一種基于對抗攻擊的車牌攻擊生成方法，包括以下步驟：1)按照中國車輛號牌標準將制作的車牌整理為標準車牌數據集O；2)采用opencv的仿射變換函數變換得數據集A；采用opencv的亮度變換函數變換得數據集B；采用opencv的仿射變換函數和亮度變換函數變換得數據集C；3)構造一個LeNet?5，并對車牌數據集O、A、B、C進行字符檢測與分割，然后用分割后的數據集訓練LeNet?5模型；4)在不同成像角度和光照強度下對打印的真實對抗車牌樣本進行拍攝，調用已訓練的車牌分類器LeNet?5對拍攝的數字對抗樣本進行識別。本發明使得對抗擾動的生成不再受限于實際中眾多環境因素的影響，具有較高的實用價值。

技術領域

本發明涉及對抗攻擊方法和數字圖像處理技術，借鑒了梯度下降(GradientDescent)的思想，利用經典的卷積神經網絡和魯棒性現實擾動(Robust PhysicalPerturbations，簡稱RP2)對抗攻擊方法，生成魯棒性較高的對抗樣本(AdversarialSamples)，不易受到光線強度、成像角度、拍攝背景等真實環境影響。

背景技術

隨著深度學習地迅速發展，深度神經網絡(DNNs)在圖像分類、語音處理、醫學診斷等各個領域取得了巨大的成功，并且逐漸被用于自動駕駛、無人機和智能機器人領域。這些由大數據訓練的深度神經網絡只需根據輸入即可準確決定輸出。但是，最近在計算機視覺(Computer Vision)領域方面的研究工作顯示DNNs容易受到對抗擾動的影響，從而發生誤分類，可參考文獻1(I.J.Goodfellow,J.Shlens,and C.Szegedy,“Explaining andharnessing adversarial examples,”arXiv preprint arXiv:1412.6572,2014，即I.J.Goodfellow,J.Shlens,and C.Szegedy,解釋和利用對抗樣本,arXiv preprintarXiv:1412.6572,2014.)，并且這種缺陷不僅僅存在于特定結構的DNN之中，在所有DNNs，甚至經典的機器學習算法也普遍存在，這恰恰說明了對抗擾動是普遍存在的，而且具有可轉移性，可參考文獻2(N.Papernot,P.McDaniel,and I.Goodfellow,“Transferability inmachine learning:from phenomena to black-box attacks using adversarialsamples,”arXiv preprint arXiv:1605.07277,2016，即N.Papernot,P.McDaniel,andI.Goodfellow,機器學習的可轉移性：從現象到使用對抗樣本的黑盒攻擊,arXiv preprintarXiv:1605.07277,2016.)。以上現象足以證明深度學習自身存在著潛在的缺陷：現實世界中對象本身的微小改動可能會對基于深度學習的系統正常工作造成嚴重影響。