一种针对视觉目标跟踪的对抗样本攻击方法技术

本发明专利技术属于对抗攻击技术领域，公开了一种针对视觉目标跟踪的对抗样本攻击方法

【技术实现步骤摘要】
一种针对视觉目标跟踪的对抗样本攻击方法、系统及终端


[0001]本专利技术属于对抗攻击
，尤其涉及一种针对视觉目标跟踪的对抗样本攻击方法
、
系统及终端
。

技术介绍

[0002]随着深度学习的快速发展，深度学习被应用于解决各类问题，包括各类计算机视觉任务，如分类
、
检测
、
跟踪和生成等不同的任务
。
但是在处理计算机视觉任务时会受到攻击，此类对抗攻击人类视觉系统往往难以察觉，会使其以较高的置信度输出错误结果
。
目前对抗攻击领域主要针对目标识别和分类任务进行对抗攻击，针对目标跟踪相关任务的对抗攻击方式还十分欠缺
。
目标跟踪任务在现实中也被广泛应用于无人驾驶
、
智慧交通
、
监控等各个领域，与人们的生命和财产安全息息相关，提高跟踪精度和速度后，如何获得更鲁棒的跟踪模型是后续研究的议题之一，但只有先了解如何攻击才能了解如何防御
。
[0003]对抗样本本质是一项对抗攻击任务，其目的是对于目标跟踪任务进行攻击，使其跟丢目标
。
对抗攻击问题随着视觉目标跟踪的发展更凸显出其重要性，通过对抗攻击问题的研究找到跟踪网络的脆弱性和弱点，为执行后期模型的防御策略打下坚实基础，设计出更为鲁棒性的跟踪模型，提高安全性能
。
[0004]目前针对视觉目标跟踪的对抗攻击主要可以分为两种方式：黑盒攻击和白盒攻击
。
分类依据为对于被攻击跟踪模型参数的获取程度，黑盒攻击只能获取输入和输出参数，白盒攻击可以获得跟踪模型的所有算法和参数
。
[0005]虽然近几年针对视觉目标跟踪的攻击方法研究取得了一定的进步，但仍然十分欠缺，大多数对抗攻击方法依然停留在图像识别和分类任务上，目标跟踪等复杂任务上的对抗攻击研究较少
。
现存的绝大多数针对目标跟踪的对抗方法只针对孪生网络的跟踪模型，没有通用
、
普适性的对抗攻击方法
。
尽管最近有研究提出使用交并比分数来进行视觉目标跟踪的对抗攻击，但是这种方法仍然只能针对孪生网络
、
局限性较强
。
[0006]通过上述分析，现有技术存在的问题及缺陷为：基于针对视觉目标跟踪对抗攻击往往只能攻击孪生网络，对于其他类型的跟踪模型几乎没有涉及；而且大多数对抗样本生成方法都需要改变整个数据集以进行攻击，易被察觉
。

技术实现思路

[0007]针对现有技术存在的问题，本专利技术提供了一种针对视觉目标跟踪的对抗样本攻击方法
、
系统及终端
。
[0008]本专利技术通过随机选定干扰图像数据集，在原始数据集中匹配与干扰图像最接近的
50
张图像作为将要攻击的对象，改变原始图像特征生成对抗样本图像，使其在特征空间与干扰图像一致，在像素空间与原始图像一致，最后将生成对抗样本替换至测试集，执行跟踪算法最终实现攻击，是一种针对视觉目标跟踪的对抗样本攻击方法，可被称为
USAE(Universal and Sparse AdversarialExamples)
，针对视觉目标跟踪的对抗样本攻击方法
包括：
[0009]S1
，随机干扰图像选取，并添加补丁：在其他不相关数据集中，随机选取若干类别图像作为干扰图像，并在干扰图像的随机位置添加一个大小为
80
×
80
像素的补丁；
[0010]S2
，扰动测试图像特征，生成对抗样本：在干扰图像数据集和跟踪测试集中图像进行匹配，选取特征最接近的作为一对，通过优化测试集中原始图像，使其接近配对干扰图像特征，并保持原像素空间尽量不变，并采用标准梯度下降方法进行优化，以此生成对抗样本；
[0011]S3
，样本替换，攻击目标跟踪算法：将生成的对抗样本替换至原始测试集，每个视频序列只替换
50
张图像，形成对抗测试集；并用于目标跟踪模型测试，评估跟踪结果即攻击效果
。
[0012]进一步，
S1
中选取
ImageNet
数据集中若干类作为干扰图像数据集，
ImageNet
数据集共包含
14197122
张图片，共
1000
类别，只需选取少量类别，即可获得足够干扰图像
。
[0013]进一步，
S2
中
USAE
对抗样本生成过程包括：
[0014]令原始图像为
c
，干扰图片为
a
，补丁为
p
，将补丁
p
粘贴至
a
上得到加上补丁的干扰图像为通过下式生成对抗样本
y
：
[0015][0016]st.‖y
‑
c‖
∞
<∈
；
[0017]其中的
f(
·
)
是深度模型的中间特征，为
AlexNet
的
fc7
全连接层；
∈
值很小，设为
16
，是为了确保中毒数据
y
和目标图片在特征空间非常接近
。
[0018]进一步，
S2
中，使用标准梯度下降方法对模型进行梯度优化，经过若干次迭代后，可得到优化后生成方程：
[0019][0020][0021]其中
y
x
为获得的对抗样本第
x
次迭代，
m(x)
为一一对应匹配函数，即为对应添加补丁后的干扰图像
。
[0022]进一步，
S3
对于任意数据集都可生成相应对抗样本，对于任意跟踪器都具有通用的攻击性
。
[0023]本专利技术的另一目的在于提供一种应用所述的针对视觉目标跟踪的对抗样本攻击方法的针对视觉目标跟踪的对抗样本攻击系统，针对视觉目标跟踪的对抗样本攻击系统包括：
[0024]图像选取模块，用于进行随机干扰图像选取，并添加补丁：在其他不相关数据集中，随机选取若干类别图像作为干扰图像，并在干扰图像的随机位置添加一个大小为
80
×
80
像素的补丁；
[0025]样本生成模块，用于扰动测试图像特征，生成对抗样本：在干扰图像数据集和跟踪测试集中图像进行匹配，选取特征最接近的作为一对，通过优化测试集中原始图像，使其接近配对干扰图像特征，并保持原像素空间尽量不变，并采用标准梯度下降方法进行优化，以此生成对抗样本；
[0026]样本替换模块，用于进行样本替换，攻击目标跟踪算法：将生成的对抗样本替换至原始测试集，每个视频序列只替换
50
张图像，形成对抗测试本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种针对视觉目标跟踪的对抗样本攻击方法，其特征在于，该方法首先从其他无关的数据集中随机选取干扰图像并在其上添加特定补丁，接着通过优化原始图像的特征使其在特征空间内接近这些干扰图像而在像素空间保持不变，最后替换测试集的部分图像执行跟踪算法，对视觉目标跟踪算法的攻击效果
。2.
如权利要求1所述的针对视觉目标跟踪的对抗样本攻击方法，其特征在于，针对视觉目标跟踪的对抗样本攻击方法包括：
S1
，随机干扰图像选取，并添加补丁：在其他不相关数据集中，随机选取若干类别图像作为干扰图像，并在干扰图像的随机位置添加一个大小为
80
×
80
像素的补丁；
S2
，扰动测试图像特征，生成对抗样本：在干扰图像数据集和跟踪测试集中图像进行匹配，选取特征最接近的作为一对，通过优化测试集中原始图像，使其接近配对干扰图像特征，并保持原像素空间尽量不变，并采用标准梯度下降方法进行优化，以此生成对抗样本；
S3
，样本替换，攻击目标跟踪算法：将生成的对抗样本替换至原始测试集，每个视频序列只替换
50
张图像，形成对抗测试集；并用于目标跟踪模型测试，评估跟踪结果即攻击效果
。3.
如权利要求2所述的针对视觉目标跟踪的对抗样本攻击方法，其特征在于，
S1
中选取
ImageNet
数据集中若干类作为干扰图像数据集，
ImageNet
数据集共包含
14197122
张图片，共
1000
类别，只需选取少量类别，即可获得足够干扰图像
。4.
如权利要求2所述的针对视觉目标跟踪的对抗样本攻击方法，其特征在于，
S2
中
USAE
对抗样本生成过程包括：令原始图像为
c
，干扰图片为
a
，补丁为
p
，将补丁
p
粘贴至
a
上得到加上补丁的干扰图像为通过下式生成对抗样本
y
：
st.||y
‑
c||∞
＜
∈
；其中的
f(
·
)
是深度模型的中间特征，为
AlexNet
的
fc7
...

【专利技术属性】
技术研发人员：张大伟，盛晶晶，肖昕，郑忠龙，
申请(专利权)人：浙江师范大学，
类型：发明
国别省市：