[发明专利]针对目标检测对抗攻击的预处理防御方法

说明书

本发明提供一种针对目标检测对抗攻击的预处理防御方法。该方法包括：步骤1：对原始图像数据集中的图像添加对抗扰动，生成目标检测对抗样本；步骤2：对目标检测对抗样本进行双边滤波和数据归一化处理，得到处理后的目标检测对抗样本；步骤3：构建降噪自编码器模型，将处理后的目标检测对抗样本作为输入，将其对应的原始图像作为标签，对降噪自编码器模型进行降噪训练；步骤4：获取待目标检测图像，对待目标检测图像进行双边滤波和数据归一化处理，得到处理后的待目标检测图像；步骤5：将处理后的待目标检测图像输入至训练好的降噪自编码器模型，得到去噪后的待目标检测图像，将去噪后的待目标检测图像作为目标检测模型的输入实现目标检测。

技术领域

本发明涉及目标检测、对抗攻击防御技术领域，尤其涉及一种针对目标检测对抗攻击的预处理防御方法。

背景技术

目标检测是计算机视觉中最基本的任务之一，随着目标检测应用的快速发展，其在医疗图像、汽车自动驾驶及行人检测等都扮演着重要的角色，它的安全性尤为重要。然而，基于深度学习的目标检测在优异性能的同时也继承了深度网络的缺点，目标检测领域被证实极易受到对抗样本的攻击。有很多研究将图像分类的思想引入目标检测，图像分类的很多对抗攻击迁移到了目标检测领域，提出了基于像素扰动和基于对抗补丁的对抗方法，目标检测领域的安全受到了很大的威胁。

目前，针对目标检测对抗攻击的防御方法主要是对抗训练。该方法也是图像分类对抗攻击防御手段中的一种，在对抗训练的过程中，样本会被混合一些微小的扰动，然后使神经网络适应这种改变，从而对对抗样本具有鲁棒性。但是对抗训练仍具有以下不足：1)对抗训练这种方法需要大量的时间和大量的算力，非常的耗时耗力；2)由于目标检测是多任务的学习(即目标定位和目标识别)，因此在对抗训练过程中目标任务之间具有一定的矛盾性，会造成梯度不对齐，因此目前提出的对抗训练方法对目标检测的性能提升效果仍然不佳；3)对抗训练是某一种或几种攻击的针对性训练，因此模型在面对其他未训练过的攻击时的防御效果会大大降低。

发明内容

针对现有采用对抗训练来防御目标检测对抗攻击的方式存在耗时耗力、防御效果较差的问题，本发明提供一种针对目标检测对抗攻击的预处理防御方法，本发明方法对算力和时间成本要求都较低，并且对大部分的攻击方法都具有稳健的防御能力。

本发明提供的针对目标检测对抗攻击的预处理防御方法，包括以下步骤：

步骤1：对原始图像数据集中的图像添加对抗扰动，生成目标检测对抗样本；

步骤2：对所述目标检测对抗样本进行双边滤波和数据归一化处理，得到处理后的目标检测对抗样本；

步骤3：构建降噪自编码器模型，将所述处理后的目标检测对抗样本作为输入，将其对应的原始图像作为标签，对所述降噪自编码器模型进行降噪训练；

步骤4：获取待目标检测图像，对所述待目标检测图像进行双边滤波和数据归一化处理，得到处理后的待目标检测图像；

步骤5：将所述处理后的待目标检测图像输入至训练好的降噪自编码器模型，得到去噪后的待目标检测图像，将所述去噪后的待目标检测图像作为目标检测模型的输入实现目标检测。

进一步地，步骤1具体包括：

步骤1.1：根据预期攻击效果，设计对应的任务损失函数；

步骤1.2：采用给定对抗攻击算法，在原始图像上添加能够使得所述任务损失函数的值变化最大的对抗扰动，从而得到目标检测对抗样本。

进一步地，步骤3中，所述降噪自编码器模型包括编码器、解码器和距离损失函数；

所述编码器按照图像处理顺序依次包括第一卷积层、第一池化层、第二卷积层、第二池化层和第三卷积层；所述解码器按照图像处理顺序依次包括第一反卷积层、第一升采样层、第二反卷积层、第二升采样层和第三反卷积层；