[发明专利]一种针对深度神经网络的物理对抗攻击方法

说明书

本发明公开了一种针对深度神经网络的物理对抗攻击方法，该方法在数字和物理环境下都具有鲁棒的对抗攻击能力和对抗攻击迁移性，能够实施白盒条件与黑盒条件下鲁棒的对抗攻击。该方法包括以下步骤：S1，利用电脑模拟生成激光点，形式化激光点的物理参数；S2，利用遗传算法寻找最具有攻击性的激光点的物理参数；S3，基于激光点的物理参数，用激光笔投射激光点到目标物体上，得到物理对抗样本。本发明的物理对抗攻击方法能够攻击未知的分类器，且实验结果表明，该方法在数字和物理环境下都具有鲁棒的对抗攻击能力和对抗攻击迁移性，能够实施白盒条件与黑盒条件下鲁棒的对抗攻击。因此，适宜推广应用。

技术领域

本发明属于计算机视觉物理对抗技术领域，具体地说，是一种针对深度神经网络的物理对抗攻击方法。

背景技术

基于深度神经网络的应用逐渐普及到日常生活中，如自动驾驶汽车、人脸识别系统等。与此同时，对抗攻击技术逐渐成为热点。许多的对抗攻击技术在数字环境下，通过操纵像素级别的扰动执行对抗攻击，这些方法生成的扰动是肉眼不可见的。另外一种形式的对抗攻击为物理对抗攻击，在目标物体上贴上纸条等作为扰动，执行对抗攻击，是肉眼可见的。例如，在路标牌上贴上一些小纸条，会导致深度神经网络分类错误，进而导致灾难性的后果。

在物理世界中，存在着许许多多的自然因素，可能会成为难以察觉的对抗扰动。例如光照、阴影、背景环境等。假设攻击者刻意制仿造出类似自然因素的物理对抗扰动，那么该类物理攻击方法会在不经意间执行对抗攻击，导致难以想象的后果。例如，有研究文献介绍了类似自然阴影的物理对抗扰动，既保证了物理攻击的成功，又能够使人们忽略掉该扰动的存在。大多数的物理对抗攻击技术采用贴纸作为物理对抗扰动，例如贴上贴纸的路标牌会欺骗深度神经网络。但这类方法有一个很大的缺点，即物理对抗扰动一直保留在目标物体上，因此，这类方法具有较差的物理对抗扰动隐蔽性。目前，有研究进展表明一些基于光照的物理对抗攻击技术具有较好的性能，这类方法利用瞬时攻击，保证了物理对抗扰动的隐蔽性，同时也实现了较好的攻击效果。然而这些方法通常只能够在昏暗的夜间环境执行对抗攻击，在明亮的白天环境，这些方法将完全瘫痪。

发明内容

本发明的目的在于提供一种针对深度神经网络的物理对抗攻击方法，该方法在数字和物理环境下都具有鲁棒的对抗攻击能力和对抗攻击迁移性，能够实施白盒条件与黑盒条件下鲁棒的对抗攻击。

为实现上述目的，本发明采用的技术方案如下：

一种针对深度神经网络的物理对抗攻击方法，包括以下步骤：

S1，利用电脑模拟生成激光点，形式化激光点的物理参数；

S2，利用遗传算法寻找最具有攻击性的激光点的物理参数；

S3，基于激光点的物理参数，用激光笔投射激光点到目标物体上，得到物理对抗样本。

进一步地，在本发明中，步骤S2的具体实现方法包括：

S21，将干净样本X、目标分类器f、正确标签Y、种群数量Seed、迭代次数Step、交叉率Pc、变异率Pm输入遗传算法模型，并输出对抗激光点群的物理参数G_θ；

S22，对种群数量Seed、迭代次数Step、交叉率Pc、变异率Pm进行参数初始化，并对激光点群的初始种群进行随机编码；

S23，种群数量Seed中的每一个个体对目标分类器进行攻击：即在设定的迭代次数Step内，计算种群数量Seed里每一个个体的适应度值及预测标签；

S24，若有个体能够成功攻击目标分类器，则输出该个体的物理参数G_θ，并结束算法；若所有个体都不能攻击成功，则按照适应度值的大小进行选择操作，然后以交叉率Pc和变异率Pm作为概率值进行交叉和变异操作。