[发明专利]基于目标检测模型特征向量迁移的对抗样本生成方法

权利要求书

1.一种基于目标检测模型特征向量迁移的对抗样本生成方法，其特征在于，包括如下步骤：

步骤S1、卷积神经网络特征向量迁移；所述卷积神经网络特征向量迁移包括如下步骤：

S101、卷积神经网络特征的提取与融合；从颈部网络提取出特征向量其中，ω为目标检测模型的颈部网络每一层的参数，x为对应每层的输入，k为为神经网络层序号；

S102、目标特征向量的构造；构造的目标特征向量其中，θ为目标检测模型中检测头，J为攻击者的攻击目标对应的损失函数；

S103、目标特征向量的迁移；抽取图像样本中目标物体i对应真实物体的特征向量中的关键区域信息计算提取关键区域信息后的标准差之和，即损失函数：

步骤S2、对抗噪声的生成，所述对抗噪声的生成步骤包括：

S201、随机初始化

首先，将所有的原始图像样本X进行归一化处理，取值范围为[-1,1]；

然后，生成一个随机的初始化噪声Z：Z～N(0,0.1)；其中N(0,0.1)表示均值为0，标准差为0.1的正态分布；

最后，生成初始的对抗样本

S202、计算目标检测模型对应的梯度

根据目标损失函数L计算目标检测模型对应的梯度g：其中，为当前生成的对抗样本，θ目标检测模型的参数张量；

S203、裁剪梯度获得对抗噪声

将梯度的最值约束在单次迭代的最大扰动阈值范围内，需要对计算得到的梯度进行裁剪，计算公式如下：其中，i表示第i轮梯度迭代，γ为每一步梯度迭代的最大扰动阈值；

S204、更新对抗样本

将步骤S203生成的噪声N_i添加至对抗样本上，更新对抗样本；以梯度的方向作为对抗噪声扰动的方向，使得生成的对抗样本朝着攻击者的目标方向发展：

S205、对抗样本正则化

clip函数执行的操作是保证每一个像素点上与X最大L1距离不超过∈；

S206、判断是否停止迭代

攻击者根据预先设置置信度δ和最大迭代次数T进行判断，步骤如下：

1)当目标检测模型输出的检测结果中的置信度最大值小于置信度阈值时，即可停止迭代，攻击成功；

2)若攻击的迭代次数已经达到预设上限T，停止迭代，攻击失败；

3)否则，继续循环执行步骤S202至步骤S206。

2.根据权利要求1所述的基于目标检测模型特征向量迁移的对抗样本生成方法，其特征在于，还包括步骤S3、对抗样本攻击效果评估，所述对抗样本攻击效果评估包括：

S301、攻击成功率评估；以平均精度均值的下降比例ρ作为攻击成功率的评估标准，具体的计算公式如下：

其中，m为目标检测模型对于原始图像样本的平均精度均值，为目标检测模型对于对抗样本的平均精度均值；

S302、攻击隐蔽性评估；采用结构相似性来度量，所述结构相似性计算具体的计算公式如下：

其中，和分别为原始图像样本X的平均值和标准差，μ和σ分别为对抗样本的平均值和标准差，c₁和c₂为常数，用以维持亮度、对比度和结构的稳定性；结构相似性的值域范围为0到1，其值越大表示两张图像的相似度越高，即对抗样本的隐蔽性越强；

S303、攻击可迁移性评估；以所生成的对抗样本在黑盒模型和白盒模型上攻击成功率的比例作为衡量攻击可迁移性的指标θ，计算公式如下：

其中，ρ^w和ρ^b分别为白盒攻击与黑盒攻击的平均精度均值的下降比例，K为黑盒模型的数量；θ介于0到1之间，θ越接近于1也就表示对抗样本在不同的黑盒模型上的平均成功率越大，即攻击可迁移性越好。

3.根据权利要求1所述的基于目标检测模型特征向量迁移的对抗样本生成方法，其特征在于，在所述步骤S102中，所述损失函数为：J＝max(s_i)；其中，s_i为目标物体i的检测置信度。