CN114266344A - 利用对抗补丁攻击神经网络视觉识别系统的方法和装置 - Google Patents

Abstract

本发明公开了一种利用对抗补丁攻击神经网络视觉识别系统的方法和装置。其中方法包括：获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；选取所述对抗样本集中任意一张图片，构造实体2D或3D对抗补丁；将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置，将对所述对抗区域拍摄得到的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一或第二深层神经网络视觉识别系统的对抗攻击。本发明提供的方法可应用于物理环境下，通过灵活运用对抗补丁，实现多维对抗攻击，同时攻击实现较为方便、成本较低、对于专业人员的要求较低。

Description

利用对抗补丁攻击神经网络视觉识别系统的方法和装置

技术领域

本申请涉及机器学习技术领域，特别是涉及一种利用对抗补丁攻击神经网络视觉识别系统的方法和装置。

背景技术

近年来的研究表明，先进的深层神经网络(DNNs)很容易受到对抗样本的攻击。在被检测物体中输入精心制作的小幅度的扰动，虽然这些扰动在人类视觉范围内不会造成明显影响，然而可以促使神经网络模型以较高的置信度作出错误的判断。与此同时，研究表明对抗样本存在“迁移性”，即通过一个深层神经网络模型生成的对抗样本，对未知的神经网络(参数未知，结构未知)也可以产生干扰，影响深度神经网络的识别结果。因此，攻击者不需要对被攻击的深层神经网络有深刻的了解，也可能成功对其进行攻击。研究者对对抗样本的攻击算法与防御算法的不断研究与优化，促使两种算法不断进步，从而大大提高了人工智能产品的安全性能，促进了人工智能的健康发展。

目前通过对抗样本对深层神经网络进行攻击主要有两种方式，即在整幅图像上全局添加扰动生成对抗样本，以及在图像特定区域局部添加扰动构造对抗补丁来生成对抗样本。在整幅图像上全局精心制作扰动的方法有基于梯度、基于优化、基于生成网络三种方式，这些传统方式生成的对抗样本与环境场景紧密不可分割，两者拥有较强的相关性。在物理世界中，例如自动驾驶的路标识别、人脸识别系统的刷脸支付，这些环境场景下，传统的方法是无法对背景环境添加扰动来生成对抗样本的。

对抗补丁是Brown等人首次提出的概念，即通过在整幅图像中的某一特定区域添加扰动促使深层神经网络产生误判。与传统在整幅图像上全局添加扰动的方式相比，对抗补丁与环境场景相对独立，具有更大的灵活性，因此往往能够有更多的应用。

并且近年来的对抗样本的研究，大多集中在实验环境层面的图像域，而对于现实的物理环境中的深层神经网络的对抗攻击，依然缺乏应用方便并且有效的攻击方法，并且现有的攻击方法攻击代价较大。

发明内容

基于此，针对上述技术问题，本发明实施例提供了一种利用对抗补丁攻击神经网络视觉识别系统的方法和装置。

为了达到上述发明目的，本发明实施例采用以下技术方案：

第一方面，提供了一种利用对抗补丁攻击神经网络视觉识别系统的方法，所述方法包括：

步骤一，获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

步骤二，选取所述对抗样本集中任意一张图片，构造实体2D或3D对抗补丁；

步骤三，将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置，将对所述对抗区域拍摄得到的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

优选地，步骤一中所述的第一深层神经网络视觉识别系统是神经网络分类模型ResNet50，所述对抗样本生成方法是PGD对抗攻击算法，所述算法的迭代次数设定为50。

进一步地，步骤二中，构造实体2D对抗补丁，是根据选取的图片，采用2D物体实体化方法得到实体2D对抗补丁；构造实体3D对抗补丁包括：根据选取的图片，采用3D建模方法构造3D模型，然后将所述3D模型通过人工实体制造的方法实体化，得到实体3D对抗补丁。

优选地，所述2D物体实体化方法包括印刷、喷绘或贴纸的方法；所述3D建模方法是多边形建模方法，所述人工实体制造的方法为3D打印机打印或依据建筑物的构造方法进行搭建的方法。

可选地，步骤三中所述的对所述对抗区域拍摄得到的图片，是通过人工使用相机拍照获得的或者是通过卫星拍照获得的。

进一步地，在步骤三之后，所述方法还包括：

步骤四，将所述实体2D或3D对抗补丁映射回原始2D空间，得到相应的对抗补丁图片，并调整映射后得到的对抗补丁图片大小；

步骤五，将调整后得到的对抗补丁图片输入到所述第一深层神经网络视觉识别系统，验证对抗补丁的攻击效果和稳定性。

进一步地，所述步骤四具体包括：

将经过实体化得到的所述实体2D或3D对抗补丁，通过相机拍摄转换为图片形式，得到对抗补丁图片，并将所述图片大小调整为第一深层神经网络视觉识别系统指定的输入大小。

第二方面，提供了一种利用对抗补丁攻击神经网络视觉识别系统的装置，所述装置包括：

对抗样本集生成模块，用于获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

对抗补丁构造模块，用于选取所述对抗样本集中任意一张图片，构造实体2D或3D对抗补丁；

对抗攻击模块，用于将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置，将对所述对抗区域拍摄得到的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

第三方面，提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时执行以下步骤：

获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

选取并输出所述对抗样本集中任意一张图片，供用户构造实体2D或3D对抗补丁；

获取基于所述实体2D或3D对抗补丁重新拍摄的图片，所述重新拍摄的图片是将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置后，对所述对抗区域拍摄得到的；将所述重新拍摄的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时执行以下步骤：

获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

选取并输出所述对抗样本集中任意一张图片，供用户构造实体2D或3D对抗补丁；

获取基于所述实体2D或3D对抗补丁重新拍摄的图片，所述重新拍摄的图片是将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置后，对所述对抗区域拍摄得到的；将所述重新拍摄的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

本发明至少具有以下有益效果：

本发明基于对现有技术问题的进一步分析和研究，认识到现有的对抗攻击方法的对抗样本很少涉及三维空间，缺乏针对现实的物理环境下的深层神经网络的攻击方法；本发明实施例通过在获取原始样本集后，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，采用对抗样本生成方法获得对抗样本集，进而选取所述对抗样本集中任意一张图片，构造实体2D或3D对抗补丁，并将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置来进行对抗攻击，能够实现在物理环境下对神经网络视觉识别系统灵活的对抗攻击，同时攻击实现较为方便、成本较低、对于专业人员的要求较低。

附图说明

图1为本发明一个实施例提供的一种利用对抗补丁攻击神经网络视觉识别系统的方法的步骤流程示意图；

图2为本发明一个实施例提供的一种利用对抗补丁攻击神经网络视觉识别系统的方法的其他步骤流程示意图；

图3为本发明一个实施例中一种利用对抗补丁攻击神经网络视觉识别系统的方法的整体流程示意图；

图4为本发明一个实施例提供的一种利用对抗补丁攻击神经网络视觉识别系统的装置的模块架构框图；

图5为本发明一个实施例提供的一种利用对抗补丁攻击神经网络视觉识别系统的装置的其他模块架构框图；

图6为本发明一个实施例提供的一种计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

实施例一：

在本实施例中，如图1所示，提供了一种利用对抗补丁攻击神经网络视觉识别系统的方法，所述方法包括以下步骤：

步骤S101，获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

步骤S102，选取所述对抗样本集中任意一张图片，构造实体2D或3D对抗补丁；

步骤S103，将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置，将对所述对抗区域拍摄得到的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

具体地，步骤S101中所述的原始样本集可采用已知的图像分类数据集，例如ImageNet、CIFAR100、Caltech256等。

具体地，步骤S101中所述的第一深层神经网络视觉识别系统是神经网络分类模型ResNet50，所述对抗样本生成方法是PGD(Project Gradient Descent)对抗攻击算法，PGD攻击算法是一种迭代攻击算法，所述算法的迭代次数设定为50。

当然，所述的第一深层神经网络视觉识别系统也可以是其他神经网络模型；所述对抗样本生成方法也不限于PGD攻击算法，也可以是BIM、JSMA等对抗攻击算法；所述算法的迭代次数也不限于50。

具体地，步骤S102中，构造实体2D对抗补丁，是根据选取的图片，采用2D物体实体化方法得到实体2D对抗补丁；构造实体3D对抗补丁包括：根据选取的图片，采用3D建模方法构造3D模型，然后将所述3D模型通过人工实体制造的方法实体化，得到实体3D对抗补丁。

进一步地，所述2D物体实体化方法包括印刷、喷绘、贴纸的方法，也就是通过印刷、喷绘、贴纸的方式，将选取的电子对抗样本图片转换为物理实体形式。所述3D建模方法是多边形建模方法；所述人工实体制造的方法为3D打印机打印或依据建筑物的构造方法进行搭建的方法，从而将3D模型物理实体化。

进一步地，步骤S103中所述的对所述对抗区域拍摄得到的图片，是通过人工使用相机拍照获得的或者是通过卫星拍照获得的。

进一步来说，实现对第一深层神经网络视觉识别系统的对抗攻击时，因为攻击系统和产生对抗样本的系统是相同的，不需考虑对抗样本的迁移性；而如果是对第二深层神经网络视觉识别系统的进行对抗攻击，为了保证能成功进行攻击，需要考虑对抗样本的可迁移性，因此第二深层神经网络视觉识别系统需要与第一深层神经网络视觉识别系统具有相同的功能和相似的网络架构块，目前主流的分类模型大都可满足这个条件。

举例来说，若产生对抗样本的第一深层神经网络视觉识别系统是神经网络分类模型ResNet50，步骤S103中进行对抗攻击的深层神经网络视觉识别系统可以依然是该第一深层神经网络视觉识别系统，还可以是DN121[56]、VGG19[18]、RN152[55]、IncV3[60]、IncRNV2[61]、Xception[62]、NASNetL[63]等其他神经网络模型。

举例来说，在步骤S103中实现对抗攻击可以是这样的一个应用场景：将得到的实体2D或3D对抗补丁放置在某个游乐场中提前设定好的位置，通过卫星对该游乐场进行拍照，并将得到的图片输入到针对航拍照片的分类识别系统，此时所述分类识别系统会对该照片作出错误的分类，例如不会识别到拍摄场所是游乐场，而是将拍摄场所识别为学校等其他场所。

进一步地，如图2所示，在步骤S103之后，所述方法还包括：

步骤S104，将所述实体2D或3D对抗补丁映射回原始2D空间，得到相应的对抗补丁图片，并调整映射后得到的对抗补丁图片大小；

步骤S105，将调整后得到的对抗补丁图片输入到所述第一深层神经网络视觉识别系统，验证对抗补丁的攻击效果和稳定性。

进一步地，步骤S104具体包括：

将经过实体化得到的所述实体2D或3D对抗补丁，通过相机拍摄转换为图片形式，得到对抗补丁图片，并将得到的对抗补丁图片大小调整为第一深层神经网络视觉识别系统指定的输入大小。换一种说法，也就是通过步骤S104，能够将实体的2D或3D对抗补丁转换回电子图片的形式。另外，在通过相机拍摄时要减少对实体2D或3D对抗补丁所处的物理环境内容的拍摄，尽可能只拍摄到所述2D或3D对抗补丁。

进一步地，在步骤S105中，将调整后得到的对抗补丁图片输入到所述第一深层神经网络视觉识别系统，也就是验证：在将实体对抗补丁还原为步骤S102中用于构造该对抗补丁的对抗样本图片后，还原得到的对抗样本图片是否依然还具有对抗攻击的效果。

整体上来说，上述方法的整体流程如图3所示。

本发明实施例通过在获取原始样本集后，将原始样本集作为深层神经网络视觉识别系统的输入，采用对抗样本生成方法获得对抗样本集，进而选取所述对抗样本集中任意一张图片，构造实体2D或3D对抗补丁，并将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置来进行对抗攻击，能够实现在物理环境下的灵活的对抗攻击。本发明实施例提供的方法可应用于物理环境下，通过灵活运用对抗补丁，实现多维对抗攻击，例如针对航拍照片的分类识别系统，自动驾驶下的路标自动识别系统的攻击等应用场景。同时攻击实现较为方便、成本较低、对于专业人员的要求较低。另外本发明还提升了目标扫描以及攻击利用的效率，使得网络攻击能够做到快速精准打击，使网络攻击更加智能化。

应该理解的是，虽然图1-3的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1-3中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

实施例二：

在本实施例中，如图4所示，提供了一种利用对抗补丁攻击神经网络视觉识别系统的装置400，所述装置包括以下程序模块：

对抗样本集生成模块401，用于获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

对抗补丁构造模块402，用于选取所述对抗样本集中任意一张图片，构造实体2D或3D对抗补丁；

对抗攻击模块403，用于将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置，将对所述对抗区域拍摄得到的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

具体地，对抗样本集生成模块401中所述的原始样本集可采用已知的图像分类数据集，例如ImageNet、CIFAR100、Caltech256等。

具体地，对于对抗样本集生成模块401，所述的第一深层神经网络视觉识别系统是神经网络分类模型ResNet50，所述对抗样本生成方法是PGD(Project Gradient Descent)对抗攻击算法，PGD攻击算法是一种迭代攻击算法，所述算法的迭代次数设定为50。

当然，所述的第一深层神经网络视觉识别系统也可以是其他神经网络模型；所述对抗样本生成方法也不限于PGD攻击算法，也可以是BIM、JSMA等对抗攻击算法；所述算法的迭代次数也不限于50。

具体地，对于对抗补丁构造模块402，构造实体2D对抗补丁，是根据选取的图片，采用2D物体实体化方法得到实体2D对抗补丁；构造实体3D对抗补丁包括：根据选取的图片，采用3D建模方法构造3D模型，然后将所述3D模型通过人工实体制造的方法实体化，得到实体3D对抗补丁。

进一步地，所述2D物体实体化方法包括印刷、喷绘、贴纸的方法，也就是通过印刷、喷绘、贴纸的方式，将选取的电子对抗样本图片转换为物理实体形式。所述3D建模方法是多边形建模方法；所述人工实体制造的方法为3D打印机打印或依据建筑物的构造方法进行搭建的方法，从而将3D模型物理实体化。

进一步地，对于对抗攻击模块403，所述的对所述对抗区域拍摄得到的图片，是通过人工使用相机拍照获得的或者是通过卫星拍照获得的。

进一步来说，实现对第一深层神经网络视觉识别系统的对抗攻击时，因为攻击系统和产生对抗样本的系统是相同的，不需考虑对抗样本的迁移性；而如果是对第二深层神经网络视觉识别系统的进行对抗攻击，为了保证能成功进行攻击，需要考虑对抗样本的可迁移性，因此第二深层神经网络视觉识别系统需要与第一深层神经网络视觉识别系统具有相同的功能和相似的网络架构块，目前主流的分类模型大都可满足这个条件。

举例来说，若产生对抗样本的第一深层神经网络视觉识别系统是神经网络分类模型ResNet50，步骤S103中进行对抗攻击的深层神经网络视觉识别系统可以依然是该第一深层神经网络视觉识别系统，还可以是DN121[56]、VGG19[18]、RN152[55]、IncV3[60]、IncRNV2[61]、Xception[62]、NASNetL[63]等其他神经网络模型。

举例来说，对于对抗攻击模块403，实现对抗攻击可以是这样的一个应用场景：将得到的实体2D或3D对抗补丁放置在某个游乐场中提前设定好的位置，通过卫星对该游乐场进行拍照，并将得到的图片输入到针对航拍照片的分类识别系统，此时所述分类识别系统会对该照片作出错误的分类，例如不会识别到拍摄场所是游乐场，而是将拍摄场所识别为学校等其他场所。

进一步地，如图5所示，所述装置还包括以下程序模块：

对抗补丁映射模块404，用于将所述实体2D或3D对抗补丁映射回原始2D空间，得到相应的对抗补丁图片，并调整映射后得到的对抗补丁图片大小

对抗补丁验证模块405，用于将调整后得到的对抗补丁图片输入到所述第一深层神经网络视觉识别系统，验证对抗补丁的攻击效果和稳定性。

进一步地，对抗补丁映射模块404具体实现过程包括：

将经过实体化得到的所述实体2D或3D对抗补丁，通过相机拍摄转换为图片形式，得到对抗补丁图片，并将得到的对抗补丁图片大小调整为第一深层神经网络视觉识别系统指定的输入大小。换一种说法，也就是通过步骤S104，能够将实体的2D或3D对抗补丁转换回电子图片的形式。另外，在通过相机拍摄时要减少对实体2D或3D对抗补丁所处的物理环境内容的拍摄，尽可能只拍摄到所述2D或3D对抗补丁。

进一步地，对于对抗补丁验证模块405，将调整后得到的对抗补丁图片输入到所述第一深层神经网络视觉识别系统，也就是验证：在将实体对抗补丁还原为步骤S102中用于构造该对抗补丁的对抗样本图片后，还原得到的对抗样本图片是否依然还具有对抗攻击的效果。

本实施例的技术效果与实施例一一致，在此不作赘述。

上述一种利用对抗补丁攻击神经网络视觉识别系统的装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

实施例三：

在本实施例中，如图6所示，提供了一种计算机设备，该计算机设备可以是终端。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。

所述处理器执行所述计算机程序时执行以下步骤：

获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

选取并输出所述对抗样本集中任意一张图片，供用户构造实体2D或3D对抗补丁；

获取基于所述实体2D或3D对抗补丁重新拍摄的图片，所述重新拍摄的图片是将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置后，对所述对抗区域拍摄得到的；将所述重新拍摄的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图6中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

实施例四：

在本实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时执行以下步骤：

获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

选取并输出所述对抗样本集中任意一张图片，供用户构造实体2D或3D对抗补丁；

获取基于所述实体2D或3D对抗补丁重新拍摄的图片，所述重新拍摄的图片是将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置后，对所述对抗区域拍摄得到的；将所述重新拍摄的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种利用对抗补丁攻击神经网络视觉识别系统的方法，其特征在于，所述方法包括：

步骤一，获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

步骤二，选取所述对抗样本集中任意一张图片，构造实体2D或3D对抗补丁；

步骤三，将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置，将对所述对抗区域拍摄得到的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

2.根据权利要求1所述的利用对抗补丁攻击神经网络视觉识别系统的方法，其特征在于，步骤一中所述的第一深层神经网络视觉识别系统是神经网络分类模型ResNet50，所述对抗样本生成方法是PGD对抗攻击算法，所述算法的迭代次数设定为50。

3.根据权利要求1所述的利用对抗补丁攻击神经网络视觉识别系统的方法，其特征在于，步骤二中，构造实体2D对抗补丁，是根据选取的图片，采用2D物体实体化方法得到实体2D对抗补丁；构造实体3D对抗补丁包括：根据选取的图片，采用3D建模方法构造3D模型，然后将所述3D模型通过人工实体制造的方法实体化，得到实体3D对抗补丁。

4.根据权利要求3所述的利用对抗补丁攻击神经网络视觉识别系统的方法，其特征在于，所述2D物体实体化方法包括印刷、喷绘或贴纸的方法；所述3D建模方法是多边形建模方法，所述人工实体制造的方法为3D打印机打印或依据建筑物的构造方法进行搭建的方法。

5.根据权利要求1所述的利用对抗补丁攻击神经网络视觉识别系统的方法，其特征在于，步骤三中所述的对所述对抗区域拍摄得到的图片，是通过人工使用相机拍照获得的或者是通过卫星拍照获得的。

6.根据权利要求1所述的利用对抗补丁攻击神经网络视觉识别系统的方法，其特征在于，在步骤三之后，所述方法还包括：

步骤四，将所述实体2D或3D对抗补丁映射回原始2D空间，得到相应的对抗补丁图片，并调整映射后得到的对抗补丁图片大小；

步骤五，将调整后得到的对抗补丁图片输入到所述第一深层神经网络视觉识别系统，验证对抗补丁的攻击效果和稳定性。

7.根据权利要求6所述的利用对抗补丁攻击神经网络视觉识别系统的方法，其特征在于，所述步骤四具体包括：

将经过实体化得到的所述实体2D或3D对抗补丁，通过相机拍摄转换为图片形式，得到对抗补丁图片，并将所述图片大小调整为第一深层神经网络视觉识别系统指定的输入大小。

8.一种利用对抗补丁攻击神经网络视觉识别系统的装置，其特征在于，所述装置包括：

对抗样本集生成模块，用于获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

对抗补丁构造模块，用于选取所述对抗样本集中任意一张图片，构造实体2D或3D对抗补丁；

对抗攻击模块，用于将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置，将对所述对抗区域拍摄得到的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时执行以下步骤：

获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

选取并输出所述对抗样本集中任意一张图片，供用户构造实体2D或3D对抗补丁；

获取基于所述实体2D或3D对抗补丁重新拍摄的图片，所述重新拍摄的图片是将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置后，对所述对抗区域拍摄得到的；将所述重新拍摄的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时执行以下步骤：

获取原始样本集，将所述原始样本集作为第一深层神经网络视觉识别系统的输入，并采用对抗样本生成方法，获得对抗样本集；

选取并输出所述对抗样本集中任意一张图片，供用户构造实体2D或3D对抗补丁；

获取基于所述实体2D或3D对抗补丁重新拍摄的图片，所述重新拍摄的图片是将所述实体2D或3D对抗补丁放置在现实物理环境下的对抗区域的设定位置后，对所述对抗区域拍摄得到的；将所述重新拍摄的图片输入到第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统，实现对第一深层神经网络视觉识别系统或第二深层神经网络视觉识别系统的对抗攻击。

Images