對抗智能偵察識別系統的偽裝貼片生成方法，涉及能夠對抗深度神經網絡智能偵察識別系統的技術領域。本發明集成多個深度模型生成對抗貼片，在生成對抗貼片的過程中融入了隨機圖像轉換、光照變換、高斯噪聲等，以得到尺度、位置和場景無關的魯棒性對抗貼片，同時為了避免生成的對抗貼片因像素顏色特異而易引人注意，在生成過程中對貼片的像素值加以約束，使其色系與目標物色系近似，從而在保持對智能識別系統對抗性的同時，大大地提升了對抗偽裝貼片的視覺隱蔽性。本發明可以使智能識別系統無法正確分類目標物，并且保持對人眼視覺的不顯著性，實現對目標物信息的偽裝隱藏。

技術領域

本發明涉及能夠對抗深度神經網絡智能偵察識別系統的技術領域，尤其是一種對抗智能偵察識別系統的偽裝貼片生成方法。

背景技術

研究發現深度神經網絡對對抗樣本表現出脆弱性，對抗樣本是指對輸入樣本添加不易察覺的對抗噪聲，能使深度神經網絡模型發生錯誤判斷的樣本。對抗樣本按是否誤導識別系統輸出指定錯誤類別，分為無目標對抗樣本和有目標對抗樣本，無目標對抗樣本不指定目標模型的輸出類別，只需與輸入的原類別不同即為攻擊成功，而有目標對抗樣本指定目標模型的輸出類別，即輸出錯誤類別為攻擊者所指定，相比而言有目標攻擊更具有難度和挑戰性。本發明的方法重點研究有目標攻擊。

對抗樣本按添加對抗噪聲后跟原圖的差別大小可分為不可視對抗擾動和可視對抗擾動。不可視對抗樣本是在輸入圖像上添加不易察覺的對抗噪聲，所得對抗樣本在數字場景下可以達到很高的攻擊成功率，即能導致深度模型具有很高的誤分率，而物理場景由于環境噪聲、光照、取景角度等變化以及對抗樣本打印失真等的影響，這種不易察覺的對抗樣本在物理場景攻擊成功率較低。可視對抗樣本是對圖像局部像素施加強對抗擾動，擾動區域像素值發生較大變化，這種易察覺的可視對抗擾動具有更強的攻擊性，在物理場景也能實現較高的攻擊成功率。但這種可視對抗擾動由于擾動區域像素變化大，擾動后區域與原圖像區域以及周圍區域差異較大，甚至變得色彩斑斕，盡管能使深度模型發生誤判，但這種可視對抗擾動對人眼尤為顯眼，不利于目標物信息隱藏。

發明內容

本發明提出一種對抗智能偵察識別系統的偽裝貼片生成方法，能使智能偵察識別系統無法正確識別目標物，并且具有傳統迷彩偽裝的隱藏效果，能同時兼顧對智能偵察識別系統和人眼視覺的信息隱藏。可以使智能識別系統無法正確分類目標物，并且保持對人眼視覺的不顯著性，實現對目標物信息的偽裝隱藏。

一種對抗智能偵察識別系統的偽裝貼片生成方法，集成多個深度模型生成對抗貼片，在生成對抗貼片的過程中融入了隨機圖像轉換、光照變換、高斯噪聲，得到尺度、位置和場景無關的魯棒性對抗貼片；在生成過程中對貼片的像素值加以約束，使其色系與目標物色系近似，從而在保持對智能識別系統對抗性的同時，提升了對抗偽裝貼片的視覺隱蔽性。

對于某個深度模型f(·)，一個干凈樣本輸入x的標簽為y，通過對x添加對抗擾動得到對抗樣本x^*，對于無目標攻擊，僅需f(x^*)≠y，對于有目標攻擊，有f(x^*)＝y^*，y^*為指定的目標類標簽且有y^*≠y；

可視對抗擾動貼片攻擊是將圖像的某個部分完全替換為對抗貼片，對貼片用掩模限制區域范圍使貼片為任意形狀，然后在圖像集上進行訓練；在訓練貼片p時融入了多種變換方法，得到了尺度、位置無關的魯棒性對抗噪聲貼片對于圖像x，貼片位置l，貼片轉換t，定義一個操作A(p,x,l,t)，它對貼片p進行t轉換，然后將轉換后的貼片置于圖像的位置l，訓練對抗貼片需優化的目標函數表達式為

其中為指定誤分目標類標簽y^*的one-hot編碼，g(·)為模型的全連接層輸出，X為圖片訓練集，T為對抗貼片的轉換分布，L為貼片位置分布。

被分類的圖片內包含多個物體，但整個圖片只有一個類別標簽，即top-1類標簽，因此神經網絡將檢測到的最顯著物體的類別標簽作為圖像的類別標簽。