[发明专利]一种针对深度神经网络的物理对抗攻击方法

权利要求书

1.一种针对深度神经网络的物理对抗攻击方法，其特征在于，包括以下步骤：

S1，利用电脑模拟生成激光点，形式化激光点的物理参数；

S2，利用遗传算法寻找最具有攻击性的激光点的物理参数；

S3，基于激光点的物理参数，用激光笔投射激光点到目标物体上，得到物理对抗样本。

2.根据权利要求1所述的一种针对深度神经网络的物理对抗攻击方法，其特征在于，步骤S2的具体实现方法包括：

S21，将干净样本X、目标分类器f、正确标签Y、种群数量Seed、迭代次数Step、交叉率Pc、变异率Pm输入遗传算法模型，并输出对抗激光点群的物理参数G_θ；

S22，对种群数量Seed、迭代次数Step、交叉率Pc、变异率Pm进行参数初始化，并对激光点群的初始种群进行随机编码；

S23，种群数量Seed中的每一个个体对目标分类器进行攻击：即在设定的迭代次数Step内，计算种群数量Seed里每一个个体的适应度值及预测标签；

S24，若有个体能够成功攻击目标分类器，则输出该个体的物理参数G_θ，并结束算法；若所有个体都不能攻击成功，则按照适应度值的大小进行选择操作，然后以交叉率Pc和变异率Pm作为概率值进行交叉和变异操作。

3.根据权利要求2所述的一种针对深度神经网络的物理对抗攻击方法，其特征在于，在步骤S23中，适应度值的计算方法为：将干净样本输入目标目标分类器，分类器返回一个预测标签以及置信度，该置信度即表示适应度值。

4.根据权利要求3所述的一种针对深度神经网络的物理对抗攻击方法，其特征在于，在步骤S24中，个体攻击成功目标分类器的判定标准是：目标分类器返回的预测标签与正确标签不一致，则表示攻击成功。

5.根据权利要求4所述的一种针对深度神经网络的物理对抗攻击方法，其特征在于，在步骤S24中，所有个体都不能攻击成功时，所述选择操作的选择策略是将适应度值最大的前十分之一的个体分别用最小的前十分之一的个体来代替。