CN113808165B - 面向三维目标跟踪模型的点扰动对抗攻击方法 - Google Patents

面向三维目标跟踪模型的点扰动对抗攻击方法 Download PDF

Info

Publication number
CN113808165B
CN113808165B CN202111072985.5A CN202111072985A CN113808165B CN 113808165 B CN113808165 B CN 113808165B CN 202111072985 A CN202111072985 A CN 202111072985A CN 113808165 B CN113808165 B CN 113808165B
Authority
CN
China
Prior art keywords
loss
confidence
point
attack
dimensional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN202111072985.5A
Other languages
English (en)
Other versions
CN113808165A (zh
Inventor
成日冉
桑楠
周银源
张梓豪
王正奕
王旭鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN202111072985.5A priority Critical patent/CN113808165B/zh
Publication of CN113808165A publication Critical patent/CN113808165A/zh
Application granted granted Critical
Publication of CN113808165B publication Critical patent/CN113808165B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/20Analysis of motion
    • G06T7/246Analysis of motion using feature-based methods, e.g. the tracking of corners or segments
    • G06T7/248Analysis of motion using feature-based methods, e.g. the tracking of corners or segments involving reference images or patches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T2207/00Indexing scheme for image analysis or image enhancement
    • G06T2207/20Special algorithmic details
    • G06T2207/20081Training; Learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T2207/00Indexing scheme for image analysis or image enhancement
    • G06T2207/20Special algorithmic details
    • G06T2207/20084Artificial neural networks [ANN]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种面向三维目标跟踪模型的点扰动对抗攻击方法,该方法通过复合的目标函数生成点扰动,对目标模板添加点扰动生成对抗样本,对抗样本攻击了三维目标跟踪模型得到的目标模板特征描述与候选框,让三维目标跟踪模型的预测结果偏离真实值,复合的目标函数包括置信度损失、特征损失和距离损失,其中,置信度损失与特征损失构成攻击损失,特征损失优化针对目标模板特征的攻击,置信度损失优化针对候选区域置信度的攻击;距离损失用来优化对抗样本与目标模板之间的视觉差距,以达到不会轻易被肉眼察觉的目的。本发明研究了基于点云的三维目标跟踪模型的鲁棒性,有助于提高三维目标跟踪的可靠性。

Description

面向三维目标跟踪模型的点扰动对抗攻击方法
技术领域
本发明属于目标跟踪领域,尤其涉及一种面向三维目标跟踪模型的点扰动对抗攻击方法。
背景技术
基于点云的三维目标跟踪在自动驾驶领域起着至关重要的作用。与二维目标跟踪相比,点云可以完整地表示三维场景,但是点云本身是由不同基数的无序点构成的点集,因此较难被神经网络使用。许多已有的三维目标跟踪方法使用RGB-D图像,将三维特征转化为二维特征并借助二维目标跟踪模型实现跟踪,然而RGB-D图像可能会损失三维场景细节,所以跟踪效果并不理想。Qi等人提出了一种直接提取点云数据特征的方法(参见文献:Qi CR,Su H,Mo K,et al.Pointnet:Deep learning on point sets for 3d classificationand segmentation[C]//Proceedings of the IEEE conference on computer visionand pattern recognition.2017:652-660.),在此基础之上,新提出的三维目标跟踪模型P2B(Point-to-Box Network),该模型使用PointNet++作为特征提取骨干网络,并引入霍夫投票处理机制,极大地增强了三维目标跟踪效果。
点云数据与图像数据结构有较大不同,同时,点云的特征表达与图像的特征表达也有着一定的差别,所以针对二维跟踪模型的对抗攻击算法并不直接适用于三维目标跟踪模型。Xi ang C等人提出了几种针对基于点云的三维目标分类算法的对抗样本生成方法(参见文献:Xiang C,Qi C R,Li B.Generating 3d adversarial point clouds[C]//Proceedings of the IEEE/CVF Conference on Computer Vision and PatternRecognition.2019:9136-9144.),包括施加点扰动、添加点等,并引入了多种扰动度量,保证对抗样本视觉上不易察觉。但是,目标分类算法与目标跟踪算法的对抗攻击不同,即目标分类算法的攻击只需把候选分类排名前两个的置信度进行调换,即可得出偏离真实值的结果。然而目标跟踪算法中置信度接近的候选区域位置可能非常接近,所以对其使用相同的攻击方法并不会有明显的效果。
基于深度神经网络的目标跟踪面对对抗样本是十分脆弱的。近些年来,针对二维目标跟踪生成对抗样本得到了广泛的关注,然而,面向三维目标跟踪的对抗攻击很少被研究。针对上述问题,本发明提出一种基于点扰动生成对抗样本的攻击方法,该方法通过对目标模板添加点扰动生成对抗样本,实现三维目标跟踪模型预测值与实际值的偏离。并使用一个结合置信度损失、特征损失和距离损失的目标函数用来生成点的扰动,同时迭代优化点的扰动,提高对抗攻击效果并降低对抗样本的肉眼可察觉性。本发明通过对目标模板施加点扰动生成对抗样本,研究了基于点云的三维目标跟踪模型的鲁棒性,有助于提高三维目标跟踪的可靠性。
发明内容
基于点云数据的三维目标跟踪在社会生产中有着广泛的应用,例如自动驾驶、安全监控等。特别地,铁路运输是目标跟踪典型的应用场景,是实现其流量监测、轨迹追踪、智能货检等功能的基础。
针对上述问题,本发明提出的对抗攻击方法直接对目标模板施加点扰动生成对抗样本,通过对三维目标跟踪模型进行置信度攻击,对目标模板进行特征攻击并对扰动添加扰动度量提高对抗攻击效果并保证视觉上的较小差异。
本发明提出了一种面向三维目标跟踪模型的点扰动对抗攻击方法,该方法包括如下步骤:
步骤S1:使用随机数生成符合正态分布的初始化点扰动;
步骤S2:使用原始点云场景数据划分搜索区域与目标模板;
步骤S3:使用初始化点扰动添加到目标模板生成初始的对抗样本;
步骤S4:加载三维目标跟踪模型,对三维目标跟踪模型输入对抗样本与搜索区域得到特征描述、候选区域以及候选区域的置信度;
步骤S5:根据特征描述、候选区域以及候选区域的置信度计算置信度损失、特征损失与距离损失;
步骤S6:将步骤S5计算出的置信度损失、特征损失与距离损失输入到复合的目标函数
Figure BDA0003261130250000021
通过迭代复合的目标函数/>
Figure BDA0003261130250000022
生成点扰动;将点扰动施加到目标模板来更新对抗样本,判断迭代次数是否到达预设次数100,如果迭代次数等于100停止迭代返回对抗样本,否则跳转至步骤S4;
步骤S7:对三维目标跟踪模型输入对抗样本与搜索区域,令三维目标跟踪模型的预测结果偏离真实值。
其中,在无点扰动的情况下,所述三维目标跟踪模型根据目标模板Ptmp和搜索区域Psea,通过特征提取骨干网络分别得到目标模板与搜索区域的特征描述φ(Ptmp)与φ(Psea),其中φ(·)表示采用特征提取骨干网络提取特征描述的函数;再根据所述三维目标跟踪模型的三维目标提案得到候选区域集合
Figure BDA0003261130250000023
其中h′j′表示第j′个候选区域,n表示候选区域的总个数,以及每一个候选区域的置信度C(h′j′),三维目标跟踪模型最终的预测结果是置信度最高的候选区域。在存在点扰动的情况下,上述过程中的目标模板Ptmp被替换为对抗样本Pattack,即被攻击的三维目标跟踪模型根据对抗样本Pattack和搜索区域Psea,通过特征提取骨干网络分别得到对抗样本与搜索区域的特征描述φ(Pattack)与φ(Psea),其中φ(·)表示采用特征提取骨干网络提取特征描述的函数;再根据所述三维目标跟踪模型的三维目标提案得到候选区域集合/>
Figure BDA0003261130250000031
其中hj′表示第j′个候选区域,n表示候选区域的总个数,以及每一个候选区域的置信度C(hj′),三维目标跟踪模型最终的预测结果是置信度最高的候选区域。
本发明的面向三维目标跟踪模型的点扰动对抗攻击方法是对攻击对象P生成点扰动ΔP,得到对抗样本Pattack=P+ΔP,其中点扰动ΔP通过目标函数
Figure BDA0003261130250000032
生成,篡改三维目标跟踪模型得到的预测结果,达到欺骗所述三维目标跟踪模型的目的。
本发明提出的面向三维目标跟踪模型的点扰动对抗攻击方法通过复合的目标函数生成点扰动,对目标模板添加点扰动生成对抗样本。对抗样本攻击了三维目标跟踪模型得到的目标模板特征描述与候选框,让三维目标跟踪模型的预测结果偏离真实值。复合的目标函数包括置信度损失、特征损失和距离损失。其中,置信度损失与特征损失构成攻击损失,特征损失优化针对目标模板特征的攻击,置信度损失优化针对候选区域置信度的攻击;距离损失用来优化对抗样本与目标模板之间的视觉差距,以达到不会轻易被肉眼察觉的目的。
附图说明
图1为本发明面向三维目标跟踪模型的点扰动对抗攻击方法的框架示意图。
具体实施方式
下面根据附图和实施例详细阐述此发明,并对本发明的技术方案进行清楚的描述。此处所选的实施例仅用于解释该发明,并不能够限定此发明。
本发明提出的一种面向三维目标跟踪模型的点扰动对抗攻击方法包括如下步骤:
步骤S1:使用随机数生成符合正态分布的初始化点扰动;
步骤S2:使用原始点云场景数据划分搜索区域与目标模板;
步骤S3:使用初始化点扰动添加到目标模板生成初始的对抗样本;
步骤S4:加载三维目标跟踪模型,对三维目标跟踪模型输入对抗样本与搜索区域得到特征描述、候选区域以及候选区域的置信度;
步骤S5:根据特征描述、候选区域以及候选区域的置信度计算置信度损失、特征损失与距离损失;
步骤S6:将步骤S5计算出的置信度损失、特征损失与距离损失输入到复合的目标函数
Figure BDA0003261130250000041
通过迭代到复合的目标函数/>
Figure BDA0003261130250000042
生成点扰动;将点扰动施加到目标模板来更新对抗样本,判断迭代次数是否到达预设次数100,如果迭代次数等于100停止迭代返回对抗样本,否则跳转至步骤S4;
步骤S7:对三维目标跟踪模型输入对抗样本与搜索区域,令三维目标跟踪模型的预测结果偏离真实值。
所述面向三维目标跟踪模型的点扰动对抗攻击方法对目标模板中的每一个施加扰动生成对抗样本,再使用基于梯度算法的复合目标函数优化点的扰动,更新对抗样本,其流程如下:
(1)初始化迭代次数为100,生成符合均值为0,标准差为0.001的正态分布的随机点扰动;
(2)对目标模板添加点扰动得到对抗样本,迭代次数加1;
(3)向三维目标跟踪模型输入对抗样本与搜索区域得到特征骨干网络输出的特征描述以及候选区域及其置信度;
(4)分别计算置信度损失、特征损失与距离损失,输入到复合的目标函数
Figure BDA0003261130250000045
生成点扰动;
(5)更新对抗样本,如果迭代次数等于100停止攻击返回对抗样本,否则跳转至步骤(2)。
本发明提出的面向三维目标跟踪模型的点扰动对抗攻击方法的基本框架如图1所示。被攻击的三维目标跟踪模型采用PointNet++作为特征提取骨干网络提取对抗样本与搜索区域点云数据的特征描述,进而生成一系列置信度篡改的候选区域,返回置信度最大的候选区域2作为预测结果(图1中三维目标提案中的加粗框表示对抗样本作为三维目标跟踪模型输入时的预测结果)。
对抗样本生成
为了欺骗三维目标跟踪模型,需要生成对抗样本作为三维目标跟踪模型的输入。给定目标模板
Figure BDA0003261130250000043
其中t表示目标模板点的总个数,3表示目标模板中每个点的XYZ三维坐标(/>
Figure BDA0003261130250000044
表示实数集)。点扰动对抗攻击通过扰动改变目标模板中点的三维坐标生成对抗样本如公式(1)所示。
Figure BDA0003261130250000051
其中xi,yi,zi表示目标模板第i个点的三维坐标;Δxi,Δyi,Δzi表示随机生成的目标模板第i个点的点扰动;x′i,y′i,z′i表示针对目标模板第i个点生成的对抗样本的三维坐标,t表示目标模板点的总个数。
添加点扰动相当于对目标模板中的每一个点添加一定的偏移值,让每一个点在三维空间中进行位移,由于点与点之间的距离更改代表着目标模板三维结构产生形变,进而改变特征提取骨干网络提取到的特征,从而欺骗三维目标跟踪模型。点的扰动是对抗样本的基础,添加较小的点扰动可能达不到攻击效果,添加较大的点扰动可能会被肉眼察觉,所以为了提高对抗攻击效果,需要对对抗样本进行优化。
对抗样本优化
随机生成的点扰动并不能保证对抗样本可以有效地欺骗三维目标跟踪模型。为了达到对抗攻击的效果,我们定义复合的目标函数
Figure BDA0003261130250000052
如下所示:
Figure BDA0003261130250000053
其中,
Figure BDA0003261130250000054
代表对抗样本的攻击损失函数,通过优化点扰动实现对抗样本对三维目标跟踪模型攻击能力的提升;/>
Figure BDA0003261130250000055
代表对抗样本的距离损失,通过优化点扰动使对抗样本与目标模板视觉上不易分辨;λ是一个预设的权重参数。通过优化公式(2)旨在寻找对目标模板篡改最小、攻击效果最好的点扰动来生成对抗样本。对抗样本的攻击损失函数分为置信度损失与特征损失两个部分,其定义如下所述:
1)置信度损失
对于三维目标跟踪模型而言,候选区域的置信度表示其为目标的可能性,置信度越高,候选区域是目标的可能性越大。针对三维目标跟踪模型的置信度攻击通过提高置信度排名靠后的候选区域的置信度,使其超过置信度排名靠前的置信度达到欺骗模型的目的。由于置信度排名靠前的候选区域位置与形状较为类似,只是攻击单一候选区域可能不会对预测结果造成明显的影响,因此,为了提高攻击成功率,需要篡改一定数量M的候选区域,其中M<n/2。包含点扰动的对抗样本降低一定数量的高可能性候选区域置信度,提高相同数量的低可能性候选区域置信度,让三维目标跟踪模型的预测结果与正确值产生明显的偏差。
假设三维目标跟踪模型的目标提案生成n个候选区域,在无点扰动的情况下,将目标模板Ptmp与搜索区域Psea输入到三维目标跟踪模型,三维目标跟踪模型的三维目标提案生成n个候选区域的置信度作为输出,其中三维目标提案定义为f(Ptmp,Psea),为方便计算,f(Ptmp,Psea)输出的置信度序列已经按照置信度数值从大到小排列。在存在点扰动的情况下,将对抗样本Pattack与搜索区域Psea输入到被攻击三维目标跟踪模型,被攻击三维目标跟踪模型的三维目标提案生成n个候选区域的置信度作为输出,此时三维目标提案定义为f(Pattack,Psea),为方便计算,f(Pattack,Psea)输出的置信度序列已经按照置信度数值从大到小排列。置信度损失函数定义如下:
Figure BDA0003261130250000061
其中R1:q表示f(Pattack,Psea)输出的置信度序列中置信度最高的q个置信度,Rr:s表示置信度序列中排名第r到第s个的置信度,1≤q≤r≤s≤n。置信度损失旨在抑制高可能性候选区域的置信度,提高低可能性候选区域的置信度,优化置信度攻击,欺骗三维目标跟踪模型。
2)特征损失
由于添加点扰动,对抗样本与目标模板通过特征提取骨干网络得到的特征描述并不相同,进而攻击三维目标跟踪模型的三维目标提案中的所有候选区域,相较于置信度攻击只是篡改候选区域的置信度,篡改特征的方式让全部候选区域位置产生偏移,具有更好的攻击效果。特征损失函数定义如下:
Figure BDA0003261130250000062
其中,c表示特征通道数,φ(·)表示采用特征提取骨干网络提取特征描述的函数,φi′(Pattack)、φi′(Ptmp)分别表示特征提取骨干网络提取的对抗样本和目标模板第i′个特征通道的特征,||·||2表示欧氏距离。通过最大化对抗样本与目标模板特征之间的欧氏距离,优化点扰动,使其可以更有效的攻击目标模板的特征。
3)距离损失
点扰动值同时影响着对抗样本的视觉效果,如果点扰动值过大,对抗样本与目标模板之间的视觉差异较为明显。因此,我们引入L2范式来度量目标模板与对抗样本之间的距离。距离损失定义如下式:
Figure BDA0003261130250000071
其中
Figure BDA0003261130250000072
表示目标模板中的第j个点,/>
Figure BDA0003261130250000073
表示对抗样本中的第j个点。通过最小化对抗样本与目标模板之间的距离,优化对抗样本与目标模板之间的视觉差距,使肉眼不会察觉到攻击。
综合置信度损失与特征损失,得到攻击损失函数如下:
Figure BDA0003261130250000074
其中α,β分别表示置信度损失
Figure BDA0003261130250000075
与特征损失/>
Figure BDA0003261130250000076
的预设权重。
对于每一个目标模板,算法使用Pytorch框架的Adam优化器优化目标函数生成的点扰动,迭代次数为100,学习率为0.01。同时,对于复合的目标函数,为了平衡对抗攻击与扰动度量,算法设置λ为6,为了提高算法攻击效果设置α为1,β为0.4。
将迭代完成后生成的对抗样本与搜索区域输入到被攻击的三维目标跟踪模型,令三维目标跟踪模型的预测区域远离目标所在区域。
本发明首次采用点扰动生成对抗样本对三维目标模型实施对抗攻击。总体可以让被攻击的三维目标跟踪模型性能下降20%。
以上所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

Claims (5)

1.一种面向三维目标跟踪模型的点扰动对抗攻击方法,其特征在于,该方法具体包括如下步骤:
步骤S1:使用随机数生成符合正态分布的初始化扰动;
步骤S2:使用原始点云场景数据划分搜索区域与目标模板;
步骤S3:使用初始化扰动添加到目标模板生成初始的对抗样本;
步骤S4:加载三维目标跟踪模型,对三维目标跟踪模型输入对抗样本与搜索区域得到特征描述、候选区域以及候选区域的置信度;
步骤S5:根据特征描述、候选区域以及候选区域的置信度计算置信度损失、特征损失与距离损失;
步骤S6:将步骤S5计算出的置信度损失、特征损失与距离损失输入到复合的目标函数
Figure FDA0004137807240000011
通过迭代复合的目标函数/>
Figure FDA0004137807240000012
生成点扰动;将点扰动施加到目标模板来更新对抗样本,判断迭代次数是否到达预设次数k,如果迭代次数等于k时停止迭代并返回对抗样本,否则跳转至步骤S4;
步骤S7:对三维目标跟踪模型输入对抗样本与搜索区域,令三维目标跟踪模型的预测结果偏离真实值;
其中,所述根据特征描述、候选区域以及候选区域的置信度计算置信度损失、特征损失与距离损失以及将计算出的置信度损失、特征损失与距离损失输入到复合的目标函数
Figure FDA0004137807240000013
具体包括:
定义复合的目标函数
Figure FDA0004137807240000014
如公式(2)所示:
Figure FDA0004137807240000015
其中,
Figure FDA0004137807240000016
代表对抗样本的攻击损失函数,通过优化点扰动实现对抗样本对三维目标跟踪模型攻击能力的提升;/>
Figure FDA0004137807240000017
代表对抗样本的距离损失,通过优化点扰动使对抗样本与目标模板视觉上不易分辨;λ是一个预设的权重参数,其中,对抗样本的攻击损失函数分为置信度损失与特征损失两个部分:
1)置信度损失
将对抗样本Pattack与搜索区域Psea输入到被攻击的三维目标跟踪模型,被攻击的三维目标跟踪模型的三维目标提案生成n个候选区域的置信度作为输出,此时三维目标提案定义为f(Pattack,Psea),为方便计算,f(Pattack,Psea)输出的置信度序列已经按照置信度数值从大到小排列,置信度损失函数定义如公式(3)所示:
Figure FDA0004137807240000021
其中R1:q表示f(Pattack,Psea)输出的置信度序列中置信度最高的q个置信度,Rr:s表示置信度序列中排名第r到第s个的置信度,1≤q≤r≤s≤n;
2)特征损失
由于添加了点扰动,对抗样本与目标模板通过特征提取骨干网络得到的特征描述并不相同,进而攻击三维目标跟踪模型的三维目标提案中的所有候选区域,相较于置信度攻击只是篡改候选区域的置信度,篡改特征的方式让全部候选区域位置产生偏移,具有更好的攻击效果,特征损失函数定义如公式(4)所示:
Figure FDA0004137807240000022
其中,c表示特征通道数,φi′(Pattack)、φi′(Ptmp)分别表示特征提取骨干网络提取的对抗样本和目标模板第i′个特征通道的特征,||·||2表示欧氏距离,通过最大化对抗样本与目标模板特征之间的欧氏距离,优化点扰动,使其更有效的攻击目标模板的特征;
3)距离损失
引入L2范式来度量目标模板与对抗样本之间的距离,距离损失定义如公式(5)所示:
Figure FDA0004137807240000023
其中
Figure FDA0004137807240000024
表示目标模板中的第j个点,/>
Figure FDA0004137807240000025
表示对抗样本中的第j个点,通过最小化对抗样本与目标模板之间的距离,优化对抗样本与目标模板之间的视觉差距,使肉眼不会察觉到攻击;
综合置信度损失与特征损失,得到攻击损失函数如下:
Figure FDA0004137807240000026
其中α,β分别表示置信度损失
Figure FDA0004137807240000027
与特征损失/>
Figure FDA0004137807240000028
的预设权重。
2.根据权利要求1所述的面向三维目标跟踪模型的点扰动对抗攻击方法,其特征在于,所述步骤S3中使用初始化扰动添加到目标模板生成初始的对抗样本具体包括:
给定目标模板
Figure FDA0004137807240000031
其中t表示目标模板中点的总个数,3表示目标模板中每个点的XYZ三维坐标,/>
Figure FDA0004137807240000032
表示实数集;点扰动对抗攻击通过扰动改变目标模板中点的三维坐标生成对抗样本如公式(1)所示:
Figure FDA0004137807240000033
其中xi,yi,zi表示目标模板第i个点的三维坐标;Δxi,Δyi,Δzi表示随机生成的目标模板第i个点的初始化点扰动;x′i,y′i,z′i表示针对目标模板第i个点生成的初始的对抗样本的三维坐标。
3.根据权利要求2所述的面向三维目标跟踪模型的点扰动对抗攻击方法,其特征在于,所述步骤S4中对三维目标跟踪模型输入对抗样本与搜索区域得到特征描述、候选区域以及候选区域的置信度具体包括:
被攻击的三维目标跟踪模型采用PointNet++作为特征提取骨干网络分别提取对抗样本与搜索区域点云数据的特征描述φ(Pattack)与φ(Psea),其中φ(·)表示采用特征提取骨干网络提取特征描述的函数;再根据所述三维目标跟踪模型的三维目标提案得到候选区域集合
Figure FDA0004137807240000034
以及每一个候选区域的置信度C(hj′),其中hj′表示第j′个候选区域,n表示候选区域的总个数,三维目标跟踪模型最终的预测结果是置信度最高的候选区域。
4.根据权利要求3所述的面向三维目标跟踪模型的点扰动对抗攻击方法,其特征在于,所述正态分布满足均值为0,标准差为0.001。
5.根据权利要求4所述的面向三维目标跟踪模型的点扰动对抗攻击方法,其特征在于,所述k=100,λ=6,α=1,β=0.4。
CN202111072985.5A 2021-09-14 2021-09-14 面向三维目标跟踪模型的点扰动对抗攻击方法 Expired - Fee Related CN113808165B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111072985.5A CN113808165B (zh) 2021-09-14 2021-09-14 面向三维目标跟踪模型的点扰动对抗攻击方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111072985.5A CN113808165B (zh) 2021-09-14 2021-09-14 面向三维目标跟踪模型的点扰动对抗攻击方法

Publications (2)

Publication Number Publication Date
CN113808165A CN113808165A (zh) 2021-12-17
CN113808165B true CN113808165B (zh) 2023-06-13

Family

ID=78895281

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111072985.5A Expired - Fee Related CN113808165B (zh) 2021-09-14 2021-09-14 面向三维目标跟踪模型的点扰动对抗攻击方法

Country Status (1)

Country Link
CN (1) CN113808165B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114387647B (zh) * 2021-12-29 2023-04-28 北京瑞莱智慧科技有限公司 对抗扰动生成方法、装置及存储介质
CN115081643B (zh) * 2022-07-20 2022-11-08 北京瑞莱智慧科技有限公司 对抗样本生成方法、相关装置及存储介质
CN115511910B (zh) * 2022-08-22 2024-01-12 电子科技大学长三角研究院(湖州) 面向视频跟踪的对抗攻击方法、系统、介质、设备及终端

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108731587A (zh) * 2017-04-14 2018-11-02 中交遥感载荷(北京)科技有限公司 一种基于视觉的无人机动态目标跟踪与定位方法
CN110941996A (zh) * 2019-11-04 2020-03-31 深圳市唯特视科技有限公司 一种基于生成对抗网络的目标及轨迹增强现实方法和系统
CN111627044A (zh) * 2020-04-26 2020-09-04 上海交通大学 基于深度网络的目标追踪攻击与防御方法
CN111914946A (zh) * 2020-08-19 2020-11-10 中国科学院自动化研究所 针对离群点移除方法的对抗样本生成方法、系统和装置
CN112258565A (zh) * 2019-07-22 2021-01-22 华为技术有限公司 图像处理方法以及装置
AU2021100474A4 (en) * 2021-01-25 2021-04-15 Zhengyi WANG Adversary Distillation for one-shot attacks on 3D target tracking
CN112819960A (zh) * 2021-02-01 2021-05-18 电子科技大学 一种对抗性点云生成方法、存储介质和终端
CN112884802A (zh) * 2021-02-24 2021-06-01 电子科技大学 一种基于生成的对抗攻击方法
CN112927211A (zh) * 2021-03-09 2021-06-08 电子科技大学 一种基于深度三维检测器的通用对抗攻击方法、存储介质和终端
CN113361565A (zh) * 2021-05-14 2021-09-07 浙江工业大学 一种针对激光雷达的对抗样本生成方法和系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108731587A (zh) * 2017-04-14 2018-11-02 中交遥感载荷(北京)科技有限公司 一种基于视觉的无人机动态目标跟踪与定位方法
CN112258565A (zh) * 2019-07-22 2021-01-22 华为技术有限公司 图像处理方法以及装置
CN110941996A (zh) * 2019-11-04 2020-03-31 深圳市唯特视科技有限公司 一种基于生成对抗网络的目标及轨迹增强现实方法和系统
CN111627044A (zh) * 2020-04-26 2020-09-04 上海交通大学 基于深度网络的目标追踪攻击与防御方法
CN111914946A (zh) * 2020-08-19 2020-11-10 中国科学院自动化研究所 针对离群点移除方法的对抗样本生成方法、系统和装置
AU2021100474A4 (en) * 2021-01-25 2021-04-15 Zhengyi WANG Adversary Distillation for one-shot attacks on 3D target tracking
CN112819960A (zh) * 2021-02-01 2021-05-18 电子科技大学 一种对抗性点云生成方法、存储介质和终端
CN112884802A (zh) * 2021-02-24 2021-06-01 电子科技大学 一种基于生成的对抗攻击方法
CN112927211A (zh) * 2021-03-09 2021-06-08 电子科技大学 一种基于深度三维检测器的通用对抗攻击方法、存储介质和终端
CN113361565A (zh) * 2021-05-14 2021-09-07 浙江工业大学 一种针对激光雷达的对抗样本生成方法和系统

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
Chong Xiang等.Generating 3D Adversarial Point Clouds.Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR), 2019.2020,9136-9144. *
Daniel Liu等.Extending Adversarial Attacks and Defenses to Deep 3D Point Cloud Classifiers.2019 IEEE International Conference on Image Processing (ICIP).2019,1-9. *
Yue Zhao等.On Isometry Robustness of Deep 3D Point Cloud Models Under Adversarial Attacks.Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR), 2020.2020,1201-1210. *
周隽凡等.SAR图像稀疏对抗攻击.信号处理.2021,第37卷(第09期),1633-1643. *
宿彤.深度神经网络的像素攻击算法研究.中国优秀硕士学位论文全文数据库 信息科技辑.2021,I138-650. *

Also Published As

Publication number Publication date
CN113808165A (zh) 2021-12-17

Similar Documents

Publication Publication Date Title
CN113808165B (zh) 面向三维目标跟踪模型的点扰动对抗攻击方法
CN110443203B (zh) 基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法
CN109948663B (zh) 一种基于模型抽取的步长自适应的对抗攻击方法
CN109858368B (zh) 一种基于Rosenbrock-PSO的人脸识别攻击防御方法
CN106295694B (zh) 一种迭代重约束组稀疏表示分类的人脸识别方法
Peng et al. A robust coverless steganography based on generative adversarial networks and gradient descent approximation
CN108520202A (zh) 基于变分球面投影的对抗鲁棒性图像特征提取方法
CN113642715B (zh) 自适应分配动态隐私预算的差分隐私保护深度学习算法
CN112883874A (zh) 针对深度人脸篡改的主动防御方法
Wang et al. SmsNet: A new deep convolutional neural network model for adversarial example detection
Liu et al. APSNet: Toward adaptive point sampling for efficient 3D action recognition
CN110569724A (zh) 一种基于残差沙漏网络的人脸对齐方法
CN116128024A (zh) 多视角对比自监督属性网络异常点检测方法
CN113935396A (zh) 基于流形理论的对抗样本攻击方法及相关装置
CN116503692A (zh) 基于稀疏扰动群的对抗样本生成方法及系统
CN114283265B (zh) 一种基于3d旋转建模的无监督人脸转正方法
Chen et al. Fresh tea sprouts detection via image enhancement and fusion SSD
Meng et al. High-capacity steganography using object addition-based cover enhancement for secure communication in networks
Duan et al. Dual attention adversarial attacks with limited perturbations
CN117152486A (zh) 一种基于可解释性的图像对抗样本检测方法
CN115510986A (zh) 一种基于AdvGAN的对抗样本生成方法
CN116030511A (zh) 一种基于ToF的三维人脸识别方法
Dong et al. Image multithreshold segmentation method based on improved Harris hawk optimization
Zhu et al. Adversarial attacks on kinship verification using transformer
Bai et al. DHRNet: A Dual-Branch Hybrid Reinforcement Network for Semantic Segmentation of Remote Sensing Images

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20230613