【技术实现步骤摘要】
所属的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的存储装置、处理装置的具体工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的模块、方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,软件模块、方法步骤对应的程序可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或内所公知的任意其它形式的存储介质中。为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本专利技术的范围。术语“第一”、“第二”等是用于区别类似的对象,而不是用于描述或表示特定的顺序或先后次序。术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备/装置不仅包括那些要素,而且还包括没有明确列出的其它要素,或者还包括这些过程、方法、物品或者设备/装置所固有的要素。至此,已经结合附图所示的优选实施方式描述了本专利技术的技术方案,但是,本领域技术人员容易理解的是,本专利技术的保护范围显然不局限于这些具体实施方式。在不偏离本专利技术的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本专利技术的保
技术介绍
1、近年来,深度学习、人工智能等字眼越来越被大众所熟知,深度神经网络在自然语言处理、图像识别、目标检测、实例分割等领域大放异彩。其中作为计算机视觉关键任务之一的目标检测具有极高的应用价值,在实际的生产生活中得到了广泛应用,如闸机搭载的人脸识别系统、工业生产流程中的缺陷检测、汽车的自动驾驶系统等。然而,对抗攻击领域的相关研究表明,深度神经网络其实是十分脆弱而易受攻击的,对输入数据施加人为设计的微小改动,其输出结果将发生错误,甚至输出可以被误导为攻击者想要的结果。
2、对抗攻击可以广泛地施加在自然语言处理、语音识别、视频追踪、图像分类、目标检测、实例分割等领域的神经网络模型上。针对目标检测模型,对抗攻击可以使其错检、漏检,在国防等领域有重要应用价值。
3、按攻击的对象,对抗攻击可以分为两类:数字域攻击与物理域攻击。数字域攻击是指,攻击者直接修改在计算机中存储的图像,可以精细到像素级的修改,将修改后的图像送入目标检测模型中进行攻击;物理域攻击中,攻击者无法对搭载了目标检测模型的系统施加影响,只能对真实的目标物体进行外观上的修改,比如贴附具有对抗攻击效果的补丁,使得系统的成像设备采集到具有攻击性的输入图像,从而达到攻击效果。物理域的对抗攻击表现为其现实应用。
4、对抗攻击还可以分为白盒攻击与黑盒攻击两类。在生成对抗攻击补丁时,如果攻击者可以获得被攻击模型的如网络结构、权重参数等内部信息,则将该方式称为白盒攻击;反之,对内部信息一无所知,能利用的信息只有模型的输出结果则被称为黑盒攻击。
5、在进行对抗攻击的现实情境中,往往被攻击的目标检测系统是未知的,表现为黑盒模型,因此物理域的黑盒攻击十分具有研究意义与应用价值。目前的物理域黑盒攻击方案多为选定结构、参数已知的白盒模型为目标,生成得到对抗攻击补丁,利用对抗攻击补丁本身的攻击迁移性攻击结构未知的模型,达到黑盒攻击的效果。攻击迁移性是指针对某个模型生成得到的对抗攻击补丁,攻击其他模型时也具有一定的攻击效果。
6、目前的对抗攻击技术存在以下问题:使用白盒对抗攻击技术攻击目标检测模型时,攻击成功率略低;黑盒对抗攻击技术依赖于对抗攻击补丁本身的攻击迁移性进行黑盒攻击,攻击原本的模型效果好,攻击其他结构未知的黑盒模型效果不佳,攻击成功率有待提高。
技术实现思路
1、为了解决现有技术中的上述问题,即针对目标检测模型,白盒攻击的攻击成功率较低,黑盒攻击的迁移性较差的问题,本专利技术提供了一种基于注意力约束的目标检测对抗攻击补丁生成方法,所述对抗攻击补丁生成方法包括:
2、步骤s10,初始化设定大小的对抗攻击补丁,将所述对抗攻击补丁贴附在目标检测模型输入图像的目标位置,作为对抗攻击图像;
3、步骤s20,根据目标检测模型的内部信息及预测输出,通过注意力损失函数计算所述对抗攻击图像的注意力损失值;所述内部信息包括网络结构、权重参数、网络中间层的输出特征;
4、步骤s30,分别计算目标检测模型对欲攻击类别的检测损失值、对抗攻击补丁的打印损失值、对抗攻击补丁的平滑度损失值;
5、步骤s40,以所述注意力损失值、所述检测损失值、所述打印损失值和所述平滑度损失值的加权和作为总损失值,基于所述总损失值进行反向传播以生成对抗攻击补丁;
6、步骤s50,以所述对抗攻击补丁替代初始化的对抗攻击补丁,重复进行步骤s20-步骤s40优化上一次迭代操作所得的对抗攻击补丁,直至达到设定迭代次数,获得最终对抗攻击补丁。
7、在一些优选的实施例中,步骤s20包括:
8、步骤s21,根据对抗攻击补丁在对抗攻击图像中贴附的位置,计算对抗攻击补丁区域的前景掩膜和非补丁区域的背景掩膜;
9、步骤s22,根据欲攻击类别和选定的目标检测模型结构层,基于目标检测模型的输出生成对应欲攻击类别的对抗攻击图像注意力图;
10、步骤s23,基于所述对抗攻击图像注意力图和所述前景掩膜计算前景损失,基于所述对抗攻击图像注意力图和所述背景掩膜计算背景损失,基于所述前景损失和所述背景损失计算对抗攻击图像对应欲攻击类别的注意力损失值。
11、在一些优选的实施例中,步骤s22包括:
12、步骤s221,获取目标检测模型的最终输出中的所述欲攻击类别对应的分类特征图和相对应的目标概率特征图;
13、步骤s222,将所述分类特征图和所述目标概率特征图按元素相乘后对相乘的结果求和,获得所述欲攻击类别的置信度分数y;
14、步骤s223,基于所述置信度分数y,计算选定的目标检测模型结构层的输出特征图各通道权重;
15、步骤s224,基于所述各通道权重进行相应的通道特征图的加权和求和,并剔除值为负的元素值,获得对抗攻击图像注意力图。
16、在一些优选的实施例中,所述输出特征图各通道权重,其第个通道中像素坐标的索引值和下的通道特征的权重为:
17、;
18、;
19、其中,为激活函数,代表欲攻击类别的置信度分数,代表求偏导,为输出特征图第个通道的归一化因子,和以及和分别为特征图中像素坐标的索引值,代表第个通道中像素坐标的索引值和下的通道特征。
20、在一些优选的实施例中,所述对抗攻击图像注意力图为:
21、;
【技术保护点】
1.一种基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述对抗攻击补丁生成方法包括:
2.根据权利要求1所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,步骤S20包括:
3.根据权利要求2所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,步骤S22包括:
4.根据权利要求3所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述输出特征图各通道权重,其第 个通道中像素坐标的索引值和下的通道特征的权重为:
5.根据权利要求4所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述对抗攻击图像注意力图为:
6.根据权利要求5所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述对抗攻击图像对应欲攻击类别的注意力损失值为:
7.根据权利要求1所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述检测损失值为:
8.根据权利要求1所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述对抗攻击补丁的打
9.根据权利要求1所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述对抗攻击补丁的平滑度损失值为:
10.一种基于注意力约束的目标检测对抗攻击补丁生成系统,其特征在于,所述对抗攻击补丁生成系统包括:
...【技术特征摘要】
1.一种基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述对抗攻击补丁生成方法包括:
2.根据权利要求1所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,步骤s20包括:
3.根据权利要求2所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,步骤s22包括:
4.根据权利要求3所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述输出特征图各通道权重,其第 个通道中像素坐标的索引值和下的通道特征的权重为:
5.根据权利要求4所述的基于注意力约束的目标检测对抗攻击补丁生成方法,其特征在于,所述对抗攻击图像注意力图为:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。