[发明专利]对黑盒对象检测算法的对抗攻击

说明书

公开一种对传感器的黑盒对象检测算法产生对抗攻击的系统和方法，包括从黑盒对象检测算法获得初始训练数据集。黑盒对象检测算法对初始输入数据执行对象检测，以提供黑盒对象检测算法输出,该黑盒对象检测算法输出提供初始训练数据集。用初始训练数据集训练替代模型，使得替代模型的输出对组成初始训练数据集的黑盒对象检测算法输出进行复制。黑盒对象检测算法的操作细节是未知的，替代模型的操作细节是已知的。替代模型用于执行对抗攻击。对抗攻击是指识别使得黑盒对象检测算法无法执行精确检测的对抗输入数据。

技术领域

本主题公开涉及对黑盒对象检测算法的对抗攻击。

背景技术

对象检测算法与传感器(例如，无线电检测和测距(雷达)系统、照相机、光检测和测距(激光雷达)系统)一起使用。对象检测算法是指对传感器获得的数据进行特定处理，以便检测传感器视场中的一个或多个目标。在雷达系统中，对象检测算法可以包括执行一个或多个傅立叶变换，随后是波束形成过程，以识别和定位对象。在基于相机的系统中，对象检测算法可以包括识别高于一阈值的一组像素值。对抗攻击指的是确定检测算法的操作极限(operational limit)的过程。本质上，生成了对象检测算法失败的数据。当对象检测算法的功能细节已知时，根据已知的过程，对象检测算法的对抗攻击变得更容易。然而，对象检测算法可能是未知的，并且可能被视为黑盒。因此，期望对黑盒对象检测算法提供对抗攻击。

发明内容

在一个示例性实施例中，一种对传感器的黑盒对象检测算法产生对抗攻击的方法包括，从黑盒对象检测算法获得初始训练数据集。黑盒对象检测算法对初始输入数据执行对象检测，以提供黑盒对象检测算法输出,该黑盒对象检测算法输出提供初始训练数据集。该方法还包括用初始训练数据集来训练一替代模型，使得来自替代模型的输出能对组成初始训练数据集的黑盒对象检测算法输出进行复制。黑盒对象检测算法的操作细节是未知的，替代模型的操作细节是已知的。替代模型用于执行对抗攻击，其中对抗攻击是指识别使得黑盒对象检测算法无法执行精确检测的对抗输入数据。

除了本文描述的一个或多个特征之外，该方法还包括从传感器收集初始输入数据。

除了本文描述的一个或多个特征之外，收集初始输入数据包括从照相机收集图像。

除了在此描述的一个或多个特征之外，该方法还包括获得黑盒对象检测算法输出，作为图像中的被检测对象周围的边界框，以及处理黑盒对象检测算法输出，以获得初始训练数据集。

除了在此描述的一个或多个特征之外，该处理包括，在边界框围绕被检测对象的情况下将网格覆盖在图像上，并且基于网格的单元中边界框的存在或百分比而将值分配给网格的每个单元。

除了本文描述的一个或多个特征之外，该方法还包括为替代模型选择架构。

除了本文描述的一个或多个特征之外，该方法还包括修改初始输入数据以获得第二输入数据。

除了本文描述的一个或多个特征之外，该方法还包括基于对第二输入数据执行对象检测的黑盒对象检测算法来获得第二训练数据集。

除了本文描述的一个或多个特征之外，训练该替代模型包括基于使用第二输入数据确保替代模型的输出能对第二训练数据集进行复制。

除了本文描述的一个或多个特征之外，该方法还包括重复以下过程:修改初始输入数据，以获得新输入数据，基于对新的输入数据执行对象检测的黑盒对象检测算法获得新的训练数据，并且使用新的训练数据训练该替代模型。