物理可实现约束的车辆目标反识别方法、系统及存储介质

本发明属于深度学习方法的对抗攻击领域，更具体地，涉及一种物理可实现约束的车辆目标反识别方法、系统及存储介质。

背景技术：

1、随着现代社会信息化、自动化、智能化的发展，人工智能技术逐渐在各领域得到广泛的推广与应用，同时人工智能技术的蓬勃发展与计算机视觉图像识别技术的迅速发展密不可分。深度学习模型在计算机视觉领域中占有重要地位，但是模型算法的安全隐患使得深度学习技术有被对抗样本欺骗以及隐私泄露等安全风险。其中，添加了对抗扰动的样本称为对抗样本。

2、现有的对抗攻击方法大多侧重于降低对抗样本与原始样本的差异以达到无法被人察觉的目的，但却忽略了在物理世界中的可实施性和可操作性。部分已有的物理实现的对抗攻击方法大都直接破坏了攻击目标本身具备的典型特征，比如，通过改变攻击目标车辆的线条特征、遮挡车牌中的部分数字或字母、改变交通指示牌上的指示标志等，这些方法的适用性差。

技术实现思路

1、针对现有技术的缺陷和改进需求，本发明提供了一种物理可实现约束的车辆目标反识别方法、系统及存储介质，其目的在于提供一种物理可实现的车辆目标反识别方法，并提升方法的适用性。

2、为实现上述目的，按照本发明的一个方面，提供了一种物理可实现约束的车辆目标反识别方法，包括对抗块训练阶段和应用阶段，对抗块训练阶段包括s1-s4，应用阶段包括s5：

3、s1、获取物理世界对抗目标车辆的遥感图像；

4、s2、确定对抗块在所述遥感图像中的生成位置及大小；

5、s3、按照对抗块生成原则，根据s2中确定的对抗块生成位置及大小生成相应的随机初始对抗块，得到对抗样本图像；其中，所述对抗块生成原则包括增大每个对抗块颜色变化的最小单元；

6、s4、将所述对抗样本图像输入神经网络中，训练损失，采用反向传播算法调整每个对抗块内部色块的位置及颜色组成，直至损失收敛或达到设定的训练次数，输出训练好的对抗块；

7、s5、利用训练好的对抗块进行物理可实现约束的车辆目标反识别。

8、进一步地，所述对抗块生成原则还包括：增大对抗块内部色块不同颜色的色差。

9、进一步地，s4中，训练损失的过程包括：

10、s41、采用反向传播算法调整每个对抗块内部色块的位置及颜色组成，并用调整后的对抗块替换上一次训练中的对抗块，形成新的对抗样本图像；

11、s42、将所述新的对抗样本图像输入至训练好的深度神经网络车辆检测器中，输出对抗目标车辆的置信度；

12、s43、判断所述置信度是否小于设定的阈值或达到设定的训练次数，若是，输出训练好的对抗块，否则，重复s41-s42。

13、进一步地，训练过程中的损失函数为：

14、

15、其中，表示所述车辆检测器对目标车辆类别置信度最小时对应的对抗块内部色块的位置及颜色组成；a(x,s,l,p)表示将对抗块p经过内部色块的位置及颜色的组成变换s后，生成在所述遥感图像x中设定的位置l上；cx,s,l表示对抗块针对对抗目标车辆类别的置信度。

16、进一步地，s5中，包括：

17、s51、根据对抗目标车辆的尺寸信息，确定物理世界中要生成的对抗海报的尺寸；

18、s52、根据所述对抗海报的尺寸与所述训练好的对抗块之间的尺度比，将所述训练好的对抗块打印成对抗海报，并张贴在对抗目标车辆相应的位置，用于进行物理可实现约束的车辆目标反识别。

19、进一步地，还包括物理世界验证阶段：

20、s6、获取对抗目标车辆张贴了所述对抗海报后的对抗图像；

21、s7、将所述对抗图像输入至所述车辆检测器中，查看所述对抗目标车辆的置信度。

22、进一步地，s2中，所述对抗块在所述遥感图像中的生成位置包括对抗目标车辆的车顶盖、车前引擎盖、车后箱盖及车门区域中的一个或多个。

23、按照本发明的另一方面，提供了一种物理可实现约束的车辆目标反识别系统，用于执行如第一方面任一项所述的一种物理可实现约束的车辆目标反识别方法，包括：

24、对抗目标车辆图像获取模块，用于获取物理世界对抗目标车辆的遥感图像；

25、对抗块生成位置及大小确定模块，用于确定对抗块在所述遥感图像中的生成位置及大小；

26、对抗块生成模块，用于按照对抗块生成原则，根据所述对抗块生成位置及大小确定模块中确定的对抗块生成位置及大小生成相应的随机初始对抗块，得到对抗样本图像；其中，所述对抗块生成原则包括增大每个对抗块颜色变化的最小单元；

27、对抗块训练模块，用于将所述对抗样本图像输入神经网络中，训练损失，采用反向传播算法调整每个对抗块内部色块的位置及颜色组成，直至损失收敛或达到设定的训练次数，输出训练好的对抗块；

28、车辆目标反识别模块，用于利用训练好的对抗块进行物理可实现约束的车辆目标反识别。

29、进一步地，所述对抗块生成模块中，对抗块生成原则还包括：增大对抗块内部色块不同颜色的色差。

30、按照本发明的另一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如第一方面任一项所述的方法。

31、总体而言，通过本发明所构思的以上技术方案，能够取得以下有益效果：

32、(1)本发明的方法，通过限定对抗块的生成位置及大小，以及增大每个对抗块颜色变化的最小单元使得生成的对抗块易于在物理世界中实现，通过优化调整每个对抗块内部色块的位置及颜色组成，用训练得到的对抗块进行车辆目标反识别，与目标车辆本身的特点无关，并且，在实际应用中，移动的目标车辆的背景也在不断变化，通过限定对抗块的生成位置及大小，可确保对抗块生成的位置不会在对抗目标车辆的背景中，以及不会影响目标车辆的操作，通用性及适用性更强。

33、(2)作为优选，通过增大对抗块内部色块不同颜色的色差，可以应对后期应用时的打印误差、成像误差等导致的对抗块属性变化问题，进一步提升对抗块在物理世界中实现的可操作性。

34、(3)本发明还提供了训练损失的具体方法以及对应的损失函数，基于本法的特点，对抗块生成的位置是固定的，通过本发明设计的损失函数，仅对对抗块内部色块的位置及颜色的组成变换进行训练，损失函数更加简单，可以实现更快更有效的训练。

35、(4)利用训练得到的对抗块进行车辆目标反识别的过程中，仅需要将对抗块转换成物理世界对应尺寸的对抗扰动海报，并张贴至对抗目标车辆相应的位置处即可，无需破坏对抗目标车辆本身具备的典型特征，适用性更强。同时，通过物理验证阶段的实验结果表明本发明的方法还具有较好的迁移性、鲁棒性及有效性。

36、(5)作为优选，对抗块的生成区域可以是车辆的车顶盖、车前引擎盖、车后箱盖及车门区域中的一个或多个，这些区域均不影响车辆本身具备的典型特征，使得本发明的方法更具普适性。

37、总而言之，本发明的方法具有物理可实现性以及较高的适用性，可以应用于车辆针对深度神经网络车辆检测器的外观防护处理，尤其是特种车辆，增强特种车辆在面对深度神经网络车辆检测器时的隐蔽性。