Page 170 - 《软件学报》2020年第9期

P. 170

陈晋音等:基于 PSO 的路牌识别模型黑盒对抗攻击方法 2791

⎧ 1 n
⎪ ∑ Jf x * i target ), 目标对抗攻击
(( ), y
⎪
*
x
f adv () = ⎨ i n = 1 (7)
n
⎪ 1 ∑ ⎛ score true ⎞ , 无目标对抗攻击
⎪ ⎜ * ⎟
()
⎩ i n = ⎝ 1 rank x i ⎠
其中,f(⋅)表示路牌分类器的输出,包含所有类标的置信度分数;J(⋅)表示交叉熵函数;y target 是目标类类标;n 表示图
像变换的类别数,每个粒子通过随机缩放、旋转、亮度变换等操作得到新的 n 张图像,目的是评价扰动的稳定
性,在本文实验中,n 的取值为 15;score true 是真实类标的置信度分数;rank(⋅)是真实类标的置信度分数排名.
2.5 物理攻击的有效性保证
BPA-PSO 算法致力于实现物理空间中对路牌识别模型的攻击,相比于电子空间的攻击,它的实现更加困难,
而一旦实现,危害性也更大.我们采取了以下几种措施来保证物理攻击的有效性.
(1) 使用海报或贴纸
对于添加到路牌上的扰动,其隐蔽性是很重要的,如果太过明显或突出,很容易引起人眼的警觉.本文对于
扰动的隐蔽性定义并非指扰动不可见,而是指不引起人们的注意.但是因为物理世界的噪声难以预测,以至于小
规模不可见的扰动很容易被破坏掉,无法稳定的存在.因此,采用海报(打印生成的对抗样本,扰动分布于整个路
牌图像区域)或贴纸(打印生成的扰动,扰动区域较小)作为扰动的存在形式,可以很好地解决这个问题.如图 3 所
示:图 3(a)是打印的海报类型的路牌物理对抗样本,图 3(b)是打印的贴纸类型的路牌物理对抗样本.

(a) 海报类型 (b) 贴纸类型
Fig.3 Physical adversarial examples using posters or stickers
图 3 使用海报或贴纸的物理对抗样本

(2) 增加扰动的平滑性
为了拟合物理世界中物体自然色彩的平滑性,在添加随机扰动和 BPA-PSO 算法对扰动的优化中加入了扰
动的平滑性.最后,通过最小化 f PSR (ρ)可以使相邻像素点之间的值彼此接近,从而改善对抗样本图像的平滑度.这
样不仅减少对抗样本打印时扰动的失真,也使图像传感器能够充分捕捉扰动的特征,促进物理的可实现性.
(3) 增强扰动的存在稳定性
我们充分分析了物理世界环境中的各种因素可能对扰动造成的影响,例如距离、角度、光影变化等,这些
都是客观存在的,并且它们的变化可能会导致扰动的失效.因此,BPA-PSO 算法在优化扰动的过程中,通过图像
处理中的缩放、旋转、亮度调节来模拟物理真实环境的变化.这样,最后得到的对抗样本就可以在复杂多变的
物理环境中仍然具有较强的对抗攻击性.
2.6 算法伪代码
BPA-PSO 算法的伪代码说明如下.
算法伪代码. BPA-PSO 算法.
输入:一张良性路牌图像,适应度阈值 e,粒子数 numParticles,最大迭代次数 G k ,当前迭代次数 iter;
*
输出:鲁棒的对抗样本 x .

165 166 167 168 169 170 171 172 173 174 175