[发明专利]一种目标检测攻击方法和装置

权利要求书

1.一种目标检测攻击方法，其特征在于该方法包括以下步骤：

步骤一、对干净的原始图片x进行预处理；

步骤二、将预处理后的图片输入到生成器G得到对抗噪声G(x)；将对抗噪声G(x)经过二维卷积核高斯滤波进行平滑，将平滑后的对抗噪声x_adv加入到预处理前的原始图片x上形成对抗图片

步骤三、将对抗图片输入到判别器D中，计算GAN损失；

所述GAN损失如公式(1)：

其中D(x)表示对原始图片x的判别结果；表示对对抗图片的判别结果；E_x表示x的数学分布期待；

步骤四、将对抗图片输入到待攻击的目标网络，计算对抗损失L_adv；

所述对抗损失包括置信度损失和回归损失；

所述置信度损失用来将图片中的感兴趣区域分类为背景；置信度损失函数如式(2)：

其中M表示待攻击的目标网络的建议框总数量，l_BCE表示二元交叉熵损失，C_i代表第i个建议框的置信度得分；

所述回归损失用以对检测出来的物体做干扰，使检测框的位置偏离真实值；回归损失函数如式(3)：

其中z_j∈{0,1}表示第j个建议框内物体存在情况，表示目标的位置系数阈值；(Δx_j，Δy_j，Δw_j，Δh_j)表示第j个建议框的位置系数，其中(Δx_j，Δy_j)表示第j个建议框中心点的坐标，Δw_j，Δh_j表示第j个建议框的宽、高；

所以对抗损失如下：

L_adv＝L_confidence+μ·L_regression (4)

其中μ为平衡置信度损失和位置回归损失的超参数；

步骤五、计算生成的对抗图片和原始图片之间的欧式距离，得到扰动损失L_perturb；同时将对抗图片输入到待攻击的目标网络中特征提取网络，计算特征层损失L_feature；

步骤六：根据步骤三、四、五得到的损失计算总损失，然后通过反向传播最小化总损失，更新生成器和判别器的参数，得到训练权重；

L_all＝α/L_feature+L_GAN+β·L_adv+γ·L_perturb (5)

其中α,β,γ分别为L_feature、L_adv、L_perturb的权重系数；

步骤七、生成器加载步骤六获得的训练权重，将原始图片生成相应的对抗图片。

2.根据权利要求1所述的一种目标检测攻击方法，其特征在于：所述的扰动损失L_perturb用来限制生成器生成噪声的大小，是对噪声的L₂距离计算：

L_perturb＝E_x(||G(x)||₂) (6)

式中||·||₂为L₂范数，用来限制生成噪声的大小。

3.根据权利要求1所述的一种目标检测攻击方法，其特征在于：所述的特征层损失L_feature的计算如下：

其中F表示特征提取器中的特征层总数，f表示集合的第f个特征层，T(L(x,f))表示对原始图片x提取的第f层特征图作强归一化。

4.根据权利要求1所述的一种目标检测攻击方法，其特征在于：所述的生成器G依次包括七个卷积块、一个卷积层和一个Tanh激活函数，其中每个卷积块包括一个卷积层和一个LeakyReLU激活函数。