[发明专利]一种基于反向传播攻击的图像检测对抗方法

权利要求书

1.一种基于反向传播攻击的图像检测对抗方法，其特征在于，主要包括功能模块(一)；攻击方法(二)；训练方法(三)。

2.基于权利要求书1所述的功能模块(一)，其特征在于，建立一个端对端的训练框架，从物理场景空间中接收输入X，经过转换系统后得到二维空间的图像Y，该图像经过攻击后得到新的输出检测结果具体地，包括三维目标转换系统、目标分类系统和视觉问答系统。

3.基于权利要求书2所述的三维目标转换系统，其特征在于，将物理场景空间的输入X转换为二维图像Y，其中物理空间分别用表面法线向量N、亮度向量L和材料向量m表征，则二维图像Y＝r(N,L,m)，其中r(·)表示转换函数，具体地，

(1)对法线向量N，对三维场景取垂直法线后，根据所求二维图像的尺寸W_N×H_N，使用偏振角和极坐标计算出每个像素的大小；

(2)对亮度向量L，使用高动态范围(HDR)渲染技术，根据球形坐标系统，对每个像素的亮度进行调整；

(3)对材料向量m，使用双向反射分布函数(BRDF)求出分布参数D_m和参数集P_m。

4.基于权利要求书2所述的目标分类系统，其特征在于，使用深度学习模型进行预训练，然后在测试集上固定网络参数θ^C，然后对预测结果进行计算得到分类结果，即：

Z＝f(Y；θ^c) (1)

其中f(·)表示分类函数；Z∈[0,1]^K，K为类别数目。

5.基于权利要求书2所述的视觉问答系统，其特征在于，实现基于用户提问而进行关联回答的功能，具体为，给定输入图像Y和问题q，系统输出会选择32个备选答案中最接近输入图像的关联答案(是与否，或类别属性)，与目标分类系统类似，使用深度学习模型进行预训练，然后在测试集上固定网络参数θ^V(q)，然后对预测结果进行计算得到分类结果：

Z＝f(Y；θ^V(q)) (2)

合并公式(1)和(2)，得到统一化预测函数，可同时预测两类功能：

其中，θ可根据问题类型选择适合的网络参数。

6.基于权利要求书1所述的攻击方法(二)，其特征在于，形成一种对抗性攻击手段，在不引起视觉上察觉到变化的程度内，用于攻击输入图像以至于该图像被误判为其他类别或属性，从而达到误导检测器的目的，具体包括降低视觉可察觉度、确立攻击目标和攻击过程。

7.基于权利要求书6所述的降低视觉可察觉度，其特征在于，分别在物理空间上对各个参量进行受限的扰动，由于Y＝r(N,L,m)，因此扰动量分别用ΔN、ΔL和Δm表示，对于一整张图像,其总的扰动量为：

ΔY＝r(N+ΔN,L+ΔL,m+Δm)-r(N,L,m) (4)

由公式(4)，视觉可察觉度ρ可定义为：

其中，y_w,h是一个三维向量，用于表征一个像素的三原色(红黄蓝，RGB)像素密度；

类似地，依次用ΔN、ΔL和Δm替换掉公式(4)中的变量Δy_w,h，可得到关于法线向量、亮度向量和材料向量的视觉可察觉度ρ(ΔN)、ρ(ΔL)和ρ(Δm)，分别用阈值进行限定，即可得到不引起肉眼察觉的情况下，对图像进行攻击的扰动量。

8.基于权利要求书6所述的确立攻击目标，其特征在于，通过设定一个损失函数来衡量攻击者希望该预测结果偏离正确结果的程度，从而达到误导检测器的目的，具体为：定义一个种类c′并对预测结果Z在该种类c′所处的维度做最小化处理导致检测器无法找到此种类以产生误分类，从而击败检测器。