本發明涉及一種基于補丁檢測的對抗防御模型訓練方法，包括以下步驟：a、利用訓練數據集訓練目標檢測神經網絡，得到預訓練模型；b、對預訓練模型進行對抗補丁攻擊，生成對抗補丁數據集；c、利用所述對抗補丁數據集對訓練數據集進行更新，并更新模型參數后對其再次攻擊；d、重復步驟(a)至(c)至得到由充足的對抗補丁數據構成的對抗補丁數據集；e、將步驟(d)獲得的對抗補丁數據集中的補丁添加到原始的訓練數據集的數據上，并在訓練數據集中添加對抗補丁的類別，利用之訓練神經網絡，得到目標檢測模型。本發明訓練的模型有較為良好的抵御補丁攻擊的能力，且在時效性，檢測性和魯棒性三個方面均具備優勢。

技術領域

本發明涉及一種基于補丁檢測的對抗防御模型訓練方法。

背景技術

基于深度學習的目標檢測系統容易受到對抗補丁的攻擊，其安全性問題逐漸引起人們的普遍重視。目前，圍繞對抗樣本的概念已經發展出豐富的攻擊深度神經網絡的算法，其中補丁攻擊已經被認為是一種非常實用的手段用以威脅計算機視覺系統。不同于傳統的攻擊策略，補丁攻擊僅僅改變有限區域的部分像素點，同時不必要求人眼無法察覺，在形式上比較類似于涂鴉或者貼紙，因此比較容易在物理世界中實現。目前，很多對抗補丁的攻擊方法已經在圖像分類，人臉識別和目標檢測等領域展現出顯著性的成果。

相比較于補丁攻擊方面豐富的研究工作，補丁防御方面的研究還相對較少，且很難在目標檢測問題中實現。具體來說，一方面，相關研究多集中于圖像分類問題，由于該類問題相比于目標檢測問題所需的計算要求低，相應的方法很難遷移到目標檢測問題中。另一方面，一些基于圖像數據預處理的工作雖然并不依賴于具體問題本身，但卻存在一定的不足。如一些去噪的方法會降低原始樣本的檢測準確率且容易被白盒對抗樣本攻破，而一些基于部分遮擋的方法很難恢復還原原始樣本的檢測信息，以上不足均難以滿足實際問題的需要。另外，針對補丁攻擊比較容易在物理世界實現的特點，目前的研究多集中于數字層面，對于物理世界防御還略顯不足。

綜上所述，目前針對補丁防御的方法較少，且大多未考慮應用的實際需求，在時效性，檢測性和魯棒性三個方面都有著不同程度的不足。并且目前的方法很難遷移到目標檢測任務中，且針對物理世界防御的工作開展不足，難以滿足深度學習安全性的應用要求。

發明內容

本發明的目的在于提供一種能夠提高檢測模型抵御對抗補丁能力的基于補丁檢測的對抗防御模型訓練方法。

為實現上述發明目的，本發明提供一種基于補丁檢測的對抗防御模型訓練方法，包括以下步驟：

a、利用訓練數據集訓練目標檢測神經網絡，得到預訓練模型；

b、對所述預訓練模型進行對抗補丁攻擊，生成對抗補丁數據集；

c、利用所述對抗補丁數據集對訓練數據集進行更新，并重新訓練所述預訓練模型，并更新模型參數后對其再次攻擊；

d、重復所述步驟(a)至(c)至得到由充足的對抗補丁數據構成的對抗補丁數據集；

e、將所述步驟(d)獲得的對抗補丁數據集中的補丁添加到原始的訓練數據集的數據上，并在所述訓練數據集中添加對抗補丁的類別，利用之訓練神經網絡，得到目標檢測模型。

根據本發明的一個方面，在所述步驟(a)中，所述目標檢測神經網絡為YOLO或RCNN。

根據本發明的一個方面，所述步驟(b)中的對抗補丁攻擊采用的目標函數為：

其中，D是樣本分布，T是補丁變換的分布，A(δ,x,t)用于將補丁δ以變換t的方式添加到樣本x上，J(A(δ,x,t),y)為預訓練模型的損失函數。

根據本發明的一個方面，所述對抗補丁攻擊為，在目標數據集的數據中添加方形的補丁圖案，利用之訓練模型；