陈晋音  等:基于 PSO 的路牌识别模型黑盒对抗攻击方法                                                    2789


             (1)  蚁群算法
             蚁群算法是 Dorigo 等人    [33] 受到蚂蚁觅食现象的启发而提出的一种群体智能优化算法,属于随机搜索算法,
         其主要思想是人工模拟蚂蚁搜索食物的过程.蚁群算法特点是可以进行分布式计算、具有较强的鲁棒性以及容
         易同其他方法相结合.但与其他方法相比,该算法的复杂度较大、搜索时间较长,并且容易出现停滞现象.
             (2)  粒子群优化算法(particle swarm optimization,简称 PSO)
             粒子群优化算法是 Kennedy 等人        [34] 源于对鸟群觅食现象而提出的一种进化算法.在粒子群算法中,每个粒
         子能够记录下自己飞过的历史最优位置,粒子之间可以通过记忆信息共享实现群体的优化.粒子群算法是一种
         不需要梯度信息的全局优化算法.粒子群算法的参数较少、易于设置和调整、具有较快的收敛速度.但粒子群
         算法也存在易陷入局部最优的缺点,并且粒子群的初始解分布对全局最优解具有较大的影响.由于该算法出色
         的优化性能,本文采用粒子群算法来优化来攻击路牌识别模型.同时,针对该算法易陷入局部最优的缺点,本文
         通过改变初始解的生成方式来搜索全局近似最优解.
             (3)  人工鱼群算法
             人工鱼群算法是李晓磊等人           [35] 提出的一种群体智能优化算法.人工鱼群算法通过构造人工鱼来模仿鱼群
         的觅食行为、聚群行为、追尾行为和随机行为来实现寻优.该算法具有较快的收敛速度、对初值和参数选择不
         敏感、易于实现等优点.但对于较大规模的问题时求解困难,收敛较慢.
             其他的群体智能优化算法还包括菌群算法                [36] 、蛙跳算法 [37] 、人工蜂群算法   [38] 等,它们都具有良好的性能
         和各自的特点.

         2    基于 PSO 的路牌识别模型的攻击方法介绍

         2.1   算法框架介绍

             本文设计的基于 PSO 的路牌识别模型的攻击方法主要是通过 PSO 算法,在对路牌识别模型内部参数未知
         的情况下,通过迭代寻优来生成路牌识别模型的对抗样本.同时,利用图像处理技术在电子空间中模拟物理世界
         的噪声干扰来优化对抗扰动,提高对抗样本在物理世界的攻击鲁棒性.图 2 展示了生成物理世界攻击有效的对
         抗样本的过程:首先输入一张良性路牌图像,添加随机扰动得到多张对抗路牌图像作为初始解;然后使用 PSO 进
         行寻优.根据对抗路牌图像的攻击效果更新搜索方向,使得优化后对抗路牌图像的攻击成功率高、扰动的稳定
         性强以及扰动的不可见效果好.测试优化后的对抗路牌图像在物理世界中的攻击效果.











                  Fig.2    Framework of black-box physical attack against road sign recognition model via PSO
                               图 2   基于 BPA-PSO 的路牌识别模型的攻击方法框图
         2.2   BPA-PSO算法具体步骤介绍

             粒子的初始解对 PSO 算法的寻优结果具有重要影响.BPA-PSO 通过添加随机扰动获得对抗样本作为初始
         解,虽然大部分初始对抗路牌对于最终要攻击的目标路牌识别模型没有攻击效果,但是我们相信,其中部分特征
         与最终要攻击的目标路牌识别模型的对抗样本特征分布存在一致性.因此,BPA-PSO 算法通过寻优操作充分利
         用随机扰动的对抗性特征,将有用的特征保留,最终实现对目标路牌识别模型的攻击.
             BPA-PSO 算法的具体描述如下.
             (1)  粒子群算法初始化,将添加了随机扰动得到的每个对抗样本作为一个粒子,将每个对抗样本所有像素