[发明专利]一种目标检测攻击方法和装置

说明书

本发明提出了一种目标检测攻击方法和装置。通过将对抗样本由传统的优化机制转化为生成机制，大大缩短了生成对抗样本所需要的时间，同时训练好了GAN网络以后不再需要访问模型内部，能有效进行黑盒攻击。提出的方法能有效利用目标模型输出的分类和位置回归损失有效指导网络的训练，同时引入特征层损失能够有效捕捉图片在高维空间对网络较为敏感的特征，并对其进行扰动能进一步提高攻击成功率。另外加入的高斯滤波模块，可以去除对抗样本的高维扰动，留下低维扰动，并且提高生成对抗样本的图片质量，并进一步增强其攻击成功率。

技术领域

本发明属于深度学习对抗攻击领域，具体涉及一种目标检测攻击方法和装置。

背景技术

随着软硬件技术的发展，以卷积神经网络为代表的深度学习技术被广泛应用于许多计算机视觉任务上，如图像分类、目标检测、语义分割、场景文本识别等。尽管深度学习在这些任务上取得了巨大的成功，但最近有研究表明，神经网络易受对抗样本的攻击。Szegedy等人首次发现通过对原始样本添加人类难以感知的微小扰动，这样形成的图片会使得神经网络无法正确分类这些图片，他将这些加入特定扰动的图片称为“对抗样本”。对抗样本涉及到深度学习安全的问题，受到国内外诸多学者的关注，许多针对图像分类的对抗攻击方法被提了出来，比如FGSM，Deepfool，CW，MI-FGSM等。现如今，对抗样本不仅仅出现在图像分类任务上，其他的一些视觉任务也开始受到对抗样本的攻击，目标检测就是其中一个。

目标检测作为计算机视觉领域中最核心的任务之一，与其他许多任务都关系密切，比如目标追踪，语义分割等任务都是基于目标检测的技术实现的。同时目标检测被广泛应用于工业控制、航空航天等安全攸关的场景，因此对于目标检测的安全性方面的研究格外重要。2017年，Lu等人首次对“停止”标志和人脸图片上添加扰动来误导Faster R-CNN检测器，并且成功的欺骗了检测器，此后针对目标检测领域展开了一系列研究。Xie等人提出DAG方法来攻击Faster R-CNN，他们为所有检测器提取的建议区域分配一个错误标签，然后通过梯度优化的策略来让检测器对这些区域分类错误。尽管针对目标检测的攻击层出不穷，但是大多数方法都不可避免地存在以下几个问题：1)生成对抗样本需要大量的时间。比如DPatch的生成需要上万次甚至数十万次迭代才能生成有效的Patch，Darren提出的方法[此处有文献]生成一张对抗样本需要上百秒的推理时间。2)大多是白盒攻击，需要知道模型的参数。现有的攻击方法往往是基于梯度优化的策略，在生成对抗样本时，需要获取实际模型的参数，并通过反向传播来优化噪声得到对抗样本。但是在实际攻击中，攻击者往往面对的是不知类型的黑盒模型，对其内部参数一无所知，因此开发一种黑盒攻击的方法就显得尤其重要。

发明内容

本发明的一个目的在于针对现有技术的不足，提供一种目标检测攻击方法。

本发明的具体步骤如下：

步骤一、对干净的原始图片x进行预处理；

步骤二、将预处理后的图片输入到生成器G得到对抗噪声G(x)；将对抗噪声G(x)经过二维卷积核高斯滤波进行平滑，将平滑后的对抗噪声x_adv加入到预处理前的原始图片x上形成对抗图片

步骤三、将对抗图片输入到判别器D中，计算GAN损失；

所述GAN损失如公式(1)：

式中D(x)表示对原始图片x的判别结果；表示对对抗图片的判别结果；E_x表示x的数学分布期待。

步骤四、将对抗图片输入到待攻击的目标网络，计算对抗损失L_adv；

所述对抗损失包括置信度损失和回归损失；

置信度损失用来将图片中的感兴趣区域分类为背景；置信度损失函数如式(2)：