本發(fā)明屬于機器學習領域，涉及一種視覺感知系統(tǒng)的延遲攻擊對抗樣本生成方法及相關裝置。

背景技術：

1、隨著人工智能和傳感器技術的飛速發(fā)展，自動駕駛汽車已經(jīng)悄然走入日常生活，成為各大車企競相布局的新賽道。對于這些自動駕駛車輛，基于攝像頭的感知系統(tǒng)扮演著至關重要的角色，使其能夠實時檢測行人、車輛等道路目標從而確保行車安全。然而近年來自動駕駛領域頻頻發(fā)生的安全事故敲響了警鐘，凸顯了感知系統(tǒng)錯誤可能導致的各種安全隱患，甚至是災難性后果。因此，深入挖掘感知系統(tǒng)潛在的攻擊面和漏洞，對于提高自動駕駛系統(tǒng)的安全性和可靠性至關重要。

2、近年來，相關研究表明，自動駕駛采用的目標檢測模型容易受到對抗樣本的影響。攻擊者可以利用這一特點，在正常樣本中加入人眼無法識別的微小擾動來生成對抗樣本，從而欺騙目標檢測模型。對抗樣本已經(jīng)對自動駕駛視覺感知系統(tǒng)的安全部署和運行構成了威脅。然而，現(xiàn)有研究大多關注于完整性方面的問題，例如，使物體消失或改變物體的類別，從而導致安全隱患或交通違規(guī)。

3、然而，在對于安全至關重要的視覺感知系統(tǒng)的可用性方面，目前的研究探索相對較少，尤其是對于完整自動駕駛視覺感知系統(tǒng)而言。雖然現(xiàn)有的自動駕駛安全性分析研究了目標檢測模型的可用性方面的安全威脅，但其僅針對單一模塊組件，并未考慮整個自動駕駛視覺感知系統(tǒng)。此外，在信息物理系統(tǒng)安全領域，組件級的小錯誤不一定會導致系統(tǒng)級的影響，這導致僅針對目標檢測模型的現(xiàn)有攻擊由于缺乏對整個自動駕駛視覺感知系統(tǒng)的考慮，無法始終產(chǎn)生高效的系統(tǒng)級影響，進而無法高效實現(xiàn)對自動駕駛視覺感知系統(tǒng)的可用性評價及優(yōu)化。

技術實現(xiàn)思路

1、本發(fā)明的目的在于克服上述現(xiàn)有技術的缺點，提供一種視覺感知系統(tǒng)的延遲攻擊對抗樣本生成方法及相關裝置。

2、為達到上述目的，本發(fā)明采用以下技術方案予以實現(xiàn)：

3、本發(fā)明第一方面，提供一種視覺感知系統(tǒng)的延遲攻擊對抗樣本生成方法，包括：獲取原始圖像集和視覺感知系統(tǒng)的目標跟蹤器參數(shù)；根據(jù)視覺感知系統(tǒng)的目標跟蹤器參數(shù)，基于原始圖像集以最大化視覺感知系統(tǒng)的目標跟蹤器的延遲時間為優(yōu)化目標得到攻擊策略；以最小化視覺感知系統(tǒng)的目標檢測模型的損失函數(shù)值為優(yōu)化目標，生成與攻擊策略的攻擊區(qū)域數(shù)量相同數(shù)量的通用對抗擾動；根據(jù)攻擊策略將通用對抗擾動加入到原始圖像集中，得到視覺感知系統(tǒng)延遲攻擊對抗樣本集。

4、可選的，所述獲取原始圖像集包括：獲取視覺感知系統(tǒng)的采集的視頻幀，并將視頻幀進行預處理得到原始圖像集；其中，原始圖像集中各原始圖像的尺寸相同；其中，預處理包括下述中的一種或幾種：圖像填充處理和圖像縮放處理。

5、可選的，所述根據(jù)視覺感知系統(tǒng)的目標跟蹤器參數(shù)，基于原始圖像集以最大化視覺感知系統(tǒng)的目標跟蹤器的延遲時間為優(yōu)化目標得到攻擊策略包括：根據(jù)視覺感知系統(tǒng)的目標跟蹤器參數(shù)，得到視覺感知系統(tǒng)的初始化幀數(shù)h和重新激活間隔幀數(shù)r；通過迭代下述步驟至達到預設的幀數(shù)，得到攻擊策略：初始化階段：基于原始圖像集，獲取若干幀原始圖像的時間戳和攻擊區(qū)域，并將各幀原始圖像的時間戳加上r倍的幀時間作為各幀原始圖像的攻擊區(qū)域的重新激活時間戳，以及將各幀原始圖像的時間戳和攻擊區(qū)域的編號以及各幀原始圖像的攻擊區(qū)域的重新激活時間戳加入攻擊策略；管理階段：判斷當前幀原始圖像接下來的h幀原始圖像內(nèi)是否有需要重新激活當前幀原始圖像的攻擊區(qū)域的原始圖像；當有需要重新激活當前幀原始圖像的攻擊區(qū)域的原始圖像時，記錄當前幀原始圖像的攻擊區(qū)域的下一次重新激活時間戳加入攻擊策略；當沒有需要重新激活當前幀原始圖像的攻擊區(qū)域的原始圖像時，將當前幀原始圖像接下來的h幀原始圖像均指定同一個新的攻擊區(qū)域，將新的攻擊區(qū)域的編號及對應幀原始圖像的時間戳加入攻擊策略；其中，需要重新激活當前幀原始圖像的攻擊區(qū)域的原始圖像為時間戳與當前幀原始圖像的攻擊區(qū)域的重新激活時間戳相同的原始圖像。

6、可選的，所述以最小化視覺感知系統(tǒng)的目標檢測模型的損失函數(shù)值為優(yōu)化目標，生成與攻擊策略的攻擊區(qū)域數(shù)量相同數(shù)量的通用對抗擾動包括：使用隨機生成方法生成與攻擊策略的攻擊區(qū)域數(shù)量相同數(shù)量的初始對抗擾動，并建立初始對抗擾動與攻擊區(qū)域之間的一一對應關系；遍歷各初始對抗擾動進行下述步驟，得到各攻擊區(qū)域的通用對抗擾動：將當前初始對抗擾動加入到各原始圖像的目標攻擊區(qū)域中得到擾動圖像集；其中，目標攻擊區(qū)域為當前初始對抗擾動對應的攻擊區(qū)域；通過視覺感知系統(tǒng)的目標檢測模型獲取擾動圖像集的損失函數(shù)值，并使用預設優(yōu)化器優(yōu)化當前初始對抗擾動以最小化擾動圖像集的損失函數(shù)值至到達預設優(yōu)化次數(shù)或損失函數(shù)值達到預設要求，將最終的當前初始對抗擾動作為當前初始對抗擾動對應的攻擊區(qū)域對應的通用對抗擾動。

7、可選的，所述使用預設優(yōu)化器優(yōu)化當前初始對抗擾動以最小化擾動圖像集的損失函數(shù)值時，通過構建下式的優(yōu)化函數(shù)實現(xiàn)：

8、

9、其中，為擾動圖像，為原始圖像，為攻擊區(qū)域對應的檢測結果信息，為檢測結果分數(shù)，為檢測結果的二維坐標寬度信息，為檢測結果的二維坐標高度信息，為圖像寬度，為圖像高度，為目標跟蹤器分數(shù)閾值，、及均為預設的損失函數(shù)權重值，為分數(shù)損失，為面積損失，為對抗損失，為l2范數(shù)計算，為目標檢測模型的損失函數(shù)值。

10、可選的，所述預設優(yōu)化器為adam優(yōu)化器。

11、可選的，所述根據(jù)攻擊策略將通用對抗擾動加入到原始圖像集中，得到視覺感知系統(tǒng)延遲攻擊對抗樣本集包括：根據(jù)攻擊策略獲取各攻擊區(qū)域對應的時間戳和重新激活時間戳，作為各攻擊區(qū)域對應的目標時間戳，以及原始圖像集的原始圖像劃分為各攻擊區(qū)域；獲取各攻擊區(qū)域對應的通用對抗擾動，并將各攻擊區(qū)域對應的通用對抗擾動，添加至原始圖像集中各攻擊區(qū)域對應的目標時間戳對應的原始圖像中，得到視覺感知系統(tǒng)延遲攻擊對抗樣本集。

12、本發(fā)明第二方面，提供一種視覺感知系統(tǒng)的延遲攻擊對抗樣本生成系統(tǒng)，包括：數(shù)據(jù)獲取模塊，用于獲取原始圖像集和視覺感知系統(tǒng)的目標跟蹤器參數(shù)；策略生成模塊，用于根據(jù)視覺感知系統(tǒng)的目標跟蹤器參數(shù)，基于原始圖像集以最大化視覺感知系統(tǒng)的目標跟蹤器的延遲時間為優(yōu)化目標得到攻擊策略；擾動生成模塊，用于以最小化視覺感知系統(tǒng)的目標檢測模型的損失函數(shù)值為優(yōu)化目標，生成與攻擊策略的攻擊區(qū)域數(shù)量相同數(shù)量的通用對抗擾動；樣本生成模塊，用于根據(jù)攻擊策略將通用對抗擾動加入到原始圖像集中，得到視覺感知系統(tǒng)延遲攻擊對抗樣本集。

13、本發(fā)明第三方面，提供一種計算機設備，包括存儲器、處理器以及存儲在所述存儲器中并可在所述處理器上運行的計算機程序，所述處理器執(zhí)行所述計算機程序時實現(xiàn)上述視覺感知系統(tǒng)的延遲攻擊對抗樣本生成方法的步驟。

14、本發(fā)明第四方面，提供一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)上述視覺感知系統(tǒng)的延遲攻擊對抗樣本生成方法的步驟。

15、與現(xiàn)有技術相比，本發(fā)明具有以下有益效果：

16、本發(fā)明視覺感知系統(tǒng)的延遲攻擊對抗樣本生成方法，首先基于原始圖像集以最大化視覺感知系統(tǒng)的目標跟蹤器的延遲時間為優(yōu)化目標得到攻擊策略，在最大檢測數(shù)量的約束下以注入更多的延遲時間，破壞系統(tǒng)的實時性，使得最終的延遲攻擊對抗樣本能夠充分帶來系統(tǒng)級的安全隱患。同時，以最小化視覺感知系統(tǒng)的目標檢測模型的損失函數(shù)值為優(yōu)化目標，生成與攻擊策略的攻擊區(qū)域數(shù)量相同數(shù)量的通用對抗擾動，保證通用對抗擾動對視覺感知系統(tǒng)的攻擊效果。最終，根據(jù)攻擊策略將通用對抗擾動加入到原始圖像集中，得到視覺感知系統(tǒng)延遲攻擊對抗樣本集，實現(xiàn)延遲攻擊對抗樣本對視覺感知系統(tǒng)較高的攻擊成功率，可以作為視覺感知系統(tǒng)的安全性和有效性評價基礎，并能用來完善和優(yōu)化視覺感知系統(tǒng)。