【技術實現步驟摘要】
本專利技術涉及面向真實視覺應用的物理世界對抗補丁檢測方法,同時涉及面向真實視覺應用的物理世界對抗補丁檢測裝置及系統,屬于深度學習。
技術介紹
1、隨著人工智能技術的飛速發展,計算機視覺、自然語言處理等多個應用領域都取得了重大突破,現已廣泛應用于現實場景中。在計算機視覺領域,人臉識別、目標檢測、圖像分類等具體技術在公共安全、國防安全中貢獻了巨大的力量。例如,人臉識別技術已在教學樓、火車站、飛機場等場所中得到廣泛應用,代替了傳統人工核驗,大大解放了生產力;在自動駕駛、視頻監控、航空航天等場景中,大量的人類決策也被目標檢測技術所代替。人工智能技術現已涵蓋數學、醫學、物理學、計算機科學等多個學科,產業智能化、人機交互智能化、基礎設施智能化成為了現代社會發展的重要方向。然而,人工智能技術是一把“雙刃劍”,在給我們的生活帶來便利的同時,還存在著框架安全、模型安全、數據安全、算法安全等諸多安全問題正在成為網絡空間安全的新挑戰。
2、目前,計算機視覺技術大多建立在以深度學習為基礎的人工智能技術上。然而,深度學習模型脆弱的魯棒性為計算機視覺在應用中埋下了不可估量的安全隱患。2013年,首次提出對抗樣本(adversarial?examples)的概念,開創了計算機視覺模型研究的新方向。對抗樣本是指,通過人為精心設計向樣本中添加細微的干擾,導致模型以高置信度給出一個錯誤的輸出。例如,一張大熊貓的圖片加上被精心設計的噪聲擾動后,被模型錯誤識別為長臂猿。這種安全威脅將嚴重影響計算機視覺技術的應用,有可能在公共安全、國家安全等領域造成重大損失
3、除數字世界外,這種安全威脅同樣存在于物理世界中。物理世界中的對抗樣本主要以補丁的形式呈現,具體來說,其視覺上相當于一塊涂鴉形式的對抗貼紙,可依附在具體的真實世界攻擊目標如路牌、衣服上,在不顯著干擾人類認知的情況下有效攻擊人工智能模型。一種經典的對抗補丁攻擊方法為,在物理世界的真實路牌上貼上精心設計的對抗補丁的對抗樣本。人眼對這種路牌能有效識別,目標檢測模型卻無法識別。在自動駕駛場景中,這種對抗補丁攻擊極易引發重大安全問題。
4、物理對抗補丁相比于數字世界對抗樣本,其表征形式更加接近真實場景,難以從全局特征角度進行檢測。目前,人們對物理世界對抗補丁的研究還相對較少,針對物理世界對抗補丁的檢測方法仍然不足。同時,現有的物理對抗補丁檢測方法主要存在補丁定位困難、自然對抗補丁可判定性差、自然對抗補丁泛化檢測能力低等問題。
5、物理對抗補丁是一種直接威脅真實世界應用的對抗攻擊方式,隨著物理世界對抗研究的深入,未來勢必會出現越來越“自然”的對抗補丁,甚至可能欺騙人眼,引發重大安全問題。因此,開展物理世界對抗補丁檢測方法研究具有迫切的實際需求和重要的應用價值。然而,現有針對物理世界對抗補丁的檢測方法非常少,針對的場景與模型均十分有限,有大量空白區域尚未填補,且存在泛化檢測能力低的問題,尤其是難以檢測自然對抗補丁。
6、經過近期大量的實驗證明,檢測模型對非自然對抗補丁具有良好的泛化檢測能力,但難以泛化檢測自然對抗補丁。即,非自然對抗補丁與自然對抗補丁之間存在某種差異,該差異能夠阻礙模型進行泛化檢測。
7、總的來說,數字世界與物理世界的對抗攻擊技術發展現已十分成熟,這為神經網絡模型的魯棒性帶來了巨大挑戰。相比于數字世界對抗攻擊,物理世界對抗補丁將對抗攻擊由數字世界帶到了真實世界中,將對真實應用安全產生更大的危害。如圖6所示,在表現形式上,與數字世界的噪聲擾動相比,物理世界對抗補丁具有更加豐富的表現形式,其中自然對抗補丁更是能夠騙過人眼,這對防御方法的設計帶來了極大挑戰。
8、科學家從自然對抗補丁與非自然對抗補丁的異同點出發,探究了非自然與自然對抗補丁可判定性存在差異的原因。他們認為對抗補丁的對抗性來源于對抗補丁中的某一部分特征,將這種特征定義為對抗特征。因此,將對抗補丁特征空間中的特征劃分為對對抗性機理有貢獻的對抗特征,與對如自然性等其他屬性有貢獻的非對抗特征。首先,他們證明了自然與非自然對抗補丁具有相似的對抗特征與不同的非對抗特征。又因為特征空間大小相同,得出兩類對抗補丁的可判定性差異,來源于其特征空間中對抗和非對抗特征比例差異的結論。
9、盡管自然與非自然對抗補丁都具有完整可檢測的語義,但二者內部的視覺有序程度仍有所不同。直觀上說,自然對抗補丁更接近清晰的圖片,而非自然對抗補丁內部表征更加無序,視覺上干擾更多,更接近模糊的涂鴉。
技術實現思路
1、本專利技術要解決的技術問題在于,克服現有的技術的不足,提供面向真實視覺應用的物理世界對抗補丁檢測方法、裝置及系統,能夠提高對自然對抗補丁泛化檢測能力。
2、為達到上述技術目的,一方面,本專利技術提供的面向真實視覺應用的物理世界對抗補丁檢測方法,包括:
3、對原始數據集中的圖片進行銳化增強,得到訓練集;
4、利用訓練集對初始模型進行訓練,得到對抗補丁定位模型;
5、將待測測試集中的圖片進行模糊處理;
6、通過對抗補丁定位模型對處理后的測試集中自然對抗補丁進行定位檢測。
7、其中較優地,所述對原始數據集中的圖片進行銳化增強,具體包括:
8、通過拉普拉斯算子法對原始數據集中的圖片進行銳化增強。
9、其中較優地,所述利用訓練集對初始模型進行訓練,得到對抗補丁定位模型,具體包括:
10、將訓練集中的圖片輸入初始模型中,輸出對應預測結果;
11、根據預測結果與對應圖片的原始標簽計算損失函數;
12、經過多次迭代直至損失函數滿足預設條件后,通過反向傳播更新初始模型參數,最終輸出對抗補丁定位模型。
13、其中較優地,所述將待測測試集中的圖片進行模糊處理,具體包括:
14、針對每張圖片,利用高斯模糊變換函數對每個像素點周圍的像素值進行加權平均。
15、其中較優地,所述通過拉普拉斯算子法對原始數據集中的圖片進行銳化增強,通過下式實現:
16、(1)
17、(2)
18、公式(1)至(2)中,為銳化增強前的圖片,為銳化增強后的圖片,與代表圖片中對應位置的像素值,為圖像銳化函數,為拉普拉斯算子。
19、其中較優地,所述損失函數表達式為:
20、(4)
21、公式(4)中,代表置信度損失,代表預測框損失,代表分類損失,,,分別表示三個損失對應的權重;
22、所述置信度損失的表達式為:
23、(5)
24、所述預測框損失的表達式為:
25、(6)
26、所述分類損失的表達式為:
27、(7)
28、公式(5)至(7)中,為訓練集中第 i個原始標簽;為 bce損失函數,是一種交叉熵損失函數;為完全交并比損失函數。 本文檔來自技高網...
【技術保護點】
1.一種面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,包括:
2.根據權利要求1所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述對原始數據集中的圖片進行銳化增強,具體包括:
3.根據權利要求1所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述利用訓練集對初始模型進行訓練,得到對抗補丁定位模型,具體包括:
4.根據權利要求1所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述將待測測試集中的圖片進行模糊處理,具體包括:
5.根據權利要求2所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述通過拉普拉斯算子法對原始數據集中的圖片進行銳化增強,通過下式實現:
6.根據權利要求3所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述損失函數表達式為:
7.根據權利要求4所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述高斯模糊變換函數采用的高斯核表達式為:
8.根據權利要求7所述的面向真實視覺應用的物理世界
9.一種面向真實視覺應用的物理世界對抗補丁檢測裝置,其特征在于,包括:
10.一種面向真實視覺應用的物理世界對抗補丁檢測系統,其特征在于,包括:處理器和存儲器,所述處理器讀取所訴存儲器中的計算機程序,用于執行以下操作:
...【技術特征摘要】
1.一種面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,包括:
2.根據權利要求1所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述對原始數據集中的圖片進行銳化增強,具體包括:
3.根據權利要求1所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述利用訓練集對初始模型進行訓練,得到對抗補丁定位模型,具體包括:
4.根據權利要求1所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述將待測測試集中的圖片進行模糊處理,具體包括:
5.根據權利要求2所述的面向真實視覺應用的物理世界對抗補丁檢測方法,其特征在于,所述通過拉普拉斯算子法對原始數據集中的圖...
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。