[发明专利]基于目标检测模型特征向量迁移的对抗样本生成方法

说明书

本发明公开了一种基于目标检测模型特征向量迁移的对抗样本生成方法，包括如下步骤：步骤S1、卷积神经网络特征向量迁移；步骤S2、对抗噪声的生成，步骤S3、对抗样本攻击效果评估。本发明对抗样本在目标检测等深度学习模型中攻击效果更强，并且在兼顾攻击隐蔽性的前提下具备更好的可迁移性。本发明对抗样本生成方法揭示了特征向量在目标检测模型的对抗机制中发挥的重要作用，验证了本发明所述的对抗样本的攻击威胁，能够启发探索鲁棒性目标检测算法领域的研究，以此设计出新的防御机制，对于目标检测模型在实际生活中的应用有着重要意义。

技术领域

本发明涉及计算机视觉和深度学习领域，尤其涉及的是一种基于目标检测模型特征向量迁移的对抗样本生成方法。

背景技术

随着人工智能技术的快速发展，越来越多的深度学习模型在生产、生活中发挥出更大的作用。深度学习在许多领域都有着广泛的应用，如：面容识别、指纹解锁、智慧医疗、智能输入法、语音助手等等。尽管深度学习在多种应用场景中都展现出强大的优势，但是对抗样本(adversarial example)的出现给深度学习的推广造成了极大的阻碍和安全隐患。对抗样本是一种特殊的输入，它会使得模型判断错误，带来严重的后果。以图像分类任务为例，对于某一输入图片，深度学习模型能够输出对应的物体类别，如：汽车、熊猫等；然而，对抗样本通过在原图片上加入人肉眼不可区分的微小扰动(对抗噪声，adversarialperturbation)来误导模型，令原本为“熊猫”的图片得到“汽车”的结果。对抗样本攻击最早由Szegedy等研究者在2013年提出，对抗样本与原图差距极小，隐蔽性强且难以检测，对于深度学习模型的研究有着重要的意义，通过分析对抗样本的生成原理和对抗机制，能够更全面地评估现有模型的鲁棒性，以更好地抵御潜在的攻击威胁，提升深度学习模型的可靠性。

根据攻击者掌握的知识和信息，对抗样本攻击可以分为白盒攻击和黑盒攻击两大类：

(1)黑盒攻击是指攻击者无法知悉目标的深度学习模型的细节，即在模型未知的情况下生成对应的对抗样本；

(2)白盒攻击是指攻击者能够获取目标的深度学习模型(包括模型结构、参数等)，利用基于梯度等的方法生成对抗样本。相较于黑盒攻击，白盒攻击者掌握的已知信息较多，因此白盒攻击生成的对抗样本攻击成功率更高。然而，由于不同深度学习模型的结构、参数等具有较大差别，一般的白盒攻击生成的对抗样本难以在其他的模型上达到同样的攻击效果，这也就导致白盒攻击在实际应用中局限性过大。

不过，大量研究表明对抗样本具有可迁移性(transferability)，即对抗样本能够在多个深度学习模型上均能发挥一定的攻击能力，也就是说通过白盒攻击生成的对抗样本能够在某种程度上具备黑盒攻击的效果。由于在实际应用中，攻击者通常难以获取深度学习模型，因此可迁移性强的对抗样本往往在现实场景中具备更强的破坏力和研究价值。

但本申请发明人发现上述技术至少存在如下技术问题：

现有的白盒对抗样本攻击面临着可迁移性差的局限性，尤其是对于目标检测等较为复杂的深度学习模型，对抗样本难以表现出良好的泛化能力，这对于研究目标检测模型的鲁棒性和应用价值有着不利影响。为了提升对抗样本的攻击能力，攻击者往往采取增大对抗噪声的方法，然而这会导致对抗样本失真，隐蔽性变差而降低攻击的可用性。

目标检测是一类针对图像或者视频输入的检测技术，其需要同时完成两大任务，即识别并且定位输入图像中的目标物体。目标检测模型在生产生活中有着广泛的使用场景，如：自动驾驶领域需要通过目标检测来追踪定位行人、车辆、交通标识等，在物流系统中需要通过目标检测来识别货物信息等。研究针对目标检测模型的对抗样本攻击，有助于启发研究者们设计鲁棒性更强的目标检测算法，为目标检测模型在实际应用中的推广奠定基础。而可迁移性更强的对抗样本攻击有助于研究者们更加全面的评估其目标检测模型的鲁棒性，寻找合适的解决方案以防御对抗攻击威胁。

综上所述，现阶段针对目标检测模型的对抗样本难以表现出良好的泛化性能，如何设计出一种能够权衡可迁移性和隐蔽性的对抗样本是亟待解决的问题。