Page 177 - 《软件学报》2020年第9期
P. 177
2798 Journal of Software 软件学报 Vol.31, No.9, September 2020
从实验结果可以看出:尽管不同攻击方法的对抗样本的电子攻击成功率均为 100%,但在物理场景中,由于
物理环境的噪声和物理设备的失真对扰动的破坏,PSO,ZOO 和 Boundary 在物理场景的攻击成功率明显降低;
而 BPA-PSO 仍具有较高的物理攻击成功率.可以看出,BPA-PSO 攻击方法生成的对抗样本具有较好的稳定性.
(6) 对抗训练
为了提高路牌识别模型面对对抗攻击的鲁棒性,实验中使用原始良性路牌样本与使用 BPA-PSO 攻击测试
集生成的路牌对抗样本混合得到的数据集对路牌识别模型进行对抗训练.混合的数据集中原始良性路牌样本
与对抗样本的数量比为 8:2.实验中,对抗训练使用的是 CHINA-CNN3 模型,经过 5 个 epoch 的训练得到鲁棒性
较高的路牌识别模型.在计算对抗训练前后的攻击成功率时,我们挑选了 5 类路牌的对抗样本图像共计 1 000 张
来测试对抗训练前后的攻击成功率.其中,物理场景攻击测试的路牌图像是在距离小于 5m、倾角小于 5°的情况
下拍摄的.
表 8 展示了 BPA-PSO 攻击方法生成的对抗样本和 ZOO 攻击方法生成的对抗样本在路牌识别模型使用
BPA-PSO 生成的对抗样本进行对抗训练前后的攻击效果.
Table 8 Success rate of attack before and after training
表 8 对抗训练前后的攻击成功率
攻击方法 BPA-PSO ASR elec ZOO ASR elec BPA-PSO ASR phy
对抗训练前 100% 100% 95.1%
对抗训练后 7.3% 15.7% 4.2%
根据实验结果可知:
• 将对抗样本添加到训练集进行对抗训练后,对抗样本在电子和物理环境的攻击成功率均明显下降;
• 同时,其他攻击方法如 ZOO 的攻击成功率也明显下降.
因此,路牌识别模型的鲁棒性得到了明显的提高.
4 总 结
本文提出了一种基于粒子群优化的路牌识别攻击方法来生成物理可实现的对抗样本,这种攻击方法生成
的对抗样本具有较强的鲁棒性和良好的隐蔽性.该攻击方法属于黑盒攻击,可以在不知道模型内部参数的情况
下生成对抗样本.
本文分别在实验室场景以及真实道路交通场景下对对抗样本的对抗性进行了检验,由实验结果可见:BPA-
PSO 算法生成的对抗样本在复杂多变的物理环境下,能够以高置信度、高欺骗率、高可靠性攻击路牌识别系统.
这对于研究如何提高自动驾驶系统中深度模型的鲁棒性具有极大的理论意义与实践价值.
5 未来工作与展望
本文的方法也面临两个挑战.
(1) BPA-PSO 攻击算法需要获得路牌识别模型输出的分类置信度分数,但在某些场合下只能获得输出的
类标.所以在今后的工作中,将研究只用模型输出的类标对路牌识别模型进行攻击;
(2) BPA-PSO 算法的扰动计算时间复杂度较大,这是由于通过添加随机扰动来获得粒子群的初始解为后
续的寻优过程增加了负担.所以今后的工作中,将改进生成粒子群初始解的方法,优化计算扰动的时
间复杂度.
除路牌识别模型外,自动驾驶系统的语音识别、人脸识别、道路安全检测、车辆检测、行人检测等模型都
是基于深度学习架构,也面临同样的安全威胁.因此,面对对抗攻击的威胁,设计有效的防御方案是未来研究工
作的重点.
目前,在对抗攻击防御方面的主流方法有数据修改、模型修改以及附加网络防御.我们将研究基于 BPA-
PSO 算法生成的对抗样本通过对抗训练的防御效果,提高自动驾驶系统中深度学习模型的安全性.
