[发明专利]一种基于对抗攻击的车牌攻击生成方法

说明书

一种基于对抗攻击的车牌攻击生成方法，包括以下步骤：1)选择合适的车牌底板尺寸和颜色以及标准车牌的字符字体和大小；2)确定合适的字符间隔，生成随机字符的车牌；3)对标准车牌进行数字图像处理；4)训练一个生成对抗扰动的分类器模型；5)判断生成的对抗样本是否被分类器误分类：即判断添加扰动的车牌是否被判断为其他车牌，是则结束车牌攻击，否则继续生成扰动，最后测试对抗样本的攻击效果。本发明运用对抗攻击方法实现车牌攻击，生成人们察觉不到的扰动，具有高隐蔽性，甚至还可以实现特定字符的扰动添加到原始的车牌字符上生成对抗样本，具有较高的实用价值。

技术领域

本发明涉及对抗攻击方法和标准车牌生成技术，借鉴了梯度下降(GradientDescent)的思想，利用经典的卷积神经网络——Lenet-5，在模型训练过程中生成受到污染的车牌数字。这些受到污染的车牌数字，亦称对抗样本(Adversarial Samples)，能使基于深度学习进行识别的车牌分类器的分类精度大幅下降，在开源的深度学习车牌识别项目(EasyPR)中表现效果明显。

背景技术

车牌识别是一种通过在特定场景下拍摄的图片中提取车牌图片，并识别其中的文字与数字的技术，被广泛应用于公路收费、超速自动化监管、车辆检测、车辆称重等各种场所，因此对于车牌的识别精度有着很高的要求。随着深度学习技术的迅速发展，计算机视频图像识别，尤其是车牌识别，借助于深度学习的方法，利用大量的车牌数据训练获得模型的识别效果能够在已有的精度上进一步提升。

但是，近年来深度学习暴露出一些本身具有的缺陷：通过在图像上添加极微小的但经过计算的干扰后生成对抗样本，能够使分类器得出完全不同的结果。不仅如此，学术界还证明这些对抗样本也能骗过一些在其他不同的模型上训练出来的分类器，同时也就证明了这些对抗样本具有很强的可转移性(Transferability)。

随着深度学习缺陷的暴露，研究对抗攻击方法也逐渐成为人们关注的话题。对抗攻击方法是生成对抗样本比较常用且有效的方法，它们本质的思想：通过在梯度下降的过程中，迭代计算出特定的扰动，并将之添加到原先的图片中，使之变成具有特定噪声点的对抗样本。这些对抗样本能够使分类器产生错误分类，然而人们几乎察觉不到它们的存在。在对抗攻击方法中比较经典且成熟的方法有FGSM、I-FGSM、JSMA、Deepfool等等，已经有大量实验证明了这些方法产生的扰动具有很好的隐蔽性，而且可以使车牌识别分类器的精度大幅度下降。

由于深度神经网络的训练需要大量的数据，而训练数据集的获取成为了限制深度学习快速发展最大的障碍。传统的机器学习所用的数据集都为人工搜集，如果采用人工拍摄每一张车牌，需要巨大的工作量，而且车牌是车辆唯一的识别号，相对比较隐私。基于以上两点原因，我们使用一种标准车牌生成的技术，在标准的全固定蓝色车牌底板上通过算法生成随机字符的中文车牌，从而解决了车牌数据不足的问题。

卷积神经网络是一种特殊的多层神经网络，像其它的神经网络一样，卷积神经网络也使用一种反向传播算法来进行训练，不同之处在于网络的结构。卷积神经网络Lenet-5是最为经典的卷积神经网络之一，LeNet-5共有7层，主要有卷积层、下抽样层、全连接层3种连接方式，除了输入层外，每层都包含可训练参数；每层有多个特征图(Feature Map)，每个特征图通过一种卷积滤波器提取输入的一种特征，每个特征图有多个神经元。因为在车牌识别中的字符都是标准字符，分类器的训练比较简单，所以在本发明中使用卷积神经网络Lenet-5为例。

深度学习车牌识别项目(EasyPR)是一个开源的中文车牌识别系统，具有简单、高效、准确的非限制场景(unconstrained situation)下的车牌识别效果。在这个项目中包含车牌检测(Plate Detection)和字符识别(Chars Recognition)两部分，因为我们使用的是标准车牌数据集，所以对车牌检测的需求不高。我们将标准车牌数据通过阈值化处理、字符检测、字符分割后，采用训练好的模型LeNet-5进行识别分割后的七个字符。经过测试，在制作的标准车牌数据集上达到100％的识别准确率。

发明内容