[发明专利]一种针对目标检测系统的对抗攻击方法

说明书

本发明涉及深度神经网络中的对抗攻击技术领域，且公开了一种针对目标检测系统的对抗攻击方法，数据集选用INRIA行人数据集，目标检测算法使用Yolov4以及Faster R‑CNN网络结构，包括以下步骤：S1、对于待检测样本数据集中的一个待检测样本I，对样本数据进行预处理操作；S2、将预处理后的样本I首先输入Yolov4目标检测器当中，得到样本中所有目标的位置信息；S3、对于样本I中每个检测到的目标，利用得到的位置信息生成星号形状的掩码M，M决定了添加对抗补丁的形状和位置，本发明提出了一种针对目标检测系统的对抗攻击方法，具体而言，生成一种星号形的对抗性补丁，该算法生成的对抗样本修改少量的图像像素，就可以误导最前主流的目标检测器。

技术领域

本发明涉及深度神经网络中的对抗攻击，尤其涉及一种针对目标检测系统的对抗攻击方法。

背景技术

深度学习技术近年来取得了重大突破，成功应用于图像处理、自然语言处理、语音识别、医疗诊断等多个领域。在图像分类、目标检测中，深度学习的准确率甚至超越了人类，然而近年来的研究发现，深度神经网络面临多重安全威胁。通过向输入数据添加一些噪声，攻击者可以构建一个性能良好的深度神经网络做出错误的决定，甚至使模型产生相同的结果完全不同的输入数据的识别结果。然而，人眼很难区分在添加扰动之前和之后的样本之间，因此对抗样本具有很强的隐蔽性。此类攻击被称为对抗性攻击，而精心构建的用于欺骗深度神经网络的数据称为对抗样本。

人类很难察觉对抗样本，但是对抗样本却能够欺骗深度神经网络模型，使模型输出错误的结果。因此，对抗攻击技术的出现，对于深度学习的安全领域构成了极大的威胁。比如，在重要的预警监测中或者数据分析系统中，如果有不法分子将精心设计的对抗样本作为输入量，则对造成系统的漏检与误检。再如，在无人驾驶汽车系统中，车辆会检测到路边的“Stop”停车标志进行分类决策，假设路边的停车标志被不法者恶意替换成了对抗样本，则自动驾驶汽车就会对停车的安全标志作出漏检或误检，后果不堪设想。应用深度神经网络模型到对安全有严格要求的环境中时，处理对抗样本造成的模型脆弱性变成已成了一个重要的任务，也成为当前深度学习安全的研究热点。

发明内容

(一)解决的技术问题

针对上述现有技术的不足，本发明的目的是提供一种针对目标检测系统的对抗攻击方法，使目前最先进的目标检测器检测不到目标。目标检测在继承神经网络优点的同时，也容易遭受到对抗样本的攻击，这使得目标检测在实际使用时具有一定的安全隐患。因此，对其进行攻击往往是根据目标检测所要达到的两个目标，即位置和类别来进行的。由于目标检测模型已经在许多与生活有关的应用中得到应用，如自动驾驶、行人识别、病理检测等，因此，研究目标检测模型的脆弱性具有重要意义。

(二)技术方案

本发明提供如下技术方案：一种针对目标检测系统的对抗攻击方法，数据集选用INRIA行人数据集，目标检测算法使用Yolov4以及Faster R-CNN网络结构，包括以下步骤：

S1、对于待检测样本数据集中的一个待检测样本I，对样本数据进行预处理操作；

S2、将预处理后的样本I首先输入Yolov4目标检测器当中，得到样本中所有目标的位置信息；

S3、对于样本I中每个检测到的目标，利用得到的位置信息生成星号形状的掩码M，M决定了添加对抗补丁的形状和位置；

S4、利用掩码M，初始化我们添加的对抗补丁P；

S5、将对抗样本输入Yolov4目标检测检测器，计算得到逃逸损失函数值L_YOLO；

S6、和Faster R-CNN目标检测器，计算得到逃逸损失函数值L_{Faster R-CNN}；