[发明专利]一种黑盒攻击行人重识别系统的方法

说明书

本发明提供一种攻击行人重识别系统的方法，包括如下步骤：使用训练数据集训练行人重识别系统；使用攻击前的查询图像测试行人重识别系统；基于替代模型与目标模型之间的可迁移性和对所述目标模型的可查询性，采用黑盒攻击对所述行人重识别系统产生对抗样本，所述对抗样本由被攻击者的所有查询图像增加扰动产生；使用攻击后的查询图像测试行人重识别系统，其与查询库图像的匹配度下降。通过给被攻击者的所有图像增加同一扰动，从而产生相应的对抗样本，形成一种新的黑盒攻击方式，更符合实际；且省时省力，攻击效果好。

技术领域

本发明涉及计算机视觉中对抗攻击和目标追踪技术领域，尤其涉及一种黑盒攻击行人重识别系统的方法。

背景技术

近年来，随着社会的进步和人民生活水平的提高，人们越来越重视公共安全问题。另一方面，随着智慧城市、物联网的到来，摄像头已经无处不在，它们组成了大规模的摄像头网络。以这个网络为基础的视频监控系统为人们提供了大量的视频和图像数据。利用这些数据，人们可以获得许多有用的信息，从而有效地解决公共安全问题。由于数据量巨大，如何快速且准确地在这些海量数据中检索出关于特定行人的信息，从而成功锁定目标人物的行踪，成为一个亟待解决的问题。行人重识别作为主要技术之一，引起了学者们的重视。行人重识别，是一项基于计算机视觉领域的相关算法来进行跨摄像头追踪特定行人的技术。具体地，如图1所示，给出目标行人的一张查询图像(Query)，行人重识别系统将从不同摄像头下得到的查询库图像(Galley)中检索该行人图像。随着深度学习(Deep learning)的进步与发展，深度学习类方法逐渐占据行人重识别领域的主要地位。与传统方法相比，深度学习类方法可以通过使用训练数据集训练神经网络，让神经网络自动学习出更合适的行人特征表示，用于检索目标行人。

深度学习已经在不少领域中都取得较大的成功，然而，它被证实对于来自对抗样本的攻击仍是非常脆弱的。对抗样本，指与原样本相似，但是可以使深度学习模型出错的样本，通常由在原样本上增加扰动产生。基于对抗样本的攻击给基于深度学习的模型带来了巨大的威胁，特别是行人重识别等安防领域的应用。因此，为了保障深度学习模型的安全性，关于对抗样本的研究显得非常必要。

现有的对行人重识别模型的攻击方式各种各样，有的给查询库图像增加扰动，有的给被攻击者的查询图像和查询库图像增加扰动。而且，现有的扰动往往是根据特定图像产生的，即每给出一张图像，都需经过重新的训练过程以得到其扰动，这样的步骤耗时耗力。

根据攻击目标的不同，基于对抗样本的攻击可以分为无目标攻击与有目标攻击。对于行人重识别，无目标攻击旨在使目标模型所返回的排名表中，被攻击者的查询库图像尽量靠后，而有目标攻击旨在使目标行人的查询库图像尽量靠前。然而，现有的有目标攻击都是根据一个特定的目标行人标签训练扰动。当有新的目标行人标签出现时，需重新训练以得到新扰动。

此外，现有的黑盒攻击一般基于计算机视觉模型的可迁移性，即适用于替代模型的对抗样本通常也适用于目标模型。由于视觉模型之间的相似性，基于可迁移性的黑盒攻击已经能够取得一定的攻击效果。然而，不可否认，替代模型与目标模型之间仍存在差异性，这种差异性的存在一定程度上影响了攻击效果的增强。

现有技术中缺乏一种黑盒条件下有目标攻击行人重识别模型的方法。

以上背景技术内容的公开仅用于辅助理解本发明的构思及技术方案，其并不必然属于本专利申请的现有技术，在没有明确的证据表明上述内容在本专利申请的申请日已经公开的情况下，上述背景技术不应当用于评价本申请的新颖性和创造性。

发明内容

本发明为了解决现有的问题，提供一种黑盒攻击行人重识别系统的方法。

为了解决上述问题，本发明采用的技术方案如下所述：