[发明专利]一种对抗样本的生成方法、系统、装置及介质

说明书

本发明公开了一种对抗样本的生成方法、系统、装置及介质，该方案中，确定原始图像中的目标区域和背景区域之后，选取N个目标像素点和N个第一干扰像素点，然后使用N个第一干扰像素点的像素值一一对应替换N个目标像素点的像素值，生成第一干扰图像，并作为对抗样本。由于第一干扰像素点为背景区域中与目标区域相邻的像素点，第一干扰像素点与目标像素点的相似性更强，因此，生成的对抗样本更不易被人眼或者目标检测器识别，使得生成的对抗样本有更强的攻击性，从而能更有针对性的进行防御。

技术领域

本发明涉及目标识别领域，特别是涉及一种对抗样本的生成方法、系统、装置及介质。

背景技术

目标检测得益于深度学习提供源源不断的动力而熠熠生辉，在机器人导航、智能视频监控、工业检测、航空航天等领域展示出了优异的性能，但是它们也继承了深度神经网络的脆弱性—易遭受对抗攻击。对抗攻击是对输入的原始图像添加精心设计扰动生成新的图像，人的视觉系统几乎无法察觉这些新图像(对抗样本)与原始图像的差异，但是目标检测器上对对抗样本进行测试时会导致目标检测器无法识别其中的目标对象,对抗样本的存在暴露出目标检测器的应用存在严重的安全隐患。例如，针对人脸识别系统，攻击者可轻易地篡改人脸图片诱导目标检测器检测出错误信息；针对自动驾驶系统，攻击者可以使目标检测器无法正确识别停车标志，甚至可以伪装车辆使其无法被识别。研究这一问题不仅有助于理解深度神经网络的工作机制，更有助于激发产生更为强大的防御方案。

发明内容

本发明的目的是提供一种对抗样本的生成方法、系统、装置及介质，由于第一干扰像素点为背景区域中与目标区域相邻的像素点。因此，使用其生成的对抗样本不易被人眼识别，使得生成的对抗样本有更强的攻击性，从而能更有针对性的进行防御。

为解决上述技术问题，本发明提供了一种对抗样本的生成方法，包括：

确定原始图像中的目标区域和背景区域，所述目标区域为第一目标对象所在的区域，所述背景区域为所述原始图像中除所述目标区域之外的区域；

选取所述背景区域中与所述目标区域相邻的N个第一干扰像素点，及选取所述目标区域中的N个目标像素点，N个所述目标像素点与N个所述第一干扰像素点一一对应，N为不小于1的整数；

将所述原始图像中的N个所述目标像素点的像素值一一替换为和自身对应的第一干扰像素点的像素值，得到第一干扰图像，并将所述第一干扰图像作为对抗样本。

优选地，将所述原始图像中的N个所述目标像素点一一替换为和自身对应的干扰像素点，得到第一干扰图像之后，还包括：

构造第二目标对象；

选取所述第二目标对象所在区域的M个第二干扰像素点，及选取所述目标区域中的M个目标像素点，M个所述第二干扰像素点和M个所述目标像素点一一对应，M为不小于1的整数；

将所述第一干扰图像中的M个目标像素点的像素值一一替换为和自身对应的第二干扰像素点的像素值，得到第二干扰图像，并将所述第二干扰图像作为所述对抗样本。

优选地，确定原始图像中的目标区域和背景区域，包括：

使用全卷积神经网络方法对所述原始图像进行处理，以将所述第一目标对象所在区域设定为第一颜色，将所述原始图像中除所述第一目标对象之外的区域设定为第二颜色；

将所述第一颜色所在区域作为所述目标区域，并将所述第二颜色所在区域作为所述背景区域。

优选地，选取所述背景区域中与所述目标区域相邻的N个第一干扰像素点，及选取所述目标区域中的N个目标像素点，N个所述目标像素点与N个所述第一干扰像素点一一对应，包括：

设定第一预设步长；

根据所述第一预设步长对所述原始图像中的所有像素点进行轮询检测；