一种基于模型感知力和注意力的车辆对抗补丁攻击方法技术

本发明专利技术公开了一种基于模型感知力和注意力的车辆对抗补丁攻击方法，获取车辆图像数据集；选取样本作为预选补丁，采用离散余弦变换DCT对预选补丁进行处理，保留其高频信息作为初始对抗补丁；对初始对抗补丁进行处理；将变换后的补丁添加到训练集中目标框的区域，生成对抗样本数据集；将对抗样本数据集送至车辆目标检测器进行训练；模型达到收敛条件后，得到的优化补丁即为最终对抗补丁。本发明专利技术提升了对抗补丁从数字世界到物理世界的可行性，保证了对抗补丁在物理世界的攻击效果。对抗补丁在物理世界的攻击效果。对抗补丁在物理世界的攻击效果。

【技术实现步骤摘要】
一种基于模型感知力和注意力的车辆对抗补丁攻击方法


[0001]本专利技术属于网络安全
，具体涉及一种基于模型感知力和注意力的车辆对抗补丁攻击方法。

技术介绍

[0002]越来越多的领域都可以看到人工智能技术应用的身影，人工智能在未来世界无疑将扮演重要的角色。而深度学习是人工智能发展的重要支柱，近些年来被广泛应用到图像识别、自然语言处理、语音识别等各个领域。虽然人工智能为人类的生活带来了便利，拥有无穷的潜力，但也应注意到其本身也存在很多问题。研究发现，基于多层神经网络的深度学习模型具有一定的脆弱性，对抗样本是威胁深度学习系统完整性和可用性的主要来源之一。
[0003]通过在干净样本中添加特定的扰动得到对抗样本，其会导致分类器以较高的置信度进行错误分类。目前，可见光对抗样本攻击技术按照扰动范围的大小可分为两大类：全局细微扰动和局部明显扰动。全局扰动一般选择在整个图像上添加扰动噪声，如FGSM、PGD、CW等添加噪声后的对抗样本与原始图像十分相似，人眼基本上无法区分，但神经网络却会给出不同的判别结果。而在对抗补丁攻击中，攻击者不再将自己限制在难以察觉的变化中。对抗补丁攻击会生成一个与图像无关的补丁，人眼虽能看出添加补丁后的对抗样本与原始样本之间的区别，但该对抗样本能攻击神经网络，让其输出错误或指定的目标类别。相较于全局像素级的对抗样本，局部对抗补丁不追求视觉上的隐蔽性，易在现实世界中实现攻击效果，对物理世界造成损失。
[0004]现有对抗补丁攻击方案如下：
[0005]Step1:获取车辆数据集；
[0006]Step2:初始化对抗补丁；
[0007]Step3:对补丁进行变换；
[0008]Step4:设计损失函数；
[0009]Step5:将变换后的补丁添加到训练数据集的干净样本中，在训练过程中不更改模型，而是根据损失函数优化更新补丁；
[0010]Step6:将最终得到的对抗补丁添加到干净样本中，生成对抗样本，使检测器做出错误决策。若补丁优化过程中考虑了物理因素，则可将最终得到的对抗补丁通过打印粘贴等方式覆盖在物理世界攻击对象上，使模型做出错误决策，从而在物理世界实现攻击效果。
[0011]上述步骤中，损失函数的不同、初始补丁的差异、补丁的大小和添加位置等都能够影响最终的对抗补丁攻击效果。
[0012]现有技术的缺点：
[0013]现有针对车辆的对抗补丁攻击，大都考虑了光线等环境变化，但忽略了物理世界中补丁覆盖位置对攻击效果的影响。部分方法没有进行真正的物理补丁攻击实验，攻击效果的测试仅停留在数字世界。同时，在补丁优化过程中，没有考虑迁移至其他模型时的攻击
效果。
[0014]总结为：
[0015](1)忽略了物理世界中补丁覆盖位置对攻击效果的影响，或者没有进行物理世界的补丁攻击实验；
[0016](2)迁移性差，无法有效攻击补丁生成模型外的其他检测器。

技术实现思路

[0017]为了克服现有技术的不足，本专利技术提供了一种基于模型感知力和注意力的车辆对抗补丁攻击方法，获取车辆图像数据集；选取样本作为预选补丁，采用离散余弦变换DCT对预选补丁进行处理，保留其高频信息作为初始对抗补丁；对初始对抗补丁进行处理；将变换后的补丁添加到训练集中目标框的区域，生成对抗样本数据集；将对抗样本数据集送至车辆目标检测器进行训练；模型达到收敛条件后，得到的优化补丁即为最终对抗补丁。本专利技术提升了对抗补丁从数字世界到物理世界的可行性，保证了对抗补丁在物理世界的攻击效果。
[0018]本专利技术解决其技术问题所采用的技术方案包括如下步骤：
[0019]步骤1：获取车辆图像数据集；
[0020]步骤2：选取其他模型无法正确检测的样本作为预选补丁，所述其他模型为攻击补丁生成模型外的其他检测器；
[0021]步骤3：采用离散余弦变换DCT对预选补丁进行处理，保留其高频信息作为初始对抗补丁；
[0022]步骤4：对初始对抗补丁进行调节亮度及对比度、添加随机噪声、随机旋转和尺度变换的操作；
[0023]步骤5：将变换后的补丁添加到训练集中目标框的区域，生成对抗样本数据集；
[0024]步骤6：将对抗样本数据集送至车辆目标检测器进行训练，训练过程中不更改车辆目标检测器，而是根据损失函数优化更新补丁；
[0025]步骤7：模型达到收敛条件后，得到的优化补丁即为最终对抗补丁，测试对抗补丁在数字世界的攻击效果；
[0026]步骤8：通过梯度加权类激活映射，获取模型对物理世界车辆指定角度图像的关注区域，该区域即为对抗补丁在物理世界的覆盖位置；
[0027]步骤9：将对抗补丁打印粘贴在攻击对象选定的覆盖位置，模型检测到该角度攻击对象时会做出错误决策。
[0028]进一步地，所述步骤3具体为：
[0029]对预选补丁采用整体离散余弦变换，根据系数图将低频部分置零，保留其高频部分，然后进行整体反离散余弦变换，将高频信息作为初始对抗补丁。
[0030]进一步地，所述步骤4具体为：
[0031]对初始对抗补丁进行变换操作时，亮度变换范围为[
‑
0.1，0.1]，对比度变换范围为[0.8，1.2]，随机噪声因子为0.1，旋转变换范围为[
‑
20，20]，补丁尺度调整因子为
其中w、h分别为车辆目标框的宽、高，s
patch
为补丁原尺寸。
[0032]进一步地，所述步骤6的损失函数具体为：
[0033]损失函数包含了打印损失l
p
、变化损失l
s
和置信度损失l
obj
：
[0034]L＝αl
p
+βl
s
+l
obj
[0035]其中，α，β为权重因子；
[0036]打印损失函数l
p
反映了补丁从数字世界到物理世界的不可打印程度：
[0037][0038]其中，p
patch
表示对抗补丁P中的一个像素，c
print
表示可打印颜色集合C中一种颜色；
[0039]变化损失函数l
s
反映了补丁的平滑程度：
[0040][0041]其中，p
i,j
表示第i行第j列的像素值；
[0042]置信度损失函数l
obj
反映检测框中含有目标的概率。
[0043]进一步地，所述目标检测器为YOLOv2。
[0044]本专利技术的有益效果如下：
[0045]本专利技术考虑了补丁打印损失、光照等环境变化的同时，基于模型注意力模式给出了物理世界中补丁的覆盖位置，基于模型感知能力提高了对抗补丁的迁移性，提升了对抗补丁从数字世界到物理世界的可行性，保证了对抗补丁在物理世界的攻击效果。
附图说明
[0046]图1是本专利技术方法框架图。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于模型感知力和注意力的车辆对抗补丁攻击方法，其特征在于，包括如下步骤：步骤1：获取车辆图像数据集；步骤2：选取其他模型无法正确检测的样本作为预选补丁，所述其他模型为攻击补丁生成模型外的其他检测器；步骤3：采用离散余弦变换DCT对预选补丁进行处理，保留其高频信息作为初始对抗补丁；步骤4：对初始对抗补丁进行调节亮度及对比度、添加随机噪声、随机旋转和尺度变换的操作；步骤5：将变换后的补丁添加到训练集中目标框的区域，生成对抗样本数据集；步骤6：将对抗样本数据集送至车辆目标检测器进行训练，训练过程中不更改车辆目标检测器，而是根据损失函数优化更新补丁；步骤7：模型达到收敛条件后，得到的优化补丁即为最终对抗补丁，测试对抗补丁在数字世界的攻击效果；步骤8：通过梯度加权类激活映射，获取模型对物理世界车辆指定角度图像的关注区域，该区域即为对抗补丁在物理世界的覆盖位置；步骤9：将对抗补丁打印粘贴在攻击对象选定的覆盖位置，模型检测到该角度攻击对象时会做出错误决策。2.根据权利要求1所述的一种基于模型感知力和注意力的车辆对抗补丁攻击方法，其特征在于，所述步骤3具体为：对预选补丁采用整体离散余弦变换，根据系数图将低频部分置零，保留其高频部分，然后进行整体反离散余弦变换，将高频信息作为初始对抗补丁。3.根据权利要求2所述的一种基于模型感知力和注意力的车辆对抗补丁攻击方法，其特征在于，所述步骤4具体为：对初始对抗补丁进行变换操作时，亮度变换范围为[

【专利技术属性】
技术研发人员：蒋雯，耿盼娜，邓鑫洋，
申请(专利权)人：西北工业大学，
类型：发明
国别省市：