[发明专利]一种物理对抗样本生成方法及系统

说明书

本发明公开了一种物理对抗样本生成方法及系统。该方法包括：获取原始图像集、风格图像集以及图像集的攻击蒙版图像；采用原始图像集作为训练样本，采用模型窃取法，确定黑盒目标模型的替代模型；基于图像集、对应的攻击蒙版图像和替代模型，采用风格迁移技术思想和基于梯度的对抗样本生成方法生成原始图像集中各图像的攻击区域的风格扰动；对原始图像集进行仿射变换生成变换图像集，并基于替代模型，采用基于梯度的对抗样本生成方法生成变换图像集的自适应扰动；将风格扰动和自适应扰动添加到原始图像集的攻击区域，生成每一张原始图像的物理对抗样本。本发明针对黑盒目标模型生成一种扰动不可察的对抗样本，以准确评估黑盒目标模型的安全性。

技术领域

本发明涉及机器视觉领域，特别是涉及一种物理对抗样本生成方法及系统。

背景技术

深度神经网络在许多人工智能系统应用中都取得了巨大的成功，例如图像分类、语言识别、自动驾驶等。然而，最近研究发现深度神经网络模型容易受到人为精心设计的对抗样本欺骗。早期的对抗样本生成方法研究工作主要集中在数字空间中生成对抗样本，并且生成方法可以大致分为基于白盒的对抗样本生成方法和基于黑盒的对抗样本生成方法，基于白盒对抗样本生成方法是基于攻击者可获得目标模型的内部信息生成的对抗样本；而基于黑盒对抗样本生成方法限制攻击者获得目标模型的内部信息，基于对抗样本的迁移性或目标模型的反馈信息生成的对抗样本。

目前，白盒对抗样本生成方法有：基于快速梯度符号法(Fast Gradient SignMethod，FGSM)的白盒对抗样本生成方法，该方法利用目标网络的梯度的方向信息生成数字世界的对抗样本；基于投影梯度下降(Projected Gradient Descent，PGD)的白盒对抗样本生成方法，该方法是迭代的FGSM对抗样本生成方法的变体，进一步提高了对白盒目标模型的攻击成功率；然而以上方法都是基于白盒的对抗样本生成方法，难以成功地攻击黑盒目标模型，基于此，有人提出了基于零阶优化的黑盒攻击(Zeroth Order OptimizationBased Black-boxAttacks，ZOO)的黑盒对抗样本生成方法，该方法利用了梯度估计方法替代黑盒目标模型的梯度信息来生成数字世界对抗样本；进一步地，还有人利用先验知识提出了新的梯度估计方法进一步提升黑盒对抗样本的攻击成功率。以上所述的几种方法都是针对数字世界的图像生成对抗样本，这些对抗样本应用于现实世界时往往因为扰动太小而不能被相机所捕捉，因此无法正常应用于现实世界。

由于数字世界的对抗样本很难迁移到现实世界中并且现实世界中的深度神经网络模型往往处于黑盒状态，因此在现实世界复杂环境下生成黑盒深度神经网络模型的对抗样本更具研究价值。有人提出了利用迭代的FGSM生成物理世界对抗样本，该方法首先生成扰动较大的数字世界对抗样本，之后打印数字对抗样本作为物理对抗样本，然而该方法生成的物理对抗样本在复杂的现实环境中往往容易失效；又有人提出了adversarialpatch对抗补丁贴纸生成方法，该方法生成一个外观突兀的补丁贴纸，该补丁贴纸利用转换期望(Expectation OverTransformation，EOT)的方法保持在复杂的现实环境中保持对抗鲁棒性，将该补丁贴纸贴在现实世界的物体上作为物理对抗样本，然而该方法所生成的补丁贴纸外观突兀容易被人眼所察觉。以上所述的物理对抗样本生成方法都基于白盒的对抗样本生成方法不能成功攻击现实世界的黑盒目标模型，并且生成的物理对抗样本的扰动太大容易被人眼察觉。

基于以上分析可知已有物理对抗样本生成方法存在对于现实世界黑盒目标模型攻击成功率不高和扰动容易察觉等问题，采用现有的存在攻击成功率不高和扰动容易察觉的问题的物理对抗样本对黑盒目标模型的安全性评估，安全性评估的准确性有待提升。

发明内容

基于此，本发明实施例提供一种物理对抗样本生成方法及系统，以针对黑盒目标模型生成一种扰动不可察、攻击成功率高的对抗样本，从而更准确的评估黑盒目标模型的安全性。

为实现上述目的，本发明提供了如下方案：

一种物理对抗样本生成方法，包括：