用于自动驾驶可迁移式对抗攻击的样本生成方法及装置

本公开涉及自动驾驶和智能识别，尤其涉及一种用于自动驾驶可迁移式对抗攻击的样本生成方法及装置。

背景技术：

1、随着自动驾驶技术的发展，人工智能模型在各种计算机视觉任务中扮演着重要的角色，例如图像分类、目标检测等等任务。在自动驾驶等安全敏感的场景当中，模型可对路况上的交通标志进行识别，以提供准确的驾驶信息。

2、在模型受到对抗攻击的情况下，对抗图像(即添加了不易察觉的扰动的路况图像)可以欺骗模型，引导模型做出错误的决策。由于模型对抗攻击训练过程中，对抗样本的可迁移性低(即在不同模型下或不同路况环境下的对抗性不同)，这使得对抗攻击训练得到的模型的安全性低。

技术实现思路

1、鉴于上述问题，本公开提供了一种用于自动驾驶可迁移式对抗攻击的样本生成方法及装置。

2、根据本公开的第一个方面，提供了一种用于自动驾驶可迁移式对抗攻击的样本生成方法，包括：利用干扰块对原始样本图像中补丁位置进行处理，得到对抗样本图像，干扰块是具有噪声的图像，补丁位置是将原始样本图像输入训练后的自注意力机制模型得到的；利用目标识别模型中的特征混合块对原始样本图像的干净特征和对抗特征进行混合处理，得到待更新对抗样本图像，干净特征是从原始样本图像中特征提取得到的，对抗特征是从对抗样本图像中特征提取得到的，目标识别模型是基于损失函数值训练识别模型得到的，损失函数值是基于识别模型的损失函数处理原始样本图像和对抗样本图像得到的；利用基于梯度的优化算法对待更新对抗样本图像中的扰动块进行更新，得到目标对抗样本图像。

3、根据本公开的实施例，利用目标识别模型中的特征混合块对原始样本图像的干净特征和对抗特征进行混合处理，得到待更新对抗样本图像包括：在目标识别模型中的特征混合块处于工作状态的情况下，对原始样本图像的干净特征和对抗特征进行混合处理，得到待更新对抗样本图像，目标识别模型包括多个特征混合块，多个特征混合块分别位于目标识别模型的不同的结构层中。

4、根据本公开的实施例，利用基于梯度的优化算法对待更新对抗样本图像中的扰动块进行更新，得到目标对抗样本图像包括：在目标识别模型中的特征混合块处于工作状态的情况下，利用基于梯度的优化算法对待更新对抗样本图像中的扰动块进行更新，得到目标对抗样本图像。

5、根据本公开的实施例，利用干扰块对原始样本图像中补丁位置进行处理，得到对抗样本图像，还包括：将补丁位置映射至原始样本图像中，得到目标掩码位置；对原始样本图像中目标掩码位置进行掩码处理，得到目标掩码图像；将目标掩码图像和扰动块进行叠加，得到对抗样本图像。

6、根据本公开的实施例，上述方法还包括：利用自注意力机制训练得到与原始样本图像对应的类别注意力图；在类别注意力图中确定满足预设阈值的补丁位置。

7、根据本公开的实施例，上述方法还包括：基于损失函数值训练识别模型，得到训练后的识别模型的待调整模型参数；利用基于梯度的优化算法对待调整模型参数进行微调，得到微调模型参数；在保持微调模型参数不变的情况下，得到训练后的目标识别模型。

8、根据本公开的实施例，利用基于梯度的优化算法对待调整模型参数进行微调，得到微调模型参数包括：在目标识别模型中的多个特征混合块均不处于工作状态的情况下，利用基于梯度的优化算法对待调整模型参数进行微调，得到微调模型参数。

9、根据本公开的实施例，利用基于梯度的优化算法对待调整模型参数进行微调，得到微调模型参数还包括：重新定义损失函数为：

10、lf＝j(x′t，y；θt)+j(x，y；θt)

11、lf为重新定义后的损失函数，j(x′t，y；θt)表示对抗样本图像x′t的损失函数值，j为重新定义前的损失函数，y为标签，θt为在第t次迭代过程中模型参数，j(x，y；θt)表示原始样本图像x的损失函数值。

12、根据本公开的实施例，特征混合块的混合公式如下：

13、ft′＝(1-r)·fc+r·ft

14、ft’为在第t次迭代过程中与待更新对抗样本图像对应的混合特征，fc为在第t次迭代过程中的干净特征，ft为对抗特征，r为混合比率。

15、本公开的第二方面提供了一种用于自动驾驶可迁移式对抗攻击的样本生成装置，包括：处理模块，用于利用干扰块对原始样本图像中补丁位置进行处理，得到对抗样本图像，补丁位置是将原始样本图像输入训练后的自注意力机制模型得到的；混合处理模块，用于利用目标识别模型中的特征混合块对原始样本图像的干净特征和对抗特征进行混合处理，得到待更新对抗样本图像，干净特征是从原始样本图像中特征提取得到的，对抗特征是从对抗样本图像中特征提取得到的，目标识别模型是基于损失函数值训练识别模型得到的，损失函数值是基于识别模型的损失函数处理原始样本图像和对抗样本图像得到的；更新模块，用于利用基于梯度的优化算法对待更新对抗样本图像中的扰动块进行更新，得到目标对抗样本图像。

16、本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行上述方法。

17、本公开的第四方面还提供了一种计算机可读存储介质，其上存储有可执行计算机程序，该计算机程序被处理器执行时实现上述方法的步骤。

18、本公开的第五方面还提供了一种计算机程序产品，包括计算机程序，该上述计算机程序被处理器执行时实现上述方法的步骤。

19、根据本公开提供的用于自动驾驶可迁移式对抗攻击的样本生成方法及装置，通过利用干扰块对原始样本图像中补丁位置进行处理，得到对抗样本图像，补丁位置是将原始样本图像输入训练后的自注意力机制模型得到的，由于不同识别模型识别原始样本图像是具有相同的注意力机制，因此利用干扰块对补丁位置进行处理得到的对抗样本图像具有可迁移性。

20、由于目标识别模型是基于损失函数值训练识别模型得到的，损失函数值是基于识别模型的损失函数处理原始样本图像和对抗样本图像得到的，因此利用目标识别模型中的特征混合块对原始样本图像的干净特征和对抗特征进行混合处理，得到更具多样性的待更新对抗样本图像。

21、再利用基于梯度的优化算法对待更新对抗样本图像中的扰动块进行更新，得到目标对抗样本图像，因此目标对抗样本图像具有良好的迁移能力，从而提高目标识别模型的安全性。

技术特征：

1.一种用于自动驾驶可迁移式对抗攻击的样本生成方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述利用所述目标识别模型中的特征混合块对所述原始样本图像的干净特征和对抗特征进行混合处理，得到待更新对抗样本图像包括：

3.根据权利要求1所述的方法，其特征在于，所述利用基于梯度的优化算法对所述待更新对抗样本图像中的所述扰动块进行更新，得到目标对抗样本图像包括：

4.根据权利要求1所述的方法，其特征在于，所述利用干扰块对原始样本图像中补丁位置进行处理，得到对抗样本图像，还包括：

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

7.根据权利要求6所述的方法，其特征在于，所述利用所述基于梯度的优化算法对所述待调整模型参数进行微调，得到微调模型参数包括：

8.根据权利要求6～7中任一项所述的方法，其特征在于，所述利用所述基于梯度的优化算法对所述待调整模型参数进行微调，得到微调模型参数还包括：

9.根据权利要求1所述的方法，其特征在于，所述特征混合块的混合公式如下：

10.一种用于自动驾驶可迁移式对抗攻击的样本生成装置，其特征在于，所述装置包括：

技术总结本公开提供了一种用于自动驾驶可迁移式对抗攻击的样本生成方法及装置，可以应用于自动驾驶技术领域和智能识别技术领域。该方法包括：利用干扰块对原始样本图像中补丁位置进行处理，得到对抗样本图像，干扰块是具有噪声的图像，补丁位置是将原始样本图像输入训练后的自注意力机制模型得到的；利用目标识别模型中的特征混合块对原始样本图像的干净特征和对抗特征进行混合处理，得到待更新对抗样本图像，目标识别模型是基于损失函数值训练识别模型得到的，损失函数值是基于识别模型的损失函数处理原始样本图像和对抗样本图像得到的；利用基于梯度的优化算法对待更新对抗样本图像中的扰动块进行更新，得到目标对抗样本图像。技术研发人员：赵帅,韩亚洪,张博渊,李拓,翟洋,刘子毅,胡清华,李茂莹受保护的技术使用者：天津大学技术研发日：技术公布日：2024/9/26