[发明专利]针对车辆目标检测模型的对抗补丁攻击方法

说明书

本发明公开了一种针对车辆目标检测模型的对抗补丁攻击方法，该方法包括：S1：获取包含车辆图像的图像数据集；S2：给定对抗补丁；S3：将对抗补丁进行变换；S4：将变换后的对抗补丁粘贴至图像数据集选定的粘贴区域；S5：将粘贴有对抗补丁的图像数据集传递至车辆目标检测模型进行检测，输出检测结果；S6：设计优化损失函数，并通过车辆目标检测模型输出检测结果计算损失；S7：根据损失通过反向传播更新对抗补丁像素值；S8：重复执行S2至S7，直至车辆目标检测模型到达收敛条件；S9：测试对抗补丁对车辆目标检测模型的攻击效果。本发明将行人目标对抗补丁攻击方法迁移至车辆目标，保证对抗补丁在真实世界中的可行性，有效提高对抗补丁攻击效果。

技术领域

本发明涉及自动驾驶技术领域，尤其涉及一种针对车辆目标检测模型的对抗补丁攻击方法。

背景技术

近年来，以机器学习尤其是深度学习为代表的人工智能技术正在深刻改变人类的生产和生活方式。深度学习技术近年来取得了重大突破，在各个领域广泛应用并发挥了极其关键的作用。

然而，尽管深度学习成功应用于各行业，其解决某些复杂问题的能力甚至也超出了人类水平，但仍存在一些目前无法解释、无法完全解决的安全性威胁，限制了其对人工智能安全、可靠、可控有极高要求的场景下的应用。通常，基于DNN(Deep Neural Networks，深度神经网络)的对抗攻击根据模型任务不同可分为针对分类模型的对抗攻击和针对检测模型的对抗攻击。基于分类模型的对抗攻击是通过对原始干净图像样本添加微小扰动使得预训练模型不能对其正确分类，基于目标检测模型的对抗攻击是通过在图像样本上添加扰动(可能是人眼可察觉扰动，例如补丁形式)，实现对预训练检测系统攻击，使得被检测物体“消失”在检测器中。与目标分类模型对抗攻击相比较，针对目标检测模型的对抗补丁攻击方法较为复杂，因为其攻击形式(补丁)在物理世界中更容易被制造出来，因此引发的安全问题更迫切，也更具实用价值，目前针对目标检测模型的对抗补丁攻击多针对行人目标，一方面行人在现实生活中引发的安全性问题更加严重，例如自动驾驶领域、金融系统人脸识别领域等，另一方面目前可供用于目标检测训练的行人数据集也更加成熟。然而，例如在自动驾驶领域，另一个很重要的要素是同在道路上行驶的车辆目标，而现有的针对目标检测模型的对抗补丁攻击没有以车辆为目标展开研究。

发明内容

为解决上述现有技术中存在的部分或全部技术问题，本发明提供了一种针对车辆目标检测模型的对抗补丁攻击方法，所述方法包括：

S1：获取包含车辆图像的图像数据集；

S2：给定对抗补丁，将所述对抗补丁进行随机初始化；

S3：将所述对抗补丁进行变换；

S4：将所述变换后的对抗补丁粘贴至所述图像数据集选定的粘贴区域；

S5：将所述粘贴有对抗补丁的图像数据集传递至车辆目标检测模型进行检测，所述车辆目标检测模型输出检测结果；

S6：设计优化损失函数，并通过所述车辆目标检测模型输出检测结果计算损失；

S7：根据所述损失通过反向传播更新所述对抗补丁像素值；

S8：重复执行S2-S7，直至所述车辆目标检测模型到达收敛条件；

S9：测试所述对抗补丁对所述车辆目标检测模型的攻击效果。

优选地，在上述针对车辆目标检测模型的对抗补丁攻击方法中，所述S1中，所述包含车辆图像的图像数据集通过KITTI数据集筛选和互联网收集获得，其中，所述包含车辆图像的图像数据集包括训练图像集和测试图像集，所述训练图像集用于对所述车辆目标检测模型进行攻击训练，所述测试图像集用于对所述对抗补丁对所述车辆目标检测模型的攻击效果进行测试。

优选地，在上述针对车辆目标检测模型的对抗补丁攻击方法中，所述S3中，将所述对抗补丁进行变换包括光照、对比度、距离、角度的变换。