模型本身的信息和模型的输入输出都无法得知,只能针对代理模型进行攻击,并在未知模型上测试攻击效果。
[0005]三是按照攻击后检测模型输出的类别是否指定进行分类,可以分为非定向攻击和定向攻击。其中非定向攻击是使检测模型检测不到或者输出和标签不同的类别,定向攻击是使检测模型检测不到或者输出为指定的类别。定向攻击往往比非定向攻击难度更具有威胁性和挑战性。
技术实现思路
[0006]本专利技术解决的技术问题:提供一种运用神经渲染器针对检测模型的攻击方法,生成的伪装能够使检测模型定向检测成目标类别,且和环境相似具有隐蔽能力。
[0007]技术方案:为了解决上述技术问题,本专利技术采用的技术方案如下:
[0008]本专利技术的全覆盖隐蔽定向对抗攻击方法,首先获得输入的模型和纹理信息等;应用每一轮训练的纹理在模型上;根据公式计算攻击损失和隐蔽损失;通过损失迭代优化形成最终的对抗纹理。
[0009]进一步地,步骤1中,通过分割网络U分割仿真图片中的坦克模型,得到关于坦克的掩膜mask,并且将其和纹理信息一起输入到定向隐蔽对抗伪装训练程序中。
[0010]进一步地,步骤2中,应用每一轮训练的纹理在模型上,具体实现方式如下:
[0011]步骤2.1:从训练集()中选择小批次样本数据;表示带有原始待处理模型的场景图片,表示目标的真值标签,表示摄像头的角度信息;
[0012]步骤2.2:将模型、每一轮的对抗纹理,以及渲染器相机参数输入到神经渲染器中,
通过神经渲染器渲染出应用对抗纹理后的模型的图片;
[0013]步骤2.3:将神经渲染器产生的应用伪装纹理后的模型图像结合到场景图像中。
[0014]进一步地,步骤2.3中,将二值掩码m和二值掩码的补集(1
‑
m)分别与经过渲染后的图像和带有原始待处理模型的场景图片进行像素级相乘再相加,得到带有对抗纹理的模型转移到场景中之后的图片;
[0015];
[0016]其中,为带有原始待处理模型的场景图片,m为利用分割网络裁剪背景得到的二值掩码,表示物理转换功能,是将伪装后的模型和背景结合。
[0017]进一步地,步骤3中,计算定向攻击损失的方法为:
[0018][0019]其中,表示交叉熵损失函数,F表示检测器的检测分数,表示带有对抗纹理的模型转移到场景中之后的图片;表示检测结果中选取目标类t的第i个尺度概率,表示目标类标签。
[0020]进一步地,步骤3中,通过风格损失公式计算出隐蔽损失:
[0021];
[0022]其中,表示隐蔽性损失,G表示在一组风格层面上提取的深度特征的Gram矩阵;表示一个不同于目标模型的特征提取器Vgg,表示训练集,为带有对抗纹理的模型经过渲染后的图像;为选定的风格参考图像,M表示想要伪装的三维模型。
[0023]有益效果:与现有技术相比,本专利技术具有以下优点:
[0024](1)本专利技术设计了一个新颖的定向攻击损失函数,能够针对yolo模型进行定向攻击,同时将风格迁移和三维对抗训练相结合,将三维模型的表面纹理优化成与所设置的环境背景图片相近风格的纹理,使整个被伪装的物体与背景环境更加相似,从而更加不容易被人眼所察觉,达到同时欺骗检测模型和人眼的目的,从而指出了人工智能和人眼识别的安全隐患,优于目前只能进行非定向攻击的攻击方法,发现了更大的人工智能安全领域漏洞,为以后的防御思路做出贡献。
[0025](2)本专利技术将风格迁移与三维空间对抗训练相结合,训练出具有和背景环境风格一致的对抗伪装,提高伪装对于人眼的隐蔽性,从而指出了人工智能和人眼识别的安全隐患,为人工智能安全领域的预防做出贡献。
[0026](3)本专利技术在carla仿真数据集和物理域进行了实验,充分证明了本申请方法的广泛适用性,说明其适用于不同环境和条件下的应用。这意味着无论是在虚拟仿真环境中还是在真实世界中,本方法都能有效地应用于相关领域。
[0027](4)人工智能检测模型的隐蔽性定向检测攻击是一种技术,旨在评估和增强检测模型对隐蔽定向攻击的鲁棒性。这种攻击模拟了针对检测模型的有意隐藏性攻击,以评估模型在现实世界中的应对能力。
附图说明
[0028]图1是本专利技术全覆盖隐蔽定向对抗攻击方法的流程示意图。
具体实施方式
[0029]下面结合具体实施例,进一步阐明本专利技术,实施例在以本专利技术技术方案为前提下进行实施,应理解这些实施例仅用于说明本专利技术而不用于限制本专利技术的范围。
[0030]本专利技术的全覆盖隐蔽定向对抗攻击方法,首先获得输入的模型和纹理信息等;应用每一轮训练的纹理在模型上;计算攻击损失和隐蔽损失;通过损失迭代优化形成最终的对抗纹理。具体包括如下步骤:
[0031]步骤1:获得输入的模型、纹理信息和掩膜等。方法如下:
[0032]通过分割网络U分割仿真图片中的坦克模型,得到关于坦克的掩膜mask,并且将其和纹理信息一起输入到定向隐蔽对抗伪装训练程序中,步骤如下:
[0033]步骤1.1:获得输入的模型和纹理信息;
[0034]步骤1.2:应用每一轮训练的纹理在模型上;
[0035]步骤1.3:计算攻击损失和隐蔽损失;
[0036]步骤1.4:通过损失迭代优化形成最终的对抗纹理。
[0037]步骤2:应用每一轮训练的纹理在模型上;具体实现方式包括以下步骤:
[0038]步骤2.1:从训练集()中选择小批次样本数据。表示带有原始待处理模型的场景图片,表示目标的真值标签,表示摄像头的角度信息。
[0039]步骤2.2:将模型、每一轮的对抗纹理,以及渲染器相机参数输入到神经渲染器中,通过神经渲染器渲染出应用对抗纹理后的模型的图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种全覆盖隐蔽定向对抗攻击方法,其特征在于,包括以下步骤:步骤1:获得输入的模型和纹理信息;步骤2:应用每一轮训练的纹理在模型上;步骤3:计算攻击损失和隐蔽损失;步骤4:通过损失迭代优化形成最终的对抗纹理。2.根据权利要求1所述的全覆盖隐蔽定向对抗攻击方法,其特征在于:步骤1中,通过分割网络U分割仿真图片中的坦克模型,得到关于坦克的掩膜mask,并且将其和纹理信息一起输入到定向隐蔽对抗伪装训练程序中。3.根据权利要求2所述的全覆盖隐蔽定向对抗攻击方法,其特征在于:步骤2中,应用每一轮训练的纹理在模型上,具体实现方式如下:步骤2.1:从训练集()中选择小批次样本数据;表示带有原始待处理模型的场景图片,表示目标的真值标签,表示摄像头的角度信息;步骤2.2:将模型、每一轮的对抗纹理,以及渲染器相机参数输入到神经渲染器中,通过神经渲染器渲染出应用对抗纹理后的模型的图片;步骤2.3:将神经渲染器产生的应用伪装纹理后的模型图像结合到场景图像中。4.根据权利要求3所述的全覆盖隐蔽定向对抗攻击方法,其特征在于:步骤...
【专利技术属性】
技术研发人员:练智超,周宏拓,陈洲源,
申请(专利权)人:南京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。