[发明专利]一种黑盒攻击行人重识别系统的方法

权利要求书

1.一种黑盒攻击行人重识别系统的方法，其特征在于，包括如下步骤：

S1：使用训练数据集训练行人重识别系统；

S2：使用攻击前的查询图像测试行人重识别系统；

S3：基于替代模型与目标模型之间的可迁移性和对所述目标模型的可查询性，采用黑盒攻击对所述行人重识别系统产生对抗样本，所述对抗样本由被攻击者的所有查询图像增加扰动产生；

S4：使用攻击后的查询图像测试行人重识别系统，其与查询库图像的匹配度下降；

产生所述对抗样本包括如下步骤：

训练阶段：使用训练数据集训练条件生成器生成使被攻击者被成功攻击为目标行人的扰动产生所述对抗样本；

测试阶段：使用测试数据集测试所述对抗样本；

所述训练阶段包括如下步骤：

T1：将高斯噪声与目标行人的标签输入到所述条件生成器；

T2：将所述条件生成器生成的扰动加到被攻击者的查询图像上，从而产生相应的所述对抗样本；

T3：将所述对抗样本与目标行人的查询库图像输入到行人重识别替代模型；

T4：根据所述行人重识别替代模型所输出的特征向量计算所述对抗样本与目标行人的查询库图像之间的距离；

其中，将所述条件生成器生成的扰动修剪后加到被攻击者的查询图像X上，得到相应的对抗样本X_adv，即：X_adv＝X+δ，其中δ是被修剪后的扰动；

选取所述目标行人的查询库图像Y，将所述被攻击者的对抗样本X_adv和目标行人的查询库图像Y输入到所述行人重识别替代模型f_θ，所述行人重识别替代模型会输出被攻击者的对抗样本X_adv和目标行人的查询库图像Y的特征向量f_θ(X_adv)，f_θ(Y)，其中，θ表示替代模型的参数；

使用欧式距离公式，计算出被攻击者的对抗样本X_adv的特征向量f_θ(X_adv)和目标行人的查询库图像Y的特征向量f_θ(Y)之间的距离：

dist(f_θ(X_adv)，f_θ(Y))＝||f_θ(X_adv)-f_θ(Y)||₂

其中，||·||₂表示l₂范数；

T5：将所述被攻击者的对抗样本X_adv输入到行人重识别目标模型中，所述行人重识别目标模型会输出被攻击者的排名表，其中，表示替代模型的参数；

根据所述被攻击者的排名表中目标行人的排序，给所述距离dist(f_θ(X_adv)，f_θ(Y))加以权重α，所述权重是目标行人的序号/查询库图像总数；

最终的损失函数L为被攻击者的对抗样本与目标行人的查询库图像之间的加权距离，即：

L＝α·||f_θ(X_adv)-f_θ(Y)||₂

选用Adam优化器得到损失函数L关于生成器参数μ的梯度使用反向梯度传播方法，根据梯度更新生成器的参数μ；

重复以上训练步骤，直至条件生成器能够生成使被攻击者被成功攻击为目标行人的扰动。

2.如权利要求1所述的黑盒攻击行人重识别系统的方法，其特征在于，所述对抗样本是对所有查询图像同时增加同一扰动产生。

3.如权利要求2所述的黑盒攻击行人重识别系统的方法，其特征在于，通过条件生成器产生据噪声输入不同而多样的扰动。

4.如权利要求3所述的黑盒攻击行人重识别系统的方法，其特征在于，所述条件生成器结构包括：9层结构，分别是输入层，5个反卷积层，3个全连接层；其中，反卷积层和前两层全连接层的输出要经过批量归一化处理和非线性函数激活。