CN113222047A

CN113222047A - 一种sar对抗样本生成方法及终端设备

Info

Publication number: CN113222047A
Application number: CN202110575760.5A
Authority: CN
Inventors: 雷杰
Original assignee: Sutai Intelligent Technology Shanghai Co ltd
Current assignee: Sutai Intelligent Technology Shanghai Co ltd
Priority date: 2021-05-26
Filing date: 2021-05-26
Publication date: 2021-08-06

Abstract

本发明公开了一种SAR对抗样本生成方法及终端设备，其方法包括包括如下步骤：S1,利用SAR训练图像训练基于卷积神经网络的目标识别模型；S2,将所述SAR训练图像和训练后的所述目标识别模型输入扰动量计算模型中进行计算，得到扰动量；S3,利用所述SAR训练图像和所述扰动量生成SAR对抗样本，其终端设备包括训练模块、扰动量计算模块、对抗样本生成模块、终端存储器和终端处理器。本发明，由于目标识别模型由SAR训练图像训练得到，能够适应SAR图像的诸多特点并可依照这些特征进行目标识别，因此本方法利用该目标识别模型生成的扰动量能够有效适应SAR图像特征，进而确保利用该扰动量生成的SAR对抗样本能够有效对SAR目标识别模型进行有效干扰。

Description

一种SAR对抗样本生成方法及终端设备

技术领域

本发明涉及对抗样本生成技术领域，具体为一种SAR对抗样本生成方法及终端设备。

背景技术

图像对抗样本是指在数据集中故意添加细微干扰所形成的输入样本。由于图像对抗样本可有效干扰图像分类模型的分类结果，降低图像分类模型的分类准确率，因此在光学图像领域具有丰富的研究成果。然而在合成孔径雷达(SyntheticApertureRadar，SAR)图像领域，由于SAR目标散射和成像机理以及SAR图像具有相干斑点噪声等特点，SAR图像与光学图像存在较大差异，光学对抗样本并不适用于SAR图像分类模型，因此如何生成SAR对抗样本是本领域技术人员需要面对的技术问题。

发明内容

本发明的目的在于提供一种SAR对抗样本生成方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种SAR对抗样本生成方法，包括如下步骤：

S1,利用SAR训练图像训练基于卷积神经网络的目标识别模型；

S2,将所述SAR训练图像和训练后的所述目标识别模型输入扰动量计算模型中进行计算，得到扰动量；

S3,利用所述SAR训练图像和所述扰动量生成SAR对抗样本。

优选的，所述扰动量计算模型采用FGSM模型。

优选的，所述步骤S2包括将所述SAR训练图像和训练后的所述目标识别模型的损失函数输入FGSM模型中进行计算，得到所述SAR训练图像的扰动量。

优选的，所述将所述SAR训练图像和训练后的所述目标识别模型的损失函数输入FGSM模型中进行计算，得到所述SAR训练图像的扰动量包括：

所述SAR训练图像和所述损失函数输入所述FGSM模型中进行计算，并将所述FGSM模型的计算结果输入截断函数中进行截断处理，得到所述SAR训练图像的中间计算结果；

将所述中间计算结果和所述损失函数输入所述FGSM模型中进行计算，并将所述FGSM模型的计算结果输入所述截断函数中进行所述截断处理，得到更新后的中间计算结果；

利用所述更新后的中间计算结果迭代执行将所述中间计算结果和所述损失函数输入所述FGSM模型中进行计算的步骤，直至迭代次数达到第一预设值时，将所述更新后的中间计算结果设置为所述SAR训练图像的扰动量。

优选的，所述步骤S1包括：

将所述SAR训练图像裁剪为预设尺寸；

利用完成裁剪的SAR训练图像训练所述目标识别模型。

优选的，所述扰动量计算模型采用UAP模型。

优选的，所述步骤S2包括将所述SAR训练图像和训练后的所述目标识别模型的分类器输入UAP模型中进行计算，得到所述目标识别模型的扰动量。

优选的，所述将所述SAR训练图像和训练后的所述目标识别模型的分类器输入UAP模型中进行计算，得到所述目标识别模型的扰动量，包括：

设置扰动量范数、预设欺骗率及初始扰动量，并利用所述扰动量范数、所述预设欺骗率、所述初始扰动量及所述分类器设置所述UAP模型；

将所述SAR训练图像输入设置完毕的UAP模型更新所述初始扰动量，并利用更新后的初始扰动量计算输出欺骗率；

当所述输出欺骗率小于等于所述预设欺骗率时，对更新后的初始扰动量继续执行将所述SAR训练图像输入设置完毕的UAP模型更新所述初始扰动量的步骤，直至所述输出欺骗率大于所述预设欺骗率时，将所述初始扰动量设置为所述目标识别模型的扰动量。

优选的，所述将所述SAR训练图像输入设置完毕的UAP模型更新所述初始扰动量，包括：

将所述初始扰动量输入所述分类器中，对每一所述SAR训练图像进行分类干扰；

确定分类干扰失败的SAR训练图像，并利用DeepFool算法为所述分类干扰失败的SAR训练图像计算最小扰动增量；

将所述最小扰动增量与所述初始扰动量进行求和，并将求和结果输入投影算子中进行投影操作，得到更新后的初始扰动量。

一种终端设备，包括：

训练模块：用于利用SAR训练图像训练基于卷积神经网络的目标识别模型；

扰动量计算模块：用于将所述SAR训练图像和训练后的所述目标识别模型输入扰动量计算模型中进行计算，得到扰动量；

对抗样本生成模块：用于利用所述SAR训练图像和所述扰动量生成SAR对抗样本。

终端存储器，用于存储训练模块、扰动量计算模块和对抗样本生成模块；

终端处理器，用于执行所述计算机程序时实现上述任一项所述的SAR对抗样本生成方法。

与现有技术相比，本发明的有益效果是：

本发明，由SAR训练图像训练得到的目标识别模型进行扰动量计算，并利用该扰动量生成SAR对抗样本。由于目标识别模型由SAR训练图像训练得到，能够适应SAR图像的诸多特点并可依照这些特征进行目标识别，因此本方法利用该目标识别模型生成的扰动量能够有效适应SAR图像特征，进而确保利用该扰动量生成的SAR对抗样本能够有效对SAR目标识别模型进行有效干扰。

附图说明

图1为本发明的一种SAR对抗样本生成方法的流程图；

图2为本发明的的MSTAR数据集在标准工作条件下的数据集的示意图；

图3为本发明实的目标识别模型的目标分类精度的示意图；

图4为本发明的目标识别模型的损失率的示意图；

图5为本发明的基于2S1目标类别的扰动量及对抗样本的示意图；

图6为本发明的不同扰动强度下三种攻击模型的效果对比的示意图；

图7为本发明的不同范数约束下的普遍对抗扰动的示意图，其中左图为l_∞范数，右图为l₂范数；

图8从左至右分别为本发明的原始数据集混淆矩阵和对抗样本数据集混淆矩阵的示意图；

图9为本发明的一种SAR对抗样本生成装置的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

请参考图1-9，为本发明实施例所提供的一种SAR对抗样本生成方法的流程图，该方法可以包括：

S101、利用SAR训练图像训练基于卷积神经网络的目标识别模型。

需要说明的是，本发明实施例并不限定SAR训练图像的来源，例如可来自公共数据集，也可以对待识别目标进行拍摄以生成SAR训练图像。当采用拍摄待识别目标的方式生成SAR训练图像时，本发明实施例并不限定具体的待识别目标、拍摄距离及拍摄仰角，同时本发明实施例也不限定需要为单个待识别目标拍摄的SAR训练图像数量，上述内容可根据实际情况自行设定。在本发明实施例中，考虑到公共数据集较为完备且易于使用，可避免数据集制作时间，因此可SAR训练图像可来自于公共数据集。在一种可能的情况中，可利用MSTAR(MovingandStationaryTargetAcquisitionandRecognition)数据集对目标识别模型进行训练，其中，MSTAR数据集是用地面军事车辆的聚束式SAR图像集，是当前用于研究SAR自动目标识别的常用数据集，该数据集为X波段成像，数据集中的目标是雷达工作在多种不同的俯仰角时，各个目标在方向上面的成像图片。需要说明的是，本发明实施例并不限定MSTAR数据集中具体包含的数据内容，例如图像采集条件分类、目标类别、样本数量、目标序列号及采集侧视角等，用户可参考MSTAR数据集的相关技术。在一种可能的情况中，MSTAR数据集在标准工作条件(StandardOperatingCondition，SOC)的数据集如图2所示，图2为本发明实施例所提供的MSTAR数据集在标准工作条件下的数据集的示意图。

在训练之前，可以理解的是，为了提升训练效率，可对SAR训练图像进行裁剪操作，以保留目标识别对象。需要说明的是，本发明实施例并不限定裁剪的目标尺寸，该尺寸可根据实际应用情况进行设定。可以理解的是，可以以目标区域为中心进行裁剪，以保留目标区域的图像内容。本发明实施例并不限定具体的目标区域，只要该目标区域为目标识别对象所在的区域即可。在一种可能的情况中，考虑到目标识别对象一般处于SAR训练图像的中心，因此可将目标区域设置为SAR训练图像的中心位置。本发明实施例并不限定目标区域的具体大小，可以理解的是目标区域的大小小于等于剪裁的目标尺寸，可根据实际需求进行设置。

在一种可能的情况中，利用SAR训练图像训练基于卷积神经网络的目标识别模型的过程，可以包括：

步骤11：将SAR训练图像裁剪为预设尺寸。

步骤12：利用完成裁剪的SAR训练图像训练目标识别模型。

在一种可能的情况中，可以将SAR训练图像剪裁为包含中心区域的88×88大小。

进一步，本发明实施例并不限定具体的目标识别模型，例如可以为AlexNet、VGGNet和ResNet等深层CNN(ConvolutionalNeuralNetwork，卷积神经网络)模型，也可以为浅层CNN模型，其中浅层CNN模型的卷积神经网络层数小于预设值，而深层CNN模型的卷积神经网络层数大于等于该预设值。当然，浅层CNN模型与深层CNN模型在网络结构等其他方面也存在不同，本发明实施例并不具体介绍。考虑到浅层CNN模型结构较为简单，且训练效率较高，因此目标识别模型可采用浅层CNN模型。本发明并不限定目标识别模型的具体结构，例如在一种情况中，该目标识别模型可包含三个卷积层(Conv)、三个池化层(Maxpooling)及两个全连接层(Dense)。该浅层CNN模型的具体参数及结构请参考下表。

表1SAR图像目标分类的目标识别模型

需要说明的是，表1中的ReLU表示修正线性单元，BN(Batch Normalization)表示批量归一化单元，ReLU及BN均为网络层。

本发明实施例并不限定训练该目标识别模型的具体参数，例如损失函数、学习率、批大小及训练轮次，可根据实际情况进行设定。在一种可能的情况中，可采用交叉熵损失函数，并设置学习率为0.0002，批大小为100，对目标识别模型进行70轮训练。请参考图3和图4，图3为本发明实施例所提供的目标识别模型的目标分类精度的示意图，图4为本发明实施例所提供的目标识别模型的损失率的示意图。经过70轮训练后，该目标识别模型可达到97.57％的分类精度。

将该目标识别模型的分类器记为F:X→Y，X是输入的SAR图像集合，对于其中某一幅SAR训练图像x∈X，分类器将会预测其类别y＝F(x)，y∈Y是SAR图像目标类别集合。如果y＝y_true则预测正确，y_true是真实的目标类别。损失函数记为J(θ,x,y)，其中θ是训练好的模型参数。

S102、将SAR训练图像和训练后的目标识别模型输入扰动量计算模型中进行计算，得到扰动量。

扰动量用于生成对抗样本，下面具体介绍扰动量及对抗样本的关系。对于某一具体的分类器F:X→Y，该分类器将输入样本映射到标签集合中。对于一个输入x∈X，假设其实际类别为y，y＝F(x)，若此时存在一个扰动η，使得输入变为x′＝x+η，而叠加了该扰动的输入x′在该分类器中无法被正确分类，即F(x′)≠y，则此时该扰动η记为扰动量，而该叠加了扰动的输入x′即为对抗样本。

扰动量计算模型正是用于寻找上述扰动量的模型。需要说明的是，本发明实施例并不限定具体的扰动量计算模型，例如可以为FGSM模型、BIM模型或UAP模型，其中FGSM(FastGradientSignMethod，快速梯度符号法)通过在输入图像上增加一个无法察觉的微小向量，并将向量的方向设置为图像分类模型的损失函数相对于输入图像的偏导数的方向的方式，使得图像分类模型的输出发生改变；BIM(BasicIterativeMethod，基本迭代方法)为FGSM模型的改进，采用小步迭代多次的方法来生成对抗样本；UAP(UniversalAdversarialPerturbation，普遍对抗扰动)是一种用于生成与具体图像无关的SAR图像目标分类对抗样本的扰动量计算模型。

S103、利用SAR训练图像和扰动量生成SAR对抗样本。

在得到扰动量后，便可将扰动量与SAR训练图像叠加，以生成SAR对抗样本。

基于上述实施例，本方法使用由SAR训练图像训练得到的目标识别模型进行扰动量计算，并利用该扰动量生成SAR对抗样本。由于目标识别模型由SAR训练图像训练得到，能够适应SAR图像的诸多特点并可依照这些特征进行目标识别，因此本方法利用该目标识别模型生成的扰动量能够有效适应SAR图像特征，进而确保利用该扰动量生成的SAR对抗样本能够有效对SAR目标识别模型进行有效干扰。

基于上述实施例，下面对利用FGSM模型生成扰动量的具体过程进行介绍。在一种可能的情况中，将SAR训练图像和训练后的目标识别模型输入扰动量计算模型中进行计算，得到扰动量，可以包括：

S201、将SAR训练图像和训练后的目标识别模型的损失函数输入FGSM模型中进行计算，得到SAR训练图像的扰动量。

具体的，对于输入的SAR训练图像中的任意一幅图像x，扰动量及对抗样本的计算方法为：

其中，

称为扰动量，ε用来控制扰动量大小，ε的数值可根据实际应用需求进行调整，sign(·)是符号函数，

代表损失函数相对于输入图像x的梯度。

需要说明的是，FGSM模型计算得到的扰动量为每一SAR训练图像对应的扰动量，即每一SAR训练图像的扰动量均不同。

在本发明实施例，FSGM对扰动量及对抗样本的生成既可以采用无目标攻击的方式，也可以采用有目标攻击的方式。无目标攻击的目标在于，只要干扰量及对抗样本能够达到干扰分类器的目的即可，具体可表示为：

而有目标攻击的目标在于要求干扰量及对抗样本对分类器进行干扰，以使分类器将上述对抗样本均分类为该指定目标类别y_t。具体可表示为：

需要说明的是，本发明实施例并不限定具体的指定目标类别，可根据目标识别模型具体可识别的类型进行确定。

在FGSM模型的基础上，也可以进一步使用BIM模型进行扰动量计算。BIM采用小步迭代多次的方法来生成扰动量及对抗样本，每次迭代的中间结果都进行阶段来保证结果落在原始图像的ε邻域内。下面介绍BIM模型计算扰动量及对抗样本的具体方式。在一种可能的情况下，将SAR训练图像和训练后的目标识别模型的损失函数输入FGSM模型中进行计算，得到SAR训练图像的扰动量，包括：

步骤21：将SAR训练图像和损失函数输入FGSM模型中进行计算，并将FGSM模型的计算结果输入截断函数中进行截断处理，得到SAR训练图像的中间计算结果；

步骤22：将中间计算结果和损失函数输入FGSM模型中进行计算，并将FGSM模型的计算结果输入截断函数中进行截断处理，得到更新后的中间计算结果；

步骤23：利用更新后的中间计算结果迭代执行将中间计算结果和损失函数输入FGSM模型中进行计算的步骤，直至迭代次数达到第一预设值时，将更新后的中间计算结果设置为SAR训练图像的扰动量。

需要说明的是，本发明实施例并不限定第一预设值的具体数值，可根据实际应用需求进行设定。

具体的，BIM模型计算扰动量及对抗样本的过程可以表示为：

x′₀＝x,

其中，α表示每次迭代时像素值改变的大小，x₀′为第0次迭代计算的中间计算结果(即为输入的SAR训练图像本身)，x′_N+1表示第N+1次迭代计算的中间计算结果；Clip(·)是截断函数，用于对图像x′中的每个像素进行裁剪，使得结果保持在图像x的L_infε邻域中。截断函数表示为：

Clip_x,ε{x′}＝min{255,x+ε,max{0,x-ε,x′}}

其中，max和min分别表示最大函数及最小函数，用于确定输入值中的最大值或最小值。

为证明上述方法生成的SAR对抗样本能够对SAR目标识别模型进行有效对抗，下面介绍三个具体的攻击实验。

(1)实验一：基于FGSM的无目标攻击

将控制扰动量大小的ε设为0.03。采用FGSM模型对MSTAR测试数据集中的每一幅SAR图像作为输入，生成相应的对抗样本SAR图像，构建SAR图像对抗样本数据集。将SAR图像对抗样本数据集作为输入，用基于SAR图像的目标分类模型进行分类，得到的分类精度为3.67％。相比较原始测试集上的分类精度97.57％，该方法能够有效的干扰SAR图像目标分类模型。

(2)实验二：基于FGSM的有目标攻击

将控制扰动量大小的ε设为0.03。设置目标类别MSTAR数据集中的2S1类别，采用FGSM模型对MSTAR测试数据集中的每一幅SAR图像作为输入，生成相应的对抗样本SAR图像，构建SAR图像对抗样本数据集。将SAR图像对抗样本数据集作为输入，用基于SAR图像的目标识别模型进行分类，得到的分类精度为27.45％。设置目标类别为MSTAR数据集中的ZSU-234，得到的分类精度为23.83％。可见，有目标的攻击方法能够有效的干扰SAR图像目标识别模型。设置不同的目标类别会得到不同的攻击效果。有目标的攻击相比无目标攻击来说会更难，对分类精度的降低程度稍微偏小。请参考图5，图5为本发明实施例所提供的基于2S1目标类别的扰动量及对抗样本的示意图，其中左图为原始SAR图像，类别是ZSU-234，中图为设计的扰动，右图为SAR图像对抗样本，使得SAR图像目标识别模型分类为设定的目标2S1。

(3)实验三：不同扰动强度下有目标的FGSM、无目标的FGSM和BIM模型的对比：

设置扰动强度ε从0.001变化到0.1，当ε∈[0.001,0.01]时，间隔为0.001；当时，间隔为0.1。采用上述三种方法分别产生对抗样本数据集，得到的分类精度对比如图6所示，图6为本发明实施例所提供的不同扰动强度下三种攻击模型的效果对比的示意图，其中non-targeted，FGSM表示无目标FGSM，targeted，FGSM表示有目标FGSM，non-targeted，BIM表示无目标BIM。

在该示意图中，顶部的虚线所示为原始SAR图像测试集的分类精度，以此为对比的基准。可见三种攻击方法都能得到较好的攻击效果，在扰动量强度较小的情况下，都能使得分类器精度大幅度下降。有目标的攻击更难一些，分类器精度下降较慢。对于无目标的FGSM和BIM模型，在ε＜0.03时，BIM模型效果更好一些，因为BIM模型采用多次迭代，能够实现更加精细的扰动设计。当ε超过0.03时，FGSM模型效果更好一些，因为BIM模型的目的在于确保扰动量对SAR图像的破坏较小，所以在扰动量较大的情况下不具有优势。FGSM模型虽然能达到更低的分类精度，但对于原始图像破坏较大。

基于上述实施例，本方法使用FSGM模型生成了SAR训练图像的扰动量，并根据三个具体的实验证明了该扰动量及由该扰动量生成的对抗样本可有效对SAR目标识别模型进行干扰，且均取得了明显的干扰效果。

基于上述实施例，下面对利用UAP模型生成扰动量的具体过程进行介绍。在一种可能的情况中，将SAR训练图像和训练后的目标识别模型输入扰动量计算模型中进行计算，得到扰动量，可以包括：

S301、将SAR训练图像和训练后的目标识别模型的分类器输入UAP模型中进行计算，得到目标识别模型的扰动量。

需要说明的是，由于UAP模型是一种用于生成与具体图像无关的SAR图像目标分类对抗样本的扰动量计算模型，因此该模型生成的扰动量为目标识别模型的整体扰动量，与具体的某一SAR训练图像无关。

对于分类器F，寻找一个扰动量v，使得对于几乎所有的SAR图像集合X中的图像，都能够干扰其目标分类结果，即：

F(x+v)≠F(x)for mostx～μ

其中，μ是数据集X中图像的分布。扰动量v需受到扰动量范数l_p的约束，需要在动量范数l_p的意义下小，p∈[1,∞)。因此扰动量v需满足下面两个约束条件：

||v||_p≤ξ

其中，ξ用于控制扰动量幅度的大小，通常取大于0的较小正数，δ用于量化所需的欺骗率。

具体的，将SAR训练图像和训练后的目标识别模型的分类器输入UAP模型中进行计算，得到目标识别模型的扰动量，可以包括：

步骤41：设置扰动量范数、预设欺骗率及初始扰动量，并利用扰动量范数、预设欺骗率、初始扰动量及分类器设置UAP模型。

需要说明的是，本发明实施例并不限定具体的扰动量范数l_p，例如可以为l₂和l_∞范数，由于p∈[1,∞)，因此可根据实际应用需求设置合适的扰动量范数；本发明实施例也不限定预设欺骗率的具体数值，预设欺骗率可设置为0至1之间的任意小数；本发明实施例也不限定初始扰动量的具体数值，在一种情况中，可设置为0。

步骤42：将SAR训练图像输入设置完毕的UAP模型更新初始扰动量，并利用更新后的初始扰动量计算输出欺骗率。

步骤43：当输出欺骗率小于等于预设欺骗率时，对更新后的初始扰动量继续执行将SAR训练图像输入设置完毕的UAP模型更新初始扰动量的步骤，直至输出欺骗率大于预设欺骗率时，将初始扰动量设置为目标识别模型的扰动量。

输出欺骗率的计算方法如下：

其中，Err(X_v)表示输出欺骗率，X_v:＝{x₁+v,…,x_m+v}是扰动后的对抗样本数据集，

表示若SAR训练图像x_i∈X被扰动量v干扰成功后，累加1。

可以理解的是，为了确保目标识别模型被有效干扰，在本发明实施例中需迭代更新初始扰动量，直至该初始扰动量能够对目标识别模型进行充分干扰，以使目标识别模型对绝大多数叠加该初始扰动量的输入均产生错误的目标分类。

在一种可能的情况中，将SAR训练图像输入设置完毕的UAP模型更新初始扰动量，包括：

步骤51：将初始扰动量输入分类器中，对每一SAR训练图像进行分类干扰。

步骤52：确定分类干扰失败的SAR训练图像，并利用DeepFool算法为分类干扰失败的SAR训练图像计算最小扰动增量。

步骤52具体可表示为：假若对于一张SAR训练图像x_i∈X，其分类结果为F(x_i+v)＝F(x_i)，则表示该SAR训练图像干扰失败，此时则通过将x_i+v调整到分类决策边界的方式，利用该SAR训练图像计算最小扰动增量：

上述对最小扰动增量的计算为一最优化问题，在本发明实施例中采用DeepFool算法进行优化。下面对DeepFool算法的具体计算过程进行介绍：

假设分类器f:ⁿ→^c用于计算输入图像在c个类别上分别可能的概率，而输入值最终的分类类别就是这些概率里面最大的值对应的类别，即

DeepFool算法的伪代码如下：

需要说明的是，对于上述伪代码中各符号的具体示意，请参考DeepFool算法的相关技术，该算法并不是本发明的保护客体。由于DeepFool生成的扰动量会使对抗样本刚好落在决策边界上(即分类器仍能够为对抗样本进行正确分类)，为使对抗样本落在其他类别中，通常需要对扰动量

乘以一个常数1+γ以对扰动量进行放大，其中γ＝1。需要说明的是，本发明实施例并不限定γ的具体数值。在一种可能的情况中，γ＝0.02。

步骤53：将最小扰动增量与初始扰动量进行求和，并将求和结果输入投影算子中进行投影操作，得到更新后的初始扰动量。

在得到最小扰动增量Δv_i后，可利用投影算子对最小扰动增量与初始扰动量进行求和的结果进行投影，以确保求和结果落入所需的ε邻域中。投影算子P_p,ξ(·)用于保证扰动量满足约束条件，具体可表示为：

为证明利用UAP模型生成的SAR对抗样本能够对SAR目标识别模型进行有效对抗，下面介绍一个具体的攻击实验：

实验一：基于UAP的SAR图像目标分类干扰

采用UAP模型，设置ξ＝10，分别考虑l₂和l_∞范数。设置δ＝0.2，即当攻击成功率高于80％时停止迭代，得到普遍对抗扰动。在上述两种范数约束下，普遍对抗扰动结果如图7所示，图7为本发明实施例所提供的不同范数约束下的普遍对抗扰动的示意图，其中左图为l_∞范数，右图为l₂范数。

采用上述两种普遍对抗扰动，分别得到两个SAR图像对抗样本数据集，该数据集的分类结果如下表所示。可见，该方法能够有效的攻击SAR图像目标分类模型。如果采用l_∞范数，只需要迭代一次就可以达到90.81％的欺骗概率。如果采用l₂范数，需要迭代两次，欺骗概率才能超过80％。

表2原始数据集分类精度和对抗样本数据集分类精度

采用原始数据集和范数约束下普遍对抗扰动的对抗数据集，SAR图像目标分类算法的混淆矩阵(ConfusionMatrix)如图8所示，图8为本发明实施例所提供的原始数据集混淆矩阵和对抗样本数据集混淆矩阵的示意图，其中左图为原始数据集混淆矩阵，右图为对抗样本数据集混淆矩阵。可见，SAR图像目标分类算法在原始SAR图像测试集上面有较好的分类性能，但是当采用对抗数据集时，大部分目标都被预测为了MSTAR数据集中的第三类(BTR-70)和第四类(BTR-60)。

基于上述实施例，本方法使用UAP模型生成了目标识别模型的扰动量，并在一个具体的实验中，结合两种不同的范数证明了该扰动量及由该扰动量生成的对抗样本，能有有效对SAR目标识别模型进行干扰，取得了明显的干扰效果。

下面对本发明实施例提供的一种SAR对抗样本生成的终端设备进行介绍，下文描述的SAR对抗样本生成终端设备与上文描述的SAR对抗样本生成方法可相互对应参照。

请参考图9，图9为本发明实施例所提供的一种SAR对抗样本生成终端设备的结构框图，该装置可以包括：

训练模块901，用于利用SAR训练图像训练基于卷积神经网络的目标识别模型；

扰动量计算模块902，用于将SAR训练图像和训练后的目标识别模型输入扰动量计算模型中进行计算，得到扰动量；

对抗样本生成模块903，用于利用SAR训练图像和扰动量生成SAR对抗样本。

可选地，扰动量计算模块902，可以包括：

FGSM模型子模块，用于将SAR训练图像和训练后的目标识别模型的损失函数输入FGSM模型中进行计算，得到SAR训练图像的扰动量。

可选地，FGSM模型子模块，可以包括：

第一计算单元，用于将SAR训练图像和损失函数输入FGSM模型中进行计算，并将FGSM模型的计算结果输入截断函数中进行截断处理，得到SAR训练图像的中间计算结果；

第二计算单元，用于将中间计算结果和损失函数输入FGSM模型中进行计算，并将FGSM模型的计算结果输入截断函数中进行截断处理，得到更新后的中间计算结果；

第三计算单元，用于利用更新后的中间计算结果迭代执行将中间计算结果和损失函数输入FGSM模型中进行计算的步骤，直至迭代次数达到第一预设值时，将更新后的中间计算结果设置为SAR训练图像的扰动量。

可选地，训练模块901，可以包括：

剪裁子模块，用于将SAR训练图像裁剪为预设尺寸；

训练子模块，用于利用完成裁剪的SAR训练图像训练目标识别模型。

可选地，扰动量计算模块902，可以包括：

UAP模型子模块，用于将SAR训练图像和训练后的目标识别模型的分类器输入UAP模型中进行计算，得到目标识别模型的扰动量。

可选地，UAP模型子模块，可以包括：

设置单元，用于设置扰动量范数、预设欺骗率及初始扰动量，并利用扰动量范数、预设欺骗率、初始扰动量及分类器设置UAP模型；

第四计算单元，用于将SAR训练图像输入设置完毕的UAP模型更新初始扰动量，并利用更新后的初始扰动量计算输出欺骗率；

第五计算单元，用于当输出欺骗率小于等于预设欺骗率时，对更新后的初始扰动量继续执行将SAR训练图像输入设置完毕的UAP模型更新初始扰动量的步骤，直至输出欺骗率大于预设欺骗率时，将初始扰动量设置为目标识别模型的扰动量。

可选地，第四计算单元，可以包括：

分类干扰子单元，用于将初始扰动量输入分类器中，对每一SAR训练图像进行分类干扰；

第六计算子单元，用于确定分类干扰失败的SAR训练图像，并利用DeepFool算法为分类干扰失败的SAR训练图像计算最小扰动增量；

投影子单元，用于将最小扰动增量与初始扰动量进行求和，并将求和结果输入投影算子中进行投影操作，得到更新后的初始扰动量。

该终端设备还包括：

终端存储器904，用于存储计算机程序；

终端处理器905，用于执行计算机程序时实现如上述的SAR对抗样本生成方法的步骤。

由于电子设备部分的实施例与SAR对抗样本生成方法部分的实施例相互对应，因此电子设备部分的实施例请参见SAR对抗样本生成方法部分的实施例的描述，这里暂不赘述。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种SAR对抗样本生成方法，其特征在于包括如下步骤：

S1,利用SAR训练图像训练基于卷积神经网络的目标识别模型；

S3,利用所述SAR训练图像和所述扰动量生成SAR对抗样本。

2.根据权利要求1所述的一种SAR对抗样本生成方法，其特征在于：所述扰动量计算模型采用FGSM模型。

3.根据权利要求2所述的一种SAR对抗样本生成方法，其特征在于：所述步骤S2包括将所述SAR训练图像和训练后的所述目标识别模型的损失函数输入FGSM模型中进行计算，得到所述SAR训练图像的扰动量。

4.根据权利要求3所述的一种SAR对抗样本生成方法，其特征在于：所述将所述SAR训练图像和训练后的所述目标识别模型的损失函数输入FGSM模型中进行计算，得到所述SAR训练图像的扰动量包括：

5.根据权利要求1所述的一种SAR对抗样本生成方法，其特征在于：所述步骤S1包括：

将所述SAR训练图像裁剪为预设尺寸；

利用完成裁剪的SAR训练图像训练所述目标识别模型。

6.根据权利要求1所述的一种SAR对抗样本生成方法，其特征在于：所述扰动量计算模型采用UAP模型或者BIM模型。

7.根据权利要求6所述的一种SAR对抗样本生成方法，其特征在于：所述步骤S2包括将所述SAR训练图像和训练后的所述目标识别模型的分类器输入UAP模型中进行计算，得到所述目标识别模型的扰动量。

8.根据权利要求7所述的一种SAR对抗样本生成方法，其特征在于：所述将所述SAR训练图像和训练后的所述目标识别模型的分类器输入UAP模型中进行计算，得到所述目标识别模型的扰动量，包括：

9.根据权利要求8所述的一种SAR对抗样本生成方法，其特征在于：所述将所述SAR训练图像输入设置完毕的UAP模型更新所述初始扰动量，包括：

10.一种终端设备，其特征在于，包括：

终端处理器，用于执行所述计算机程序时实现如权利要求1至9中任一项所述的SAR对抗样本生成方法。