【技术实现步骤摘要】
本专利技术涉及机器学习对抗,特别是涉及一种目标检测网络模型对抗攻击方法及装置。
技术介绍
1、机器学习对抗是指针对机器学习算法进行攻击或防御的技术。在机器学习的工程实践中,部署机器学习的系统容易受到对抗样本的攻击,对抗样本是指通过对原始数据加入特定的扰动信息,使得原始机器学习模型对扰动后的数据识别错误的技术。
2、在机器学习对抗领域的现有技术中,针对目标检测模型的攻击,通常采用对抗纹理对目标检测模型进行攻击,对抗纹理可以起到攻击目标检测模型的技术效果。然而,此类对抗纹理对于人眼而言十分显著,人眼可以很容易发现附着有对抗纹理的目标。因此,需要在现有技术基础上,研发可以欺骗人眼且保持稳定攻击性能的对抗攻击技术。
3、此外,由于对抗纹理块需要附着到特定目标上,目标本身的形状差异较大,而现存的对抗纹理图案生成方法输出的多为正方形的对抗纹理。在应用到数字图像之上时,会产生明显的适形偏差。因此,在本
也需要研发适合于不同形状目标的对抗纹理块生成技术。
4、因此,亟需提供一种目标检测网络模型对抗攻击方法及装置,以实现诱导目标检测网络模型在物理世界中对不同形状的目标检测失效。对抗攻击方法生成的对抗纹理块可以成功伪装成自然目标,防止人眼观测到纹理及形状的异常,从而实现面向不同场景任务的双重攻击与隐身。
技术实现思路
1、(一)专利技术目的
2、本申请的目的是在现有对抗攻击方法的基础上,研发出一种既能对抗攻击人眼识别,又能对抗攻击目标检测网络模型检
3、(二)技术方案
4、根据一些实施例,本专利技术的第一方面提供了一种目标检测网络模型对抗攻击方法,包括:纹理生成,将第一图像转换为第一张量,生成与第一张量相同维度的第一纹理,第一纹理中包含预置目标的形状;纹理融合,将第一纹理与第一张量融合形成第二张量;第一损失计算,将第二张量送入目标检测网络模型,根据目标检测网络模型的输出计算第一损失;梯度更新,基于第一损失,根据投影梯度下降算法更新第一纹理的梯度;迭代优化,迭代进行纹理融合、第一损失计算和梯度更新,直至迭代次数达到预置值。
5、在一个实施例中,生成与第一张量相同维度的第一纹理的步骤,包括:从标准正态分布中随机采样,生成第二纹理;将第二纹理与预置目标形状的掩膜进行点乘运算生成第三纹理;将第三纹理的维度数量扩充至第一张量的维度数量,生成第一纹理。
6、在一个实施例中,生成第二纹理后,还包括:将第二纹理进行滤波、自然增强、几何变换中的至少一种处理。
7、在一个实施例中,自然增强的步骤,包括:从均匀分布中随机采样生成第三张量,将第二纹理与第三张量进行点乘和/或相加运算。
8、在一个实施例中,第一损失为第二损失、第三损失、第四损失及第五损失的加权和,计算第一损失的步骤,包括:计算第一纹理像素的平滑一致性得到第二损失;计算第一纹理与参考纹理的相似程度得到第三损失,参考纹理为预置的伪装纹理;计算第一纹理像素值与迷彩集合中颜色值的差得到第四损失;计算第一纹理被目标检测网络模型识别为前景的概率得到第五损失;计算第二损失、第三损失、第四损失及第五损失的加权和得到第一损失。
9、在一个实施例中,计算第一纹理像素的平滑一致性得到第二损失的步骤,包括:计算第一纹理的像素与其相邻像素的第一色差,第一色差为像素值的欧氏距离;遍历第一纹理的像素,累加第一色差得到第二损失。
10、在一个实施例中,计算第一纹理与参考纹理相似程度得到第三损失的步骤,包括:计算第一纹理通过神经网络后获得的第一特征图序列,第一特征图序列中的特征图为第一纹理通过神经网络中的某一层后获得;计算参考纹理通过神经网络后获得的第二特征图序列,第二特征图序列中的特征图为参考纹理通过神经网络中的某一层后获得;计算第一特征图序列与第二特征图序列的差得到第三损失。
11、在一个实施例中,计算第一纹理像素值与迷彩集合中颜色值的差得到第四损失的步骤,包括:计算第一纹理的像素值与迷彩集合中颜色值的第二色差,第二色差为第一纹理像素值与迷彩集合中像素值的最小差;遍历第一纹理的像素,累加第二色差得到第四损失。
12、根据一些实施例,本专利技术的第二方面提供了一种目标检测网络模型对抗攻击装置,包括:纹理生成模块,其用于将第一图像转换为第一张量,生成与第一张量相同维度的第一纹理,第一纹理中包含预置目标的形状;纹理融合模块,其用于将第一纹理与第一张量融合形成第二张量;第一损失计算模块,其用于将第二张量送入目标检测网络模型,根据目标检测网络模型的输出计算第一损失;梯度更新模块,其用于基于第一损失,根据投影梯度下降算法更新第一纹理的梯度;迭代优化模块,其用于迭代进行纹理融合、第一损失计算和梯度更新,直至迭代次数达到预置值。
13、在一个实施例中,纹理生成模块被进一步配置为:从标准正态分布中随机采样,生成第二纹理;将第二纹理与预置目标形状的掩膜进行点乘运算生成第三纹理;将第三纹理的维度数量扩充至第一张量的维度数量,生成第一纹理。
14、在一个实施例中,纹理生成模块被进一步配置为:将第二纹理进行滤波、自然增强、几何变换中的至少一种处理。
15、在一个实施例中,纹理生成模块被进一步配置为:从均匀分布中随机采样生成第三张量,将第二纹理与第三张量进行点乘和/或相加运算。
16、在一个实施例中,第一损失为第二损失、第三损失、第四损失及第五损失的加权和,第一损失计算模块包括:第二损失计算模块,其用于计算第一纹理像素的平滑一致性得到第二损失;第三损失计算模块,其用于计算第一纹理与参考纹理的相似程度得到第三损失,参考纹理为预置的伪装纹理;第四损失计算模块,其用于计算第一纹理像素值与迷彩集合中颜色值的差得到第四损失;第五损失计算模块,其用于计算第一纹理被目标检测网络模型识别为前景的概率得到第五损失。
17、根据一些实施例,本专利技术的第三方面提供了一种电子设备,包括:存储器,其上存储有计算机程序;处理器,用于执行存储器中的计算机程序,以实现本专利技术第一方面方法的步骤。
18、根据一些实施例,本专利技术的第四方面提供了一种存储介质,其上存储有计算机程序指令,该程序指令被处理器执行时实现本专利技术第一方面方法的步骤。
19、(三)有益效果
20、本专利技术的上述技术方案具有如下有益的技术效果:通过生成与第一张量相同维度的第一纹理,第一纹理包含预置目标的形状,从而达到与预置目标适形的技术效果;基于第一损失,根据投影梯度下降算法更新第一纹理的梯度,从而实现了第一纹理的自然伪装,对目标检测网络模型实现对抗攻击,诱导其检测失效。
21、应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
本文档来自技高网...【技术保护点】
1.一种目标检测网络模型对抗攻击方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,生成与所述第一张量相同维度的第一纹理的步骤,包括:
3.根据权利要求2所述的方法,其特征在于,生成所述第二纹理后,还包括:将所述第二纹理进行滤波、自然增强、几何变换中的至少一种处理。
4.根据权利要求3所述的方法,其特征在于,所述自然增强的步骤,包括:从均匀分布中随机采样生成第三张量,将所述第二纹理与第三张量进行点乘和/或相加运算。
5.根据权利要求1所述的方法,其特征在于,所述第一损失为第二损失、第三损失、第四损失及第五损失的加权和,计算所述第一损失的步骤,包括:
6.根据权利要求5所述的方法,其特征在于,计算所述第一纹理像素的平滑一致性得到第二损失的步骤,包括:
7.根据权利要求5所述的方法,其特征在于,计算所述第一纹理与参考纹理相似程度得到第三损失的步骤,包括:
8.根据权利要求5所述的方法,其特征在于,计算所述第一纹理像素值与迷彩集合中颜色值的差得到第四损失的步骤,包括:
9.一
10.根据权利要求9所述的装置,其特征在于,所述纹理生成模块被进一步配置为:
11.根据权利要求10所述的装置,其特征在于,所述纹理生成模块被进一步配置为:将所述第二纹理进行滤波、自然增强、几何变换中的至少一种处理。
12.根据权利要求11所述的装置,其特征在于,所述纹理生成模块被进一步配置为:从均匀分布中随机采样生成第三张量,将所述第二纹理与第三张量进行点乘和/或相加运算。
13.根据权利要求9所述的装置,其特征在于,所述第一损失为第二损失、第三损失、第四损失及第五损失的加权和,所述第一损失计算模块包括:
14.一种电子设备,其特征在于,包括:
15.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该程序指令被处理器执行时实现权利要求1~8中任一项所述方法的步骤。
...【技术特征摘要】
1.一种目标检测网络模型对抗攻击方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,生成与所述第一张量相同维度的第一纹理的步骤,包括:
3.根据权利要求2所述的方法,其特征在于,生成所述第二纹理后,还包括:将所述第二纹理进行滤波、自然增强、几何变换中的至少一种处理。
4.根据权利要求3所述的方法,其特征在于,所述自然增强的步骤,包括:从均匀分布中随机采样生成第三张量,将所述第二纹理与第三张量进行点乘和/或相加运算。
5.根据权利要求1所述的方法,其特征在于,所述第一损失为第二损失、第三损失、第四损失及第五损失的加权和,计算所述第一损失的步骤,包括:
6.根据权利要求5所述的方法,其特征在于,计算所述第一纹理像素的平滑一致性得到第二损失的步骤,包括:
7.根据权利要求5所述的方法,其特征在于,计算所述第一纹理与参考纹理相似程度得到第三损失的步骤,包括:
8.根据权利要求5所述的方法,其特征在于,...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。