Page 171 - 《软件学报》2020年第9期

P. 171

2792 Journal of Software 软件学报 Vol.31, No.9, September 2020

1. 通过在良性路牌图像中添加随机扰动,得到初始对抗样本{}x′ .
i
2. 初始化:从{}x′ 中随机选择样本作为初始粒子,第 i 个粒子的历史最优适应值 f pi ,全局最优适应值 f g
i
3. WHILE iter≤G k DO
4. 对粒子进行旋转缩放和亮度调节变化;
5. 根据公式(6)计算粒子的适应度值;
6. FOR i=0: numParticles DO
*
7. IF fit ()x < f THEN
pi
i
8. f = fit ()x ;
*
i
pi
*
9. IF fit ()x < f THEN
g
i
10. f = fit ()x ;
*
g
i
11. END
12. END
13. IF f g <e THEN
14. Break;
15. END
16. 根据公式(3)和公式(4)更新粒子速度和位置;
17. END
18. iter=iter+1;
19. END
*
20. Return: x .
3 实验与分析

3.1 实验平台与评价指标介绍
实验平台环境:i7-7700K 4.20GHzx8(CPU),TITAN Xp 12GiBx2(GPU),16GBx4 内存(DDR4),Ubuntu 16.04(操
作系统),Python 3.5,Tensorflow-gpu-1.3(深度学习框架),Tflearn-0.3.2.
为了证明 BPA-PSO 算法的物理可实现性,我们分别在物理世界的实验室模拟场景和真实交通环境中进行
了实验验证.通过摄像机采集了大量含有路牌标志的场景图像,并对它们进行路牌标志的检测与识别.同时,为
了验证本文算法生成的对抗样本的稳定性,分别对光线、距离、角度等因素进行改变,设计了多种不同的对比
场景进行实验.
实验中,以扰动的 2-范数作为电子空间中的扰动评价标准,以攻击成功率作为生成的对抗样本鲁棒性的评
价标准,其中,攻击成功率分为电子空间的攻击成功率 ASR elec 和物理空间的攻击成功率 ASR phy :
N N
ASR elec = adv , ASR phy = phy (8)
N N
ben adv
其中,N ben 表示待攻击的良性样本数量,N adv 表示在电子空间中攻击成功的对抗样本数量,N phy 表示在物理空间中
攻击成功的对抗样本数量.
3.2 数据集与识别模型介绍
在模型的训练数据中,采用了本团队成员制作的中国路牌数据集(Chinese road sign recognition benchmark,
简称 CRSRB),其中包含了 35 类常见的交通路牌标志,共计图片 5 000 张.按照 8:2 的比例划分为训练集和测试
集,其中,所有图片大小均为 64×64×3.如图 4 所示为部分数据集展示,采集过程中考虑了不同光照、角度、背景、
距离等因素.第 1 行从左到右分别是:限重 10t、禁止鸣笛、限速 40km/h、禁止直行、禁止通行、禁止机动车通

166 167 168 169 170 171 172 173 174 175 176