[发明专利]一种针对无人机目标检测系统的物理对抗攻击方法

说明书

本发明属于人工智能安全领域，特别涉及一种针对无人机目标检测系统的物理对抗攻击方法；该方法包括利用预训练的生成对抗网络生成对抗补丁，将对抗补丁、训练样本及其标签文件输入到补丁转换模块得到对抗样本；将对抗样本输入到Yolov5目标检测器中，计算总体损失；设计目标优化函数，结合总体损失，采用Adam优化器训练对抗补丁；多次训练直到迭代次数达到预先设定值或损失函数收敛；本发明在汽车车顶上安装对抗补丁使地面车辆躲避无人机目标检测系统，从而实现对无人机航空目标检测神经网络进行安全性检测。

技术领域

本发明属于人工智能安全领域，特别涉及一种针对无人机目标检测系统的物理对抗攻击方法。

背景技术

无人机航空目标检测是近年来计算机视觉领域的研究热点，也是目标检测领域中的难点。其通过无人机搭载相机进行航拍实时收集图像数据，进而对图像中存在的目标地面物体进行识别和定位，在农业灌溉、军事侦察等许多领域中都有广泛的应用。目前，无人机航空目标检测的相关算法大多采用深度学习技术，深度学习技术在图像分类、目标检测、人脸识别、自动驾驶等多个领域取得了出色的成果。

最近的研究表明，深度神经网络容易受到对抗样本的影响。对抗样本是指对输入图像添加一些精心设计且难以察觉的扰动后得到的样本，它能够诱导深度神经网络输出错误的预测结果。物理对抗攻击是指将对抗样本插入到物理世界中使深度神经网络的推理产生错误。由于深度学习技术在物理世界的广泛应用，因此在物理世界中的对抗攻击更有意义。

在无人机航空目标检测场景下，需要极高的识别准确率，如果攻击者在现实场景下利用对抗攻击技术来使得地面目标逃避一些场景下的检测，可能带来严重的后果，因此，应用深度神经网络模型到对安全有严格要求的环境中，处理对抗样本造成的模型脆弱性变成了一个重要任务，也是当前深度学习安全的研究热点。同时，由于天气多变、远距离成像、设备成像过程失真等因素的影响，对无人机航空目标检测系统的物理对抗攻击的研究较少，难度较高。

发明内容

为解决上述问题，本发明提供了一种针对无人机目标检测系统的物理对抗攻击方法，使用无人机航拍车辆的高清图片集作为训练数据集，目标检测算法采用YOLOv5网络，包括以下步骤：

S1.采用预训练的生成对抗网络生成固定尺寸的对抗补丁；

S2.对训练数据集中的训练样本进行预处理；

S3.将Batch个预处理后的训练样本输入到Yolov5目标检测器中，得到训练样本所对应的标签文件，标签文件中包括该训练样本中所有车辆的位置信息和类别标注信息；

S4.将对抗补丁、训练样本及其所对应的标签文件一同输入到补丁转换模块，得到得到对抗样本P-Images；

S5.将对抗样本P-Images输入到Yolov5目标检测器中，采用总体损失函数L_all计算总体损失；

S6.结合步骤S5计算的总体损失设计目标优化函数，并采用Adam优化器更新对抗补丁；

S7.重复步骤S3-S6，直到迭代次数达到预先设定值或损失函数收敛；

S8.将训练好的对抗补丁打印出来，设置于车辆的车顶上，进行物理上的对抗攻击。

进一步的，生成对抗网络是在ImageNet上预训练的StyleGAN2网络，其输出的对抗补丁的大小为300×300。

进一步的，补丁转换模块用于对对抗补丁进行物理增强，具体操作过程包括：

S41.对对抗补丁进行第一次处理，第一处理包括缩放、旋转、加高斯噪声、加明亮度、变化对比度；

S42.根据训练样本所对应的标签文件生成MASK矩阵，MASK矩阵决定添加对抗补丁的形状和位置；