[发明专利]一种利用3D对抗样本增强目标检测系统抗干扰能力的方法

说明书

本发明公开了一种利用3D对抗样本增强目标检测系统抗干扰能力的方法；执行过程包括步骤1基于纹理的对抗样本生成；步骤2基于形状的对抗样本生成；步骤3基于渲染的对抗样本生成；步骤4生成预训练数据清洗网络；步骤5将对抗样本图像添加到原训练集中。本发明主要从图形学层面出发，以更全面、系统的方案来生成3D对抗样本，并利用生成的对抗样本来提高目标检测模型的对抗防御能力。

技术领域

本发明涉及抗样本增强目标检测系统抗干扰领域，具体来讲是一种利用3D对抗样本增强目标检测系统抗干扰能力的方法。

背景技术

近年来研究表示，深度学习模型往往易受到对抗样本(adversarial examples)的威胁，即人为地对被检测物进行十分细微(或在人眼视角中相对正常)的改动，就可以使其被学习模型遗漏或误分类。更值得关注是，研究表明对抗样本存在“迁移性”，即针对某一个学习模型得到的对抗样本，输入给其他不同结构、参数、训练集的学习模型，也有可能误导其分析结果，攻击者不需要对目标学习模型有充分的了解，也可能成功对其进行攻击。

针对对抗样本的防御方法也是研究者关注的话题。常用的技术有数据清洗、添加对抗样本到训练集、蒸馏防御等等。这些技术很大程度上遵循“攻防一体”思想，需要对攻击模式有足够全面、深入的了解。总体而言，现有方法都只能在一定程度上降低对抗样本的影响，无法彻底解决其威胁。

目前已有研究者成功将对抗样本从像素层面推广到图形和现实空间，并成功误导目标检测和分类系统。当下，大多数对抗样本的研究依旧集中在图像层面，涉及到3D模型时也以纹理变换为主；而从图形学的角度看，在渲染和形状层面也可以生成3D对抗样本。但由于相关研究较少，目前对于基于图形学的对抗样本研究的理解相对不足，相关的防御措施也较为欠缺。

与本发明相关的现有技术

现有对抗样本生成的技术方案：

2013年,Szegedy等人首次在《Intriguing Properties of Neural Networks》提到了对抗样本的存在，提出了生成对抗样本的最基础理论，并在文中展示了基于L-BFGS方法制作对抗样本并成功误导学习模型的示例。2014年，Goodfellow等人提出了FGSM方法，基于梯度原理制作对抗样本。2016年，Nicolas Papernot等提出了JSMA方法，仅改变输入图像中的某一些像素点即可完成对抗攻击。关于三维空间对抗样本的生成技术，较典型的有2016年Alexey Kurakin首次在论文中展示了真实世界制作对抗样本的技术。2018年，Athalye Anish等人考虑3D对抗样本在实际打印和识别带来的不确定性，将优化目标从目标纹理本身推广到纹理的变换概率分布，即EOT(Expectation of Transformation)方法。同年，Kevin Eykholt等人将其研究应用在交通标志上，对交通指示牌进行人为处理，成功误导了车辆自动驾驶的目标检测系统。

现有对抗样本生成技术的缺点：

当前的研究主要集中在图像域的对抗样本攻击，很少涉及三维空间。有关图形学的应用，也集中在纹理变换，少有从渲染和形状层面对对抗样本进行讨论。如KevinEykholt的对抗样本生成方法，具体在实施上是给交通标志附着一定大小的像素色块。这些方法揭示了对抗样本的威胁性，但在生成过程上缺乏更系统的方案。

现有对抗防御的技术方案：

2009年，Huang Ling等人提出了数据清洗方法，主要对恶意的训练数据进行筛选。另外，还有通过提高学习算法的鲁棒性来增强抗干扰能力的方法，如Bagging，RSM(randomsubspace method)等。另外一类常用技术是将对抗样本添加到训练集中，进而提高模型鲁棒性。此外，2014年Hinton给出的蒸馏防御也是较好的神经网络强化方案，2016年NicolasPapernot提出将该技术应用在应对对抗样本的防御上，取得了一定的进展。

现有对抗防御技术的缺点：