[发明专利]基于动量的对人群计数模型的对抗样本生成方法及系统

说明书

本发明涉及一种基于动量的对人群计数模型的对抗样本生成方法，该方法包括：插入张量生成对抗补丁，在原始图像上添加对抗补丁生成初始化的对抗样本；将对抗样本输入人群计数模型中，输出预测人群密度图；计算预测人群密度图与目标人群密度图的损失值；对损失值超过阈值时对应的对抗样本进行基于动量的对抗补丁优化后，执行输出预测人群密度图的步骤，直至得到损失值不超过阈值时对应的对抗样本。对抗补丁在高密度的背景下使人眼难以察觉到；还将动量整合到了对抗补丁的优化过程中，克服了在高维空间中搜索最佳对抗样本点时会被困在较差的局部最小值或最大值中的问题，可以有效评估人群计数模型对于对抗补丁攻击和认证防御的鲁棒性。

技术领域

本发明涉及机器学习技术领域，尤其涉及一种基于动量的对人群计数模型的对抗样本生成方法及系统。

背景技术

深度神经网络容易受到对抗攻击，即正常的图像在人类无法察觉的干扰下可能误导深度神经网络做出错误的预测。

由于COVID-19病毒的全球爆发，大量公共场所要求人们保持社交距离。因此，基于深度神经网络的人群计数在公共监控摄像头和交通控制系统等关键安全应用中得到了广泛的应用。现有的研究主要集中在提高人群计数模型在非对抗性场景中的表现。然而，最近的研究表明，DNNs容易受到对抗攻击，也就是说，正常的图像在人类无法察觉的干扰下可能误导DNNs做出错误的预测。考虑到潜在的攻击者可能会利用基于深度神经网络的人群计数模型进行对抗样本攻击这一漏洞，使人群计数模型无法准确统计人群，从而增加造成公共安全事故（如病毒感染、踩踏和交通事故）的可能性，因此，一种高效的针对人群计数模型的对抗样本生成方法将成为研究和应用的重点。

发明内容

本发明针对现有技术中存在的技术问题，提供一种基于动量的对人群计数模型的对抗样本生成方法，通过设计一个健壮的敌对攻击框架动量对抗补丁攻击，该对抗补丁在高密度的背景下使人眼难以察觉到；另外还将动量整合到了对抗补丁的优化过程中，克服了在高维空间中搜索最佳对抗样本点时会被困在较差的局部最小值或最大值中的问题。提供对于主流基于CNN的人群计数模型在数字化和物理空间都有效的扰动，且可以有效评估人群计数模型对于对抗补丁攻击和认证防御的鲁棒性。

根据本发明的第一方面，一种基于动量的对人群计数模型的对抗样本生成方法，包括：

步骤1，通过插入张量生成对抗补丁，在原始图像上添加所述对抗补丁生成初始化的对抗样本；

步骤2，将所述对抗样本输入人群计数模型中，所述人群计数模型输出预测人群密度图；

步骤3，计算所述预测人群密度图与目标人群密度图的损失值；对损失值超过阈值时对应的所述对抗样本进行基于动量的对抗补丁优化后，执行所述步骤2，直至得到损失值不超过阈值时对应的所述对抗样本在上述技术方案的基础上，本发明还可以作出如下改进。

可选的，步骤1包括：

步骤101，在纯黑图片的设定区域中绘制掩码得到第一图像；

步骤102，用随机种子生成器生成所述噪声图；

步骤103，将所述第一图像与所述噪声图相乘得到第二图像；

步骤104，用待人群计数的原始图像乘以所述第一图像的掩码补集图得到第三图像；

步骤105，将所述第二图像和第三图像相加得到初始化的对抗样本；

其中，原始图片、纯黑图片和噪声图的大小和图片的通道数均相同。

可选的，初始化的对抗样本的计算公式为：

；

其中，；

表示初始化的对抗样本，表示第二图像，表示第一图像，表示原始图像，表示噪声图，为与所述张量相关的插值函数，表示旋转，表示对对抗补丁做旋转操作后再做插值操作。