CN112215227B - 图像目标检测模型攻击方法、装置、终端设备及存储介质 - Google Patents
图像目标检测模型攻击方法、装置、终端设备及存储介质 Download PDFInfo
- Publication number
- CN112215227B CN112215227B CN202011429970.5A CN202011429970A CN112215227B CN 112215227 B CN112215227 B CN 112215227B CN 202011429970 A CN202011429970 A CN 202011429970A CN 112215227 B CN112215227 B CN 112215227B
- Authority
- CN
- China
- Prior art keywords
- image
- disturbance
- sample
- detection model
- target detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/20—Image preprocessing
- G06V10/25—Determination of region of interest [ROI] or a volume of interest [VOI]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V2201/00—Indexing scheme relating to image or video recognition or understanding
- G06V2201/07—Target detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Image Analysis (AREA)
Abstract
本发明公开一种图像目标检测模型攻击方法,所述图像目标检测模型攻击方法包括以下步骤:获取样本图像和用户输入的扰动图像设置信息,其中,扰动图像设置信息包括图像大小和形状;基于样本图像和扰动图像设置信息,生成扰动图像;基于样本图像和扰动图像生成对抗样本;将对抗样本输入图像目标检测模型进行识别,以对图像目标检测模型进行攻击,由于扰动图像的大小、形状是用户自行设置的,用户设置具有随机性和不确定性,因此,肉眼不容易察觉对抗样本与样本图像的区别,扰动隐蔽性高,攻击力度大。本发明还公开了一种图像目标检测模型攻击装置、终端设备及存储介质,提升了扰动的隐蔽性,从而提升了对图像目标检测模型的攻击力度。
Description
技术领域
本发明涉及图像处理领域,特别涉及一种图像目标检测模型攻击方法、装置、终端设备及存储介质。
背景技术
随着机器学习的发展,图像识别被不断完善,识别精度不断提高。
但是,在图像上添加对抗扰动后,能够使图像目标检测模型得出完全不同的结果。因此,为了提高图像目标检测模型的稳健性,通常需要通过对抗样本对图像目标检测模型进行对抗攻击,以提升图像目标检测模型的稳健性。不同的对抗样本有着不同的攻击效果,攻击力度越大,对抗攻击后的图像目标检测模型越稳健。因此,对抗样本的选择对图像目标检测模型的稳健性有着至关重要的作用。
对抗样本是通过在样本图像中添加扰动图像(即对抗扰动)生成。但是,现有的对抗样本,肉眼容易察觉对抗样本与样本图像的区别,也就是说,肉眼容易察觉对抗样本是被修改过的,隐蔽性较差,从而降低了攻击力度。
发明内容
本发明的主要目的是提供一种图像目标检测模型攻击方法、装置、终端设备及存储介质,旨在解决现有对抗样本攻击力度低的技术问题。
为实现上述目的,本发明提出一种图像目标检测模型攻击方法,应用于终端设备,所述图像目标检测模型攻击方法包括以下步骤:
获取样本图像和用户输入的扰动图像设置信息,所述扰动图像设置信息包括图像大小和形状;
基于所述样本图像和所述扰动图像设置信息,生成扰动图像;
基于所述样本图像和所述扰动图像生成对抗样本;
将所述对抗样本输入图像目标检测模型进行识别,以对所述图像目标检测模型进行攻击。
可选的,所述扰动图像设置信息还包括:所述扰动图像在所述样本图像上的位置信息;
所述基于所述样本图像和所述扰动图像生成对抗样本的步骤包括:
基于所述位置信息,将所述扰动图像叠加到所述样本图像上,以获得对抗样本。
可选的,所述基于所述样本图像和所述扰动图像生成对抗样本的步骤之前,所述图像目标检测模型攻击方法还包括以下步骤:
调高所述扰动图像的透明度;
所述基于所述样本图像和所述扰动图像生成对抗样本的步骤,包括:
基于所述样本图像和透明度调高后的所述扰动图像,生成对抗样本。
可选的,所述基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤包括:
基于所述扰动图像设置信息生成初始扰动图像;
基于所述样本图像和所述初始扰动图像,生成扰动图像。
可选的,所述基于所述样本图像和所述初始扰动图像,生成扰动图像的步骤包括:
根据所述样本图像和所述初始扰动图像,通过基于梯度的扰动生成算法,生成扰动图像。
可选的,所述基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤之前,所述图像检测模型攻击方法还包括以下步骤:
对所述样本图像进行预处理;
所述基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤,包括:
基于预处理后的所述样本图像和所述扰动图像设置信息,生成扰动图像。
可选的,所述基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤之前,所述图像检测模型攻击方法还包括以下步骤:
获取准确率阈值和迭代次数阈值;
所述将所述对抗样本输入图像目标检测模型进行识别的步骤之后,所述图像检测模型攻击方法还包括以下步骤:
判断所述图像目标检测模型的准确率是否小于所述准确率阈值;
若是,则攻击成功;
若否,返回基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤,迭代至迭代次数等于所述迭代次数阈值。
此外,为实现上述目的,本发明还提出一种图像目标检测模型攻击装置,所述图像目标检测模型攻击装置包括:
获取模块,用于获取样本图像和用户输入的扰动图像设置信息,所述扰动图像设置信息包括图像大小和形状;
扰动图像生成模块,用于基于所述样本图像和所述扰动图像设置信息,生成扰动图像;
对抗样本生成模块,用于基于所述样本图像和所述扰动图像生成对抗样本;
攻击模块,用于将所述对抗样本输入图像目标检测模型进行识别,以对所述图像目标检测模型进行攻击。
此外,为实现上述目的,本发明还提出一种终端设备,所述终端设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行图像目标检测模型攻击程序,所述图像目标检测模型攻击程序被所述处理器执行时实现上述任一项所述的图像目标检测模型攻击方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,其特征在于,所述存储介质上存储有图像目标检测模型攻击程序,所述图像目标检测模型攻击程序被处理器执行时实现如上述任一项所述的图像目标检测模型攻击方法的步骤。
本发明技术方案通过采用一种图像目标检测模型攻击方法,所述图像目标检测模型攻击方法包括以下步骤:获取样本图像和扰动图像设置信息,其中,扰动图像设置信息包括图像大小和形状;基于样本图像和扰动图像设置信息,生成扰动图像;基于样本图像和扰动图像生成对抗样本;将对抗样本输入图像目标检测模型进行识别,以对图像目标检测模型进行攻击,本发明中,扰动图像的大小、形状是用户自行设置的,由于用户设置具有随机性和不确定性,因此,肉眼不容易察觉对抗样本与样本图像的区别,扰动隐蔽性高,对图像目标检测模型的攻击力度大。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明实施例方案涉及的硬件运行环境的终端设备结构示意图;
图2为本发明第一实施例的图像目标检测模型攻击方法的流程示意图;
图3为本发明第二实施例的图像目标检测模型攻击方法的流程示意图;
图4为本发明第三实施例的图像目标检测模型攻击方法的流程示意图;
图5为本发明第三实施例的图像目标检测模型攻击方法的详细流程示意图;
图6为本发明第四实施例的图像目标检测模型攻击方法的详细流程示意图;
图7为本发明图像目标检测模型攻击装置的模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的终端设备结构示意图。
终端设备可以是移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(PDA)、平板电脑(PAD)等用户设备(User Equipment,UE)、手持设备、车载设备、可穿戴设备、计算设备、智能家居设备(例如智能电视、冰箱、洗衣机、空调、抽油烟机等)、监控设备或连接到无线调制解调器的其它处理设备、移动台(Mobile station,MS)等,终端设备台可以是控制面板灯智能家居设备。设备可能被称为用户终端、便携式终端、台式终端等。
通常,终端设备包括:至少一个处理器301、存储器302以及存储在所述存储器上并可在所述处理器上运行的图像目标检测模型攻击程序,所述图像目标检测模型攻击程序配置为实现如下任一实施例所述的图像目标检测模型攻击方法的步骤。
处理器301可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器301可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器301也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(CentralProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器301可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。处理器301还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关图像目标检测模型攻击方法操作,使得图像目标检测模型攻击方法模型可以自主训练学习,提高效率和准确度。
存储器302可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器302还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器302中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器301所执行以实现本申请中方法实施例提供的图像目标检测模型攻击方法。
在一些实施例中,终端还可选包括有:通信接口303和至少一个***设备。处理器301、存储器302和通信接口303之间可以通过总线或信号线相连。各个***设备可以通过总线、信号线或电路板与通信接口303相连。具体地,***设备包括:射频电路304、显示屏305和电源306中的至少一种。
通信接口303可被用于将I/O(Input/Output,输入/输出)相关的至少一个***设备连接到处理器301和存储器302。在一些实施例中,处理器301、存储器302和通信接口303被集成在同一芯片或电路板上;在一些其他实施例中,处理器301、存储器302和通信接口303中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路304用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路304通过电磁信号与通信网络以及其他通信设备进行通信。射频电路304将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路304包括:天线***、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路304可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WIFI(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路304还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏305用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏305是触摸显示屏时,显示屏305还具有采集在显示屏305的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器301进行处理。此时,显示屏305还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏305可以为一个,电子设备的前面板;在另一些实施例中,显示屏305可以为至少两个,分别设置在电子设备的不同表面或呈折叠设计;在再一些实施例中,显示屏305可以是柔性显示屏,设置在电子设备的弯曲表面上或折叠面上。甚至,显示屏305还可以设置成非矩形的不规则图形,也即异形屏。显示屏305可以采用LCD(LiquidCrystal Display,液晶显示屏)、OLED(Organic Light-Emitting Diode,有机发光二极管)等材质制备。
电源306用于为电子设备中的各个组件进行供电。电源306可以是交流电、直流电、一次性电池或可充电电池。当电源306包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
本领域技术人员可以理解,图1中示出的结构并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有图像目标检测模型攻击程序,所述图像目标检测模型攻击程序被处理器执行时实现如下文任一实施例所述的图像目标检测模型攻击方法的步骤。因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。确定为示例,程序指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行。
本领域普通技术人员可以理解实现下文任一实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述第一图像目标检测模型攻击程序或第二图像目标检测模型攻击程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如下述各方法的实施例的流程。其中,上述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
基于上述硬件结构,提出本发明图像目标检测模型攻击方法的实施例。
参照图2,图2为本发明图像目标检测模型攻击方法的第一实施例的流程示意图,所述图像目标检测模型攻击方法包括以下步骤:
步骤S11:获取样本图像和用户输入的扰动图像设置信息。
本实施例中,样本图像可以是任意待识别的图像,其中,样本图像的数量可以根据实际需要灵活设置。
本实施例中,扰动图像设置信息包括图像大小和形状。其中,图像大小可以根据实际需要灵活设置,例如,可以设置为样本图像大小的10%、5%等。图像的形状也可以根据实际需要灵活设置,例如,可以设置为三角形、正方形、长方形等标准几何形状,也可以设置为非标准几何形状,例如“小猫”、“小狗”等卡通造型。
本实施例中,获取用户输入的扰动图像设置信息。其中,用户可以通过用户输入接口(例如:触摸显示屏、音频拾取装置等)设置扰动图像设置信息。例如,用户可以通过在触摸显示屏上画出一个封闭性图形的方式,来向图像目标检测模型攻击装置下发扰动图像设置信息,封闭性图形的大小即扰动图像的大小,封闭性图形的形状即扰动图像的形状。当然,用户还可以基于其他用户输入接口,向图像目标检测模型攻击装置下发扰动图像设置信息。
步骤S12:基于样本图像和扰动图像设置信息,生成扰动图像。
本实施例中,在获取样本图像和扰动图像设置信息后,基于样本图像和扰动图像设置信息,生成扰动图像,生成的扰动图像的大小、形状与扰动图像设置信息中图像的大小、形状一致。
在一些实施例中,步骤S12包括:
步骤S121:基于扰动图像设置信息生成初始扰动图像。
本实施例中,基于扰动图像设置信息生成初始扰动图像,其中,初始扰动图像的形状、大小与扰动图像设置信息中图像的形状、大小一致。初始扰动图像中各像素点的像素值可以根据实际需要灵活设置,例如,可以均设置为0;或者设置为其他值。
步骤S122:基于样本图像和初始扰动图像,生成扰动图像。
在生成初始扰动图像后,基于样本图像和初始扰动图像,生成扰动图像。
本实施例中,步骤S122可以包括:根据样本图像和初始扰动图像,通过预设扰动生成算法,生成扰动图像。也就是说,根据样本图像和初始扰动图像,通过预设扰动生成算法,对初始扰动图像的各像素点进行训练,以得到各像素点的像素值,从而得到扰动图像。其中,预设扰动生成算法可以根据实际需要灵活设计。
例如,在一些实施方式中,预设扰动生成算法可以设计为基于优化的扰动生成算法,或者基于优化的扰动生成算法的改进。基于优化的扰动生成算法包括C&W(Carlini andWagner Attacks,卡里尼和瓦格纳的攻击)等。
又如,在一些实施方式中,根据实际数据的特点,为了提高攻击力度,预设扰动生成算法可以设计为基于梯度的扰动生成算法、或者设计为基于梯度的扰动生成算法的改进,其中,基于梯度的扰动生成算法包括FGSM(Fast Gradient Sign Method,快速梯度下降法)、PGD(Project Gradient Descent)、MIM(Momentum Iterative Method)等。此时,步骤S122包括:根据样本图像和初始扰动图像,通过基于梯度的扰动生成算法,生成扰动图像。
步骤S13:基于样本图像和扰动图像生成对抗样本。
本实施例中,在生成扰动图像后,将扰动图像叠加到样本图像上,以获得对抗样本。
在一些实施例中,步骤S13包括:将扰动图像叠加到样本图像上的任意位置,以获得对抗样本。
在一些实施例中,扰动图像设置信息还包括:扰动图像在样本图像上的位置信息,此时,步骤S13包括:基于扰动图像设置信息中的位置信息,将扰动图像叠加到样本图像上,以获得对抗样本。例如,假设扰动图像设置信息中的位置信息为:样本图像的左上角,则将扰动图像叠加到样本图像的左上角。
步骤S14:将对抗样本输入图像目标检测模型进行识别,以对图像目标检测模型进行攻击。
其中,图像目标检测模型用于检测图像中的物体,例如,在自动驾驶领域,通过图像目标检测模型检测驾驶过程中出现的人、车、障碍物等。
将对抗样本输入到图像目标检测模型,以使图像目标检测模型对对抗样本进行识别,从而对图像目标检测模型进行攻击。
本实施例提供的图像目标检测模型攻击方法,包括以下步骤:获取样本图像和用户输入的扰动图像设置信息,其中,扰动图像设置信息包括图像大小和形状;基于样本图像和扰动图像设置信息,生成扰动图像;基于样本图像和扰动图像生成对抗样本;将对抗样本输入图像目标检测模型进行识别,以对图像目标检测模型进行攻击,也就是说,本实施例中,扰动图像的大小、形状是用户自行设置的,由于用户设置具有随机性和不确定性,相比基于固定大小、形状的扰动图像生成的对抗样本,本实施例中基于用户自行设置大小、形状的扰动图像生成的对抗样本,肉眼不容易察觉到样本图像与对抗样本的区别,扰动隐蔽性高,从而提升了攻击力度。
基于第一实施例,提出本发明图像目标检测模型攻击方法的第二实施例。本实施例中,参见图3所示,步骤S13之前,图像目标检测模型攻击方法还包括以下步骤:
步骤S15:调高扰动图像的透明度。
本实施例中,在生成扰动图像后,为了提高隐蔽性,调高扰动图像的透明度,应当理解的是,透明度越高,图像越透明。调高的方式可以根据实际需要灵活设置。
例如,在一些实施例中,步骤S15包括:将扰动图像的透明度调高至预设透明度阈值。也就是说,可以先设置一个透明度值作为透明度阈值,在生成扰动图像后,将扰动图像的透明度调高至透明度阈值。其中,透明度阈值可以根据实际需要灵活设置,例如,可以设置为90%、80%等。在一个示例中,假设预设透明度阈值为95%,生成的扰动图像的透明度为50%,则将扰动图像的透明度调高至95%。
在一些实施例中,步骤S15包括:将扰动图像的透明度增加预设透明度增量。也就是说,可以先设置一个透明度值作为透明度增量,在生成扰动图像后,将扰动图像的透明度增加预设透明度增量。其中,透明度增量可以根据实际需要灵活设置,例如,可以设置为10%、20%等。在一个示例中,假设预设透明度增量为15%,生成的扰动图像的透明度为60%,则将扰动图像的透明度增加15%,也即,调高后,扰动图像的透明度为75%。
在一些实施例中,步骤S15包括:基于预设透明度增加比例,调高扰动图像的透明度。也就是说,可以先设置一个透明度增加比例,在生成扰动图像后,基于预设透明度增加比例,调高扰动图像的透明度,其中,调高后扰动图像的透明度=(1+透明度增加比例)*调高前扰动图像的透明度。其中,透明度增加比例可以根据实际需要灵活设置,例如,可以设置为0.1、0.2等。在一个示例中,假设预设透明度增量为0.1,生成的扰动图像的透明度为80%,则调高后,扰动图像的透明度=(1+0.1)*80%=88%。
本实施例中,步骤S13包括:基于样本图像和透明度调高后的扰动图像生成对抗样本。
也即,将透明度调高后的扰动图像叠加到样本图像中,以获得对抗样本,由于扰动图像的透明度调高了,因此,将扰动图像叠加到样本图像上后,肉眼更加不容易分辨,从而提升隐蔽性,提升攻击力度。
本实施例提供的图像目标检测模型攻击方法,在生成扰动图像后,先调高扰动图像的透明度,再基于样本图像和透明度调高后的扰动图像生成对抗样本,相比在生成扰动图像后,直接基于扰动图像和样本图像生成的对抗样本,本实施例中的对抗样本,肉眼不容易察觉出与样本图像的区别,提升了扰动的隐蔽性,提升了对图像目标检测模型的攻击力度。
基于第一实施例,提出本发明图像目标检测模型攻击方法的第三实施例。本实施例中,参见图4所示,步骤S12之前,图像目标检测模型攻击方法还包括以下步骤:
步骤S16:获取准确率阈值和迭代次数。
其中,准确率阈值可以根据实际需要灵活设置,例如,设置为50%、60%、70%等。
本实施例中,对步骤S16和步骤S11的执行先后顺序并无限制,其中,可以先执行步骤S11,再执行步骤S16,或者,先执行步骤S16,再执行步骤S11,或者,步骤S16和步骤S11同时执行。
迭代次数可以根据实际需要灵活设置,例如,设置为3次、5次、6次。
步骤S14之后,图像目标检测模型攻击方法还包括以下步骤:
步骤S17:判断图像目标检测模型的准确率是否小于准确率阈值。
本实施例中,在将对抗样本输入图像目标检测模型进行识别后,获取图像目标检测模型的识别准确率,并判断图像目标检测模型针对对抗样本的识别准确率是否小于准确率阈值。
步骤S18:若是,攻击成功。
若图像目标检测模型针对对抗样本的识别准确率小于准确率阈值,则表明攻击成功,结束。
其中,在攻击成功后,可以基于对抗样本对图像目标检测模型进行训练,以提升图像目标检测模型的识别准确率和稳健性。
步骤S19:若否,返回步骤S12,迭代至迭代次数等于迭代次数阈值。
也就是说,若图像目标检测模型针对对抗样本的识别准确率大于准确率阈值,返回步骤S12,进行下一次迭代,其中,从步骤S12至步骤S19,称为一次迭代。也就是说,若图像目标检测模型针对对抗样本的识别准确率小于准确率阈值,则基于样本图像和扰动图像设置信息,重新生成扰动图像,然后,基于样本图像和新的扰动图像生成新的对抗样本,将新的对抗样本输入图像目标检测模型进行识别,以对图像目标检测模型进行攻击。简言之,若图像目标检测模型针对对抗样本的识别准确率小于准确率阈值,返回步骤S12,进行下一轮攻击。
为了避免无限迭代,在迭代次数达到迭代次数阈值时,结束迭代。
在一些实施例中,可以基于历史扰动图像(即前面迭代过程中生成的扰动图像,例如,上一次迭代过程中生成的扰动图像)、样本图像生成新的扰动图像。在一个示例中,在第一次迭代过程中,步骤S12包括:基于扰动图像设置信息生成初始扰动图像,根据样本图像和初始扰动图像,通过预设扰动生成算法生成第一张扰动图像;在第二次迭代过程中,步骤S12包括:根据样本图像和第一张扰动图像,通过预设扰动生成算法生成第二张扰动图像(即根据样本图像和预设扰动生成算法,对第一张扰动图像进行训练,以得到第二张扰动图像);在第三次迭代过程中,步骤S12包括:根据样本图像和第二张扰动图像,通过预设扰动生成算法生成第三张扰动图像;在第四次迭代过程中,步骤S12包括:根据样本图像和第三张扰动图像,通过预设扰动生成算法生成第四张扰动图像;并按照此规律执行后续生成扰动图像的过程,直至迭代结束。
在一些实施例中,参见图5所示,步骤S19包括:
步骤S191:若否,获取迭代次数。
本实施例中,在程序执行过程中,会记录迭代次数。若图像目标检测模型针对对抗样本的识别准确率大于准确率阈值,则获取记录的迭代次数。
步骤S192:判断迭代次数是否小于迭代次数阈值。
本获取迭代次数后,判断该迭代次数是否小于迭代次数阈值。
步骤S193:若迭代次数小于迭代次数阈值,返回步骤S13。
若迭代次数小于迭代次数阈值,返回步骤S12,进行下一次迭代。
步骤S194:若迭代次数等于迭代次数阈值,则攻击失败。
若迭代次数等于迭代次数阈值,则表明攻击失败,结束迭代。
本实施例提供的图像目标检测模型攻击方法,在图像目标检测模型对对抗样本的识别准确率低于准确率阈值时,攻击成功;在图像目标检测模型对对抗样本的识别准确率高于准确率阈值时,重新生成对抗样本,再次对图像目标检测模型进行攻击,直到迭代次数达到迭代次数阈值,也就是说,在图像目标检测模型对对抗样本的识别准确率低于准确率阈值时,会对图像目标检测模型进行多次攻击,从而提升图像目标检测模型的稳健性。
基于第三实施例,提出本发明图像目标检测模型攻击方法的第四实施例。本实施例中,参见图6所示,步骤S12之前,图像目标检测模型攻击方法还包括以下步骤:
步骤S20:对样本图像进行预处理。
本实施例中,对样本图像进行预处理的方式可以根据实际需要灵活设置。在一些示例中,对样本图像进行预处理包括:将样本图像处理成预设尺寸的样本图像。
此时,步骤S12包括:基于预处理后的样本图像和扰动图像设置信息,生成扰动图像。
步骤S13包括:基于预处理后的样本图像和扰动图像,生成对抗样本。
本实施例提供的图像目标检测模型攻击方法,在获取样本图像和扰动图像设置信息后,先对样本图像进行预处理,避免样本图像无法使用的情况。
本实施例中,在前述图像目标检测模型攻击方法实施例的基础上,提供一种图像目标检测模型攻击装置,参照图6,图6为本发明图像目标检测模型攻击装置的模块示意图,所述图像目标检测模型攻击装置包括:
获取模块11,用于获取样本图像和用户输入的扰动图像设置信息,扰动图像设置信息包括图像大小和形状;
扰动图像生成模块12,用于基于样本图像和扰动图像设置信息,生成扰动图像;
对抗样本生成模块13,用于基于样本图像和扰动图像生成对抗样本;
攻击模块14,用于将对抗样本输入图像目标检测模型进行识别,以对图像目标检测模型进行攻击。
需要说明的是,图像目标检测模型攻击装置还可选的包括有对应的模块,以实施上述图像目标检测模型攻击方法的其他步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例的方法。
以上仅为本发明的可选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。
Claims (8)
1.一种图像目标检测模型攻击方法,其特征在于,所述图像目标检测模型攻击方法包括以下步骤:
获取样本图像和用户输入的扰动图像设置信息,所述扰动图像设置信息包括图像大小、形状和位置信息;
基于所述样本图像和所述扰动图像设置信息,生成扰动图像;
基于所述样本图像和所述扰动图像生成对抗样本;
将所述对抗样本输入图像目标检测模型进行识别,以对所述图像目标检测模型进行攻击;
所述基于所述样本图像和所述扰动图像生成对抗样本的步骤包括:
基于所述位置信息,将所述扰动图像叠加到所述样本图像上,以获得对抗样本;
所述基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤包括:
基于所述扰动图像设置信息生成初始扰动图像,所述初始扰动图像的像素值为0;
基于所述样本图像和所述初始扰动图像,生成扰动图像。
2.如权利要求1所述的图像目标检测模型攻击方法,其特征在于,所述基于所述样本图像和所述扰动图像生成对抗样本的步骤之前,所述图像目标检测模型攻击方法还包括以下步骤:
调高所述扰动图像的透明度;
所述基于所述样本图像和所述扰动图像生成对抗样本的步骤,包括:
基于所述样本图像和透明度调高后的所述扰动图像,生成对抗样本。
3.如权利要求1所述的图像目标检测模型攻击方法,其特征在于,所述基于所述样本图像和所述初始扰动图像,生成扰动图像的步骤包括:
根据所述样本图像和所述初始扰动图像,通过基于梯度的扰动生成算法,生成扰动图像。
4.如权利要求1所述的图像目标检测模型攻击方法,其特征在于,所述基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤之前,所述图像目标检测模型攻击方法还包括以下步骤:
对所述样本图像进行预处理;
所述基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤,包括:
基于预处理后的所述样本图像和所述扰动图像设置信息,生成扰动图像;
所述基于所述样本图像和所述扰动图像生成对抗样本的步骤,包括:
基于预处理后的所述样本图像和所述扰动图像生成对抗样本。
5.如权利要求1所述的图像目标检测模型攻击方法,其特征在于,所述基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤之前,所述图像目标检测模型攻击方法还包括以下步骤:
获取准确率阈值和迭代次数阈值;
所述将所述对抗样本输入图像目标检测模型进行识别的步骤之后,所述图像目标检测模型攻击方法还包括以下步骤:
判断所述图像目标检测模型的准确率是否小于所述准确率阈值;
若是,则攻击成功;
若否,返回基于所述样本图像和所述扰动图像设置信息,生成扰动图像的步骤,迭代至迭代次数等于所述迭代次数阈值。
6.一种图像目标检测模型攻击装置,其特征在于,所述图像目标检测模型攻击装置包括:
获取模块,用于获取样本图像和用户输入的扰动图像设置信息,所述扰动图像设置信息包括图像大小、形状和位置信息;
扰动图像生成模块,用于基于所述扰动图像设置信息生成初始扰动图像,所述初始扰动图像的像素值为0,基于所述样本图像和所述初始扰动图像,生成扰动图像;
对抗样本生成模块,用于基于所述位置信息,将所述扰动图像叠加到所述样本图像上,以获得对抗样本;
攻击模块,用于将所述对抗样本输入图像目标检测模型进行识别,以对所述图像目标检测模型进行攻击。
7.一种终端设备,其特征在于,所述终端设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行图像目标检测模型攻击程序,所述图像目标检测模型攻击程序被所述处理器执行时实现如权利要求1至5任一项所述的图像目标检测模型攻击方法的步骤。
8.一种存储介质,其特征在于,所述存储介质上存储有图像目标检测模型攻击程序,所述图像目标检测模型攻击程序被处理器执行时实现如权利要求1至5任一项所述的图像目标检测模型攻击方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011429970.5A CN112215227B (zh) | 2020-12-09 | 2020-12-09 | 图像目标检测模型攻击方法、装置、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011429970.5A CN112215227B (zh) | 2020-12-09 | 2020-12-09 | 图像目标检测模型攻击方法、装置、终端设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112215227A CN112215227A (zh) | 2021-01-12 |
| CN112215227B true CN112215227B (zh) | 2021-04-09 |
Family
ID=74068158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011429970.5A Active CN112215227B (zh) | 2020-12-09 | 2020-12-09 | 图像目标检测模型攻击方法、装置、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112215227B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113627475A (zh) * | 2021-07-07 | 2021-11-09 | 厦门市美亚柏科信息股份有限公司 | 一种对样本进行不确定性估计的方法及装置 |
| CN113537374B (zh) * | 2021-07-26 | 2023-09-08 | 百度在线网络技术(北京)有限公司 | 一种对抗样本生成方法 |
| CN115292722B (zh) * | 2022-10-09 | 2022-12-27 | 浙江君同智能科技有限责任公司 | 基于不同色彩空间的模型安全检测方法和装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111476228A (zh) * | 2020-04-07 | 2020-07-31 | 海南阿凡题科技有限公司 | 针对场景文字识别模型的白盒对抗样本生成方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11501156B2 (en) * | 2018-06-28 | 2022-11-15 | International Business Machines Corporation | Detecting adversarial attacks through decoy training |
| CN109902617B (zh) * | 2019-02-25 | 2022-04-12 | 百度在线网络技术(北京)有限公司 | 一种图片识别方法、装置、计算机设备和介质 |
| CN111325341B (zh) * | 2020-02-18 | 2023-11-14 | 中国空间技术研究院 | 一种自适应对抗强度的对抗训练方法 |
| CN111461239B (zh) * | 2020-04-03 | 2023-05-09 | 成都考拉悠然科技有限公司 | 基于白盒攻击的ctc场景文字识别模型优化方法 |
-
2020
- 2020-12-09 CN CN202011429970.5A patent/CN112215227B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111476228A (zh) * | 2020-04-07 | 2020-07-31 | 海南阿凡题科技有限公司 | 针对场景文字识别模型的白盒对抗样本生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112215227A (zh) | 2021-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112215227B (zh) | 图像目标检测模型攻击方法、装置、终端设备及存储介质 | |
| US11074466B2 (en) | Anti-counterfeiting processing method and related products | |
| CN110706179B (zh) | 一种图像处理方法及电子设备 | |
| WO2018113665A1 (zh) | 二维码识别方法及装置 | |
| CN110210573B (zh) | 对抗图像的生成方法、装置、终端及存储介质 | |
| CN108875643B (zh) | 指纹模组、指纹识别方法、装置、存储介质及移动终端 | |
| KR102557561B1 (ko) | 이미지의 깊이 정보를 결정하는 방법 및 시스템 | |
| CN112989346B (zh) | 对抗样本生成方法、装置、终端设备以及存储介质 | |
| CN110991457B (zh) | 二维码处理方法、装置、电子设备及存储介质 | |
| CN109544172B (zh) | 一种显示方法及终端设备 | |
| CN113989962A (zh) | 门禁识别控制方法及相关设备 | |
| CN113038232A (zh) | 视频播放方法、装置、设备、服务器及存储介质 | |
| CN113014830A (zh) | 视频虚化方法、装置、设备及存储介质 | |
| US20230161872A1 (en) | Method for application security and electronic device for performing the same | |
| CN107609446B (zh) | 一种码图识别方法、终端及计算机可读存储介质 | |
| CN113225234B (zh) | 资产探测方法、装置、终端设备以及计算机可读存储介质 | |
| US20210232853A1 (en) | Object Recognition Method and Terminal Device | |
| CN111355991B (zh) | 视频播放方法、装置、存储介质及移动终端 | |
| CN112837222A (zh) | 指纹图像拼接方法、装置、存储介质及电子设备 | |
| CN109492451B (zh) | 一种编码图像识别方法及移动终端 | |
| CN114973347A (zh) | 一种活体检测方法、装置及设备 | |
| CN112559081A (zh) | 数据加载方法、装置、设备及计算机可读存储介质 | |
| CN112150396A (zh) | 高光谱图像降维方法、装置、终端设备及存储介质 | |
| CN111046215A (zh) | 一种图像处理方法、装置、存储介质及移动终端 | |
| CN112308104A (zh) | 异常识别方法、装置及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |