陈晋音  等:基于 PSO 的路牌识别模型黑盒对抗攻击方法                                                    2793


         行、连续弯路,第 2 行从左到右分别是:T 字路口、上坡路、步行、环岛行驶、标志指示、注意行人、解除限速
         40km/h.










                                      Fig.4    Display of the Chinese road sign
                                          图 4   部分路牌数据集展示
             实验选用的路牌识别深度模型结构说明见表 1,包含不同的结构,每种结构分别训练了 5 次,总共得到 15 个
         识别模型,平均识别准确率大于 95%,与文献[15]中的 95.68%相近,基本满足识别要求.表中“5×5×32”表示卷积核
         窗口尺寸为 5×5,深度为 32.其中,CHINA-CNN1 采用文献[15]中的结构,使用德国路牌数据集.CHINA-CNN2 和
         CHINA-CNN3 在 CHINA-CNN1 的基础上进行了层的修饰,得到结构不同的模型.由于本文使用的路牌识别模
         型结构与文献[15]提到的 GTSRB-CNN 模型结构相似,因此识别效率在相同的硬件条件下相当.
                                  Table 1    Structure of road sign recognition model
                                        表 1   路牌识别模型的网络结构
                                Layer type     CHINA-CNN1  CHINA-CNN2  CHINA-CNN3
                                Conv+ReLu         1×1×3       1×1×3      1×1×3
                                Conv+ReLu         5×5×32       −         5×5×32
                                Conv+ReLu         5×5×32     5×5×32      5×5×32
                                Max Pooling        2×2         2×2        2×2
                                 Dropout           0.75       0.75        0.75
                                Conv+ReLu         5×5×64       −         5×5×64
                                Conv+ReLu         5×5×64     5×5×64      5×5×64
                                Max Pooling        2×2         2×2        2×2
                                Conv+ReLu        5×5×128       −         5×5×128
                                Conv+ReLu        5×5×128     5×5×128     5×5×128
                                Max Pooling        2×2         2×2        2×2
                                 Dropout           0.75       0.75        0.75
                          Dense(fully connected)+ReLu   1024   1024        −
                                 Dropout           0.75       0.75         −
                          Dense(fully connected)+ReLu   1024   1024       1024
                                 Dropout           0.75       0.75        0.75
                          Dense(fully connected)+ReLu   35     35          35
                                 Softmax           35          35          35

         3.3   实验结果分析
             实验研究了基于 BPA-PSO 算法生成的对抗样本在电子空间、实验室物理空间、户外物理空间(晴天/雨天)
         等场景下的攻击效果.
             (1)  电子空间场景的攻击效果分析
             首先评估 BPA-PSO 算法在电子空间中的攻击效果,包括攻击成功率和扰动指标计算.如图 5 所示:图 5(a)
         所示为原图;图 5(b)所示为 ZOO 算法实现对路牌识别模型的黑盒攻击结果,其中,第 1 列是添加的对抗扰动可视
         化后的图,第 2 列是添加扰动后的对抗样本路牌图像;图 5(c)所示为 BPA-PSO 攻击方法实现对路牌识别模型的
         黑盒攻击结果.
             进一步,在电子空间中的攻击效果统计如表 2 所示.在基于 ZOO 的物理攻击中,同样考虑扰动平滑操作,以
         保证物理扰动的可靠性.由实验结果可知:通过 ZOO 算法攻击得到的对抗样本攻击成功率较低;而 BPA-PSO 算
         法在电子和物理空间的攻击成功率达到了 100%,得到的扰动大小比 ZOO 也更小.这主要是因为 BPA-PSO 算法
         学习了针对模型的对抗样本的特征分布,在优化过程中保留了对最终要攻击的目标模型具有对抗性的特征.表