Page 169 - 《软件学报》2020年第9期
P. 169
2790 Journal of Software 软件学报 Vol.31, No.9, September 2020
点的 RGB 值作为粒子的位置矩阵 x i ,RGB 值的变化速度作为粒子的速度矩阵 v i ,以及当前迭代数 g,
(g)
最大迭代数 G k ,当前惯性权重因子ω ,第 i 个粒子的历史最优位置 p best i ,粒子种群发现的全局最优位
置 g best i ;
(2) 计算粒子群的适应度值,对每个粒子进行随机图像变换,并计算每个粒子变换后的适应度值;
(3) 根据得到的粒子群的适应度值,比较历史最佳适应度,并更新每个粒子的历史最优位置 p best i 、粒子群
的全局最优位置 g best i ;
(4) 更新粒子群的速度 v i 和位置 x i .我们在粒子速度和位置的更新过程中采用了惯性因子,其值较大时全
局搜索能力强,其值较小时局部搜索能力强,计算公式如下:
(g)
ω =(ω ini −ω end )(G k −g)/G k +ω end (2)
υ i ω = () g υ × i + c 1 × () (⋅ rand × best i −p i ) + x c 2 × () (⋅ rand × best i −g x i ) (3)
x i =x i +υ i (4)
其中,ω ini 为初始权重因子值,ω end 为最终权重因子值,c 1 和 c 2 为初始化学习因子,rand(⋅)为系统产生的
介于(0,1)之间的随机数.
(5) 判断是否达到最大迭代数或全局最优解满足条件:若满足,则结束迭代,将搜索到的近似最优解作为
最终的对抗样本;否则,返回步骤(2)继续迭代.
2.3 基于随机扰动的对抗路牌初始化
首先准备一组 50 张待攻击的良性路牌图像集合,集合中的图像要求在距离为 3m~6m、倾斜角为 0°时拍摄
的清晰的路牌图像,并通过添加随机扰动获得初始路牌粒子.为了促进物理攻击的有效性,需要对扰动优化目标
进行修改,在对扰动范数限制的基础上叠加了扰动平滑性制约(perturbation smoothness restriction,简称 PSR),计
算公式如下:
1 1 2
2
f PSR () ρ ( (ρ = , k j − ρ ∑∑ near k ) ) (5)
( , ) j
n , kj
其中,原始的扰动优化目标是最小化||ρ|| 2 ,修改后的扰动优化目标是最小化||ρ|| 2 +f PSR (ρ),||ρ|| 2 表示对扰动的 2-范
*
*
数限制;扰动ρ=x −x,x 表示对抗路牌图像,x 表示良性路牌图像;ρ i,j 是扰动中坐标位置为(k,j)的扰动像素点的
1
RGB 三通道像素 R k,j ,G k,j 以及 B k,j 的平均值; ρ = (R + G + B ) 是扰动中与坐标位置为(k,j)相邻的所有扰
, kj
3 , k j , kj , kj
动像素点的 RGB 三通道像素的平均值.
2.4 适应度函数设计
PSO 算法是以适应度函数为依据,通过比较种群每个个体的适应度值来进行搜索近似最优解.同样,适应度
函数的设计将直接影响 BPA-PSO 算法搜索到的对抗扰动的性能.适应度函数包括 3 部分,分别是对抗性指标
*
*
f adv (x )、扰动平滑度 f PSR (ρ)以及扰动的二范数||ρ|| 2 ,其中:对抗性指标 f adv (x )是用来评价生成的对抗样本对路牌
*
识别模型的攻击效果,f adv (x )越低,攻击效果越好;扰动平滑度 f PSR (ρ)是用来评价生成扰动的物理稳定性;扰动的
二范数||ρ|| 2 是用来评价生成扰动的隐蔽性.适应度函数计算公式如下:
*
*
fit(x )=f adv (x )+κ 1 ⋅f PSR (ρ)+κ 2 ⋅||ρ|| 2 (6)
其中,κ 1 ,κ 2 是平衡量纲的超参数.κ 1 是为了控制扰动的平滑度,保证物理攻击的有效性.κ 2 是为了控制扰动的隐
蔽性.κ 1 ,κ 2 过大,均容易降低物理攻击成功率;过小时,物理攻击成功率和扰动的隐蔽性效果均会下降.实验发现,
−3
−2
κ 1 ,κ 2 取值范围在 0.001 和 0.8 之间均具有较好的物理攻击效果.本文实验中,分别设为 5×10 和 1×10 .根据适
应度函数,我们的寻优目标是搜索到攻击成功率高、扰动的物理稳定性强和扰动的不可见效果好的对抗路牌图
像.根据攻击者预设的期望,对抗性指标可分为目标对抗性和无目标对抗性攻击,计算公式如下:
