WO2022083599A1

WO2022083599A1 - 基于声波的图像对抗样本生成方法及系统

Info

Publication number: WO2022083599A1
Application number: PCT/CN2021/124791
Authority: WO
Inventors: 冀晓宇; 徐文渊; 程雨诗; 张月鹏; 王凯; 闫琛
Original assignee: 浙江大学
Priority date: 2020-10-20
Filing date: 2021-10-19
Publication date: 2022-04-28
Also published as: CN112333402A; US20220215652A1; CN112333402B

Abstract

本发明公开了一种基于声波的图像对抗样本生成方法及系统。该方法包括：获取包含目标物体或目标场景的图片；针对所获取的图片，使用声波对抗样本仿真模型来生成对目标机器视觉系统中深度学习算法具有对抗作用的仿真图像样本；使用对抗样本优化方法优化所生成的仿真图像样本，获得最优的对抗样本以及对应的对抗参数；使用惯性传感器读数注入方法，将所述对抗参数通过声波的方式注入到所述目标机器视觉系统的惯性传感器中，使所述对抗参数成为传感器读数，该传感器读数将引起所述目标机器视觉系统中的图像防抖模块工作，以在生成的真实图片中产生特定的模糊图案，从而生成物理世界中的图像对抗样本。

Description

基于声波的图像对抗样本生成方法及系统

本申请要求于2020年10月20日提交的申请号为202011124293.6的中国发明专利申请的优先权，该申请通过引用全部并入本文。

技术领域

本发明属于人工智能领域，涉及一种基于声波的图像对抗样本生成方法及系统。

背景技术

随着人工智能技术的不断发展，机器视觉在现代智能系统中广泛应用，如智能机器人、自动驾驶汽车等。机器视觉利用摄像头拍摄智能系统周围环境信息，并使用深度学习算法对图像中包含的物体进行检测和识别，从而达到感知环境的目的。由于机器视觉的感知结果通常作为智能系统后续决策的信息来源，机器视觉感知结果的安全性至关重要。

近些年来，针对图像对抗样本的研究日益增多。图像对抗样本指的是可以干扰机器视觉感知结果的样本，研究图像对抗样本对保障机器系统以及智能系统的安全性具有重要指导意义。当前，针对图像对抗样本的研究主要集中于数字域，即直接修改数字图像的像素值来构造图像对抗样本。尽管该方法构造的图像对抗样本通常具有较好的对抗效果，但在实际系统中较难应用。此外，当前也存在基于物理域的图像对抗样本的构造方法，但通常需要修改目标物体的外表或向摄像头中注入光线，因此隐蔽性欠佳。。

发明内容

根据本申请的一方面，提供一种基于声波的图像对抗样本生成方法，该方法包括以下步骤：

获取包含目标物体或目标场景的图片；

针对所获取的图片，使用声波对抗样本仿真模型，生成对目标机器视觉系统中深度学习算法具有对抗作用的仿真图像样本；

使用对抗样本优化方法优化所生成的仿真图像样本，获得最优的对抗样本以及对应的对抗参数；以及

使用惯性传感器读数注入方法，将上述得到的对抗参数通过声波的方式注入到目标机器视觉系统的惯性传感器中，使对抗参数成为传感器读数，该读数将引起目标机器视觉系统中的图像防抖模块工作，在生成的真实图片中产生特定的模糊图案，从而生成物理世界中的图像对抗样本。

在一些实施例中，声波对抗样本仿真模型的构建包括以下三个步骤：

(1)虚假摄像头运动建模。假设由于声波攻击造成的虚假惯性传感器读数为M _f＝{a _x,a _y,a _z,ω _r,ω _p,ω _y}，其中a _x,a _y,a _z分别为加速度计x,y,z轴的虚假加速度读数，ω _r,ω _p,ω _y分别为陀螺仪roll,pitch,yaw轴的虚假角速度读数。假设图像防抖模块可以进行完全的补偿，此时，由于声波攻击导致的虚假摄像头运动为M _c＝{-a _x,-a _y,-a _z,-ω _r,-ω _p,-ω _y}。从以上六个维度中的加速度计x,y,z轴和陀螺仪roll轴这四个维度来构建声波对抗样本仿真模型。

(2)像素运动建模。虚假摄像头运动将导致目标物体或目标场景的成像位置不同，从而导致输出图片中像素发生运动。

针对加速度计x轴维度，对于图片中任意像素点，虚假摄像头运动-a _x将在成像过程中造成相反方向

的像素位移，其中f为摄像头焦距，u为目标物体或目标场景物距，T为摄像头曝光时间；

针对加速度计y轴维度，对于图片中任意像素点，虚假摄像头运动-a _y将在成像过程中造成相反方向

的像素位移；

针对加速度计z轴维度，对于图片中的任意像素点，虚假摄像头运动-a _z将在成像过程中造成该像素点朝远离画面中心方向

的位移，其中r _o为该像素点与画面中心的距离；

针对陀螺仪roll轴维度，对于图片中的任意像素点，虚假摄像头运动-ω _r将在成像过程中造成该像素点朝相反方向ω _rTr _c的位移，其中r _c为该像素点与角速度旋转中心的距离。

(3)图像模糊建模。成像过程中的像素运动将导致图像模糊。特别地，加速度计x轴和y轴维度的虚假摄像头运动，造成线性像素运动，导致线性图像模糊；加速度计z轴维度的虚假摄像头运动，造成径向像素运动，导致径向图像模糊；陀螺仪roll轴维度的虚假摄像头运动，造成旋转像素运动，导致旋转图像模糊。为上述模糊构建统一的图像模糊模型如下：

[i′(k),j′(k)] ^T＝[u(k),v(k)] ^T+[i,j] ^T

β＝ω _rT

r _c＝‖(i,j),(c ₀,c ₁)‖ ₂

r _o＝‖(i,j),(o ₀,o ₁)‖ ₂

其中，X为原始图像，B为模糊后图像，(i,j)为像素点坐标，B(i,j)为模糊后图像中坐标为(i,j)的像素点，n为离散点数，(c ₀,c ₁)为图像中心坐标，(o ₀,o ₁)为旋转中心坐标。使用上述虚假摄像头运动建模、像素运动建模和图像模糊建模的模型，可以获得在不同对抗参数下的仿真对抗图像样本。

在一些实施例中，使用对抗样本优化方法优化所生成的仿真图像样本以获得最优的对抗样本以及对应的对抗参数包括以下以下步骤：

(1)优化函数设计。针对不同类型的对抗图像样本，设计不同的优化函数。考虑三种具有不同效果的对抗图像样本。第一种为具有隐藏效果的对抗图像样本，该类样本可以使得深度学习算法无法识别目标物体；第二种为具有创造效果的对抗图像样本，该类样本可以在当前图像中创造一个可被深度学习算法检测的目标物体；第三种为具有改变效果的对抗图像样本，该类样本可以使得深度学习算法将目标物体检测为其他物体。

针对具有隐藏效果的对抗图像样本，其优化函数为：

s.t.|a _x+a _y+a _z|<ε ₁

|ω _r|<ε ₂

其中，p为目标物体的编号，

为深度学习算法输出的目标物体区域检测置信度，

为深度学习算法输出的目标物体类别检测置信度，w ₁和w ₂为平衡对抗图像样本有效性和样本生成成本的权重值，ε ₁和ε ₂为声波对加速度计和陀螺仪读数影响的上限；

针对具有创造效果的对抗图像样本，其优化函数为：

s.t.|a _x+a _y+a _z|<ε ₁

|ω _r|<ε ₂

其中，o为待创造的目标物体的编号，C _o＝T为待创造的目标物体的类别，

为深度学习算法输出的待创造目标物体区域检测置信度，

为深度学习算法输出的待创造目标物体类别检测置信度，p为图像中已有物体的编号，m为图像中已有物体的数量，Uop为待创造物体O的区域与已有物体p的区域的交并比，w ₃和w ₄为平衡对抗图像样本有效性和样本生成成本的权重值，ε ₁和ε ₂为声波对加速度计和陀螺仪读数影响的上限；

针对具有改变效果的对抗图像样本，其优化函数为：

s.t.|a _x+a _y+a _z|<ε ₁

|ω _r|<ε ₂

其中，p为目标物体的编号，

为深度学习算法输出的修改后的目标物体区域检测置信度，

为深度学习算法输出的修改后的目标物体类别检测置信度，C _p′＝T为修改后的目标物体的类别，Upp′为修改前目标物体p的区域与修改后目标物体p′的区域的交并比，w ₅和w ₆为平衡对抗图像样本有效性和样本生成成本的权重值，ε ₁和ε ₂为声波对加速度计和陀螺仪读数影响的上限。

(2)优化函数求解。针对上述优化函数，使用贝叶斯优化法求解最佳对抗参数。

在一些实施例中，惯性传感器注入方法包括以下步骤：

通过频率扫描，找到目标机器视觉系统中惯性传感器的共振频率；

通过调整声波共振频率，在模电转换器中引入直流分量，稳定传感器输出；以及

通过调幅调制，对传感器输出波形进行整形，使得传感器读数逼近对抗参数。

通过以上步骤，可以将针对目标对象的最优对抗参数，通过声波的方式注入到目标机器视觉系统的惯性传感器中，使其成为传感器读数，该读数将引起目标机器视觉系统中的图像防抖模块工作，以在生成的真实图片中产生特定的模糊图案，从而生成物理世界中的图像对抗样本。

根据本申请的另一方面，还提供一种基于声波的图像对抗样本生成系统，该系统包括声波对抗仿真模块、对抗样本优化模块、传感器读数注入模块；

所述声波对抗仿真模块用于虚假摄像头运动建模、像素运动建模和图像模糊建模；

所述对抗样本优化模块用于优化函数设计和优化函数求解；

所述传感器读数注入模块用于共振频率搜索、虚假读数稳定、虚假读数整形；

该系统利用上述模块来来实现上述基于声波的图像对抗样本生成方法。

根据本申请的另一方面，还提供一种基于声波的图像对抗样本生成系统，其特征在于，该系统包括：

用于获取包含目标物体或目标场景的图片的装置；

用于针对所获取的图片，使用声波对抗样本仿真模型来生成对目标机器视觉系统中深度学习算法具有对抗作用的仿真图像样本的装置；

用于使用对抗样本优化方法优化所生成的仿真图像样本以获得最优的对抗样本以及对应的对抗参数的装置；

用于使用惯性传感器读数注入方法，将所述对抗参数通过声波的方式注入到所述目标机器视觉系统的惯性传感器中，使所述对抗参数成为传感器读数的装置，所述传感器读数将引起所述目标机器视觉系统中的图像防抖模块工作，以在生成的真实图片中产生特定的模糊图案，从而生成物理世界中的图像对抗样本。

存储器，用于存储指令；以及

处理器，所述处理器执行所述存储器中所存储的指令，以执行如上所述的基于声波的图像对抗样本生成方法。

根据本申请的另一方面，还提供一种非暂态计算机可读存储介质，存储有指令，所述指令在被处理器运行时使得所述处理器执行如上所述的基于声波的图像对抗样本生成方法。

相比于现有对抗样本构造方法，本发明提出的基于声波的图像对抗样本生成方法具有较好的实用性和隐蔽性，为图像对抗样本的构造提供了新的思路，为机器学习安全分析与防护提供了新的指导。

附图说明

图1是示出根据本申请实施例的基于声波的图像对抗样本生成方法的流程图。

图2是示出根据本申请实施例的基于声波的图像对抗样本生成方法的更详细示意图。

图3是示出根据本申请实施例的基于声波的图像对抗样本生成系统的框图。

图4是示出根据本申请实施例的计算装置的框图。

具体实施方式

本申请提供一种基于声波的图像对抗样本生成方法及系统，该方法使用声波影响机器视觉系统中的惯性传感器读数，引起图像防抖模块错误补偿，造成图像模糊，从而构造三种不同类型的图像对抗样本。

该方法利用现有机器视觉系统中惯性传感器和深度学习算法的脆弱性，创新性地提出使用声波构造适用于物理世界的图像对抗样本，从而欺骗机器视觉系统。相比于现有基于数字域的图像对抗样本构造方法，本申请实施例提供的方法构造的图像对抗样本在真实物理世界中具有更强的适用性；相比于现有基于物理域的图像对抗样本构造方法，本申请实施例提供的方法无需修改物体的外表或向摄像头中注入光线，具有更好的隐蔽性。

下面结合实施例和说明书附图对本发明做进一步说明。

图1是示出根据本申请的实施例的基于声波的图像对抗样本生成方法的流程图。如图1所示，根据本申请的实施例的基于声波的图像对抗样本生成方法100，包括以下步骤：

S101，获取包含目标物体或目标场景的图片；

S102，针对上述图片，使用声波对抗样本仿真模型，生成对目标机器视觉系统中深度学习算法具有对抗作用的仿真图像样本；

S103，使用对抗样本优化方法优化上述仿真图像样本，获得最优的对抗样本以及对应的对抗参数；以及

S104，使用惯性传感器读数注入方法，将上述得到的对抗参数，通过声波的方式注入到目标机器视觉系统的惯性传感器中，使其成为传感器读数，该读数将引起目标机器视觉系统中的图像防抖模块工作，以在生成的真实图片中产生特定的模糊图案，从而生成物理世界中的图像对抗样本。

根据本申请实施例的基于声波的图像对抗样本生成方法的以上步骤，可以将针对目标对象的最优对抗参数，通过声波的方式注入到目标机器视觉系统的惯性传感器中，使其成为传感器读数，该读数将引起目标机器视觉系统中的图像防抖模块工作，在生成的真实图片中产生特定的模糊图案，从而生成物理世界中的图像对抗样本。

如图2所示，在一些实施例中，声波对抗样本仿真模型通过以下步骤来构建：

(1)虚假摄像头运动建模。现代机器视觉系统使用摄像头拍摄目标物体或场景，然后使用深度学习算法对图片进行处理，从而实现对周围环境的感知或目标检测等。为了提高感知和检测的准确率，现代机器视觉系统使用图像防抖进行补偿，从而降低由于摄像头抖动带来的图像模糊。由于图像防抖通常使用惯性传感器，即加速度计和陀螺仪，来估计摄像头的运动，且声波攻击可以对惯性传感器造成影响，使其读数改变，因此对于一个稳定的摄像头，声波攻击可以导致图像防抖进行错误补偿，从而反向导致图片模糊。假设由于声波攻击造成的虚假惯性传感器读数为M _f＝{a _x,a _y,a _z,ω _r,ω _p,ω _y}，其中a _x,a _y,a _z分别为加速度计x,y,z轴的虚假加速度读数，ω _r,ω _p,ω _y分别为陀螺仪roll,pitch,yaw轴的虚假角速度读数。假设图像防抖模块可以进行完全的补偿，此时，由于声波攻击导致的虚假摄像头运动为M _c＝{-a _x,-a _y,-a _z,-ω _r,-ω _p,-ω _y}。本发明主要考虑从以上六个维度中的加速度计x,y,z轴和陀螺仪roll轴这四个维度来构建声波对抗样本仿真模型。

(2)像素运动建模。虚假摄像头运动将导致目标物体或场景的成像位置不同，从而导致输出图片中像素发生运动。

的像素位移；

的位移，其中r _o为该像素点与画面中心的距离；

[i′(k),j′(k)] ^T＝[u(k),v(k)] ^T+[i,j] ^T

β＝ω _rT

r _c＝‖(i,j),(c ₀,c ₁)‖ ₂

r _o＝‖(i,j),(o ₀,o ₁)‖ ₂

其中，X为原始图像，B为模糊后图像，(i.j)为像素点坐标，B(i.j)为模糊后图像中坐标为(i.j)的像素点，n为离散点数，(c ₀,c ₁)为图像中心坐标，(o ₀,o ₁)为旋转中心坐标。使用上述模型，可以获得在不同对抗参数下的仿真对抗图像样本。

如图2所示，在一些实施例中中，对抗样本优化方法主要包括以下步骤：

(1)优化函数设计。针对不同类型的对抗图像样本，本发明设计不同的优化函数。本发明考虑三种具有不同效果的对抗图像样本。第一种为具有隐藏效果的对抗图像样本，该类样本可以使得深度学习算法无法识别目标物体；第二种为具有创造效果的对抗图像样本，该类样本可以在当前图像中创造一个可被深度学习算法检测的目标物体；第三种为具有改变效果的对抗图像样本，该类样本可以使得深度学习算法将目标物体检测为其他物体。

针对具有隐藏效果的对抗图像样本，其优化函数为：

s.t.|a _x+a _y+a _z|<ε ₁

|ω _r|<ε ₂

其中，p为目标物体的编号，

为深度学习算法输出的目标物体区域检测置信度，

针对具有创造效果的对抗图像样本，其优化函数为：

s.t.|a _x+a _y+a _z|<ε ₁

|ω _r|<ε ₂

为深度学习算法输出的待创造目标物体区域检测置信度，

针对具有改变效果的对抗图像样本，其优化函数为：

s.t.|a _x+a _y+a _z|<ε ₁

|ω _r|<ε ₂

其中，p为目标物体的编号，

为深度学习算法输出的修改后的目标物体区域检测置信度，

如图2所示，在一些实施例中，惯性传感器读数注入方法包括以下步骤：

(1)通过频率扫描，找到目标机器视觉系统中惯性传感器的共振频率；

(2)通过调整声波共振频率，在模电转换器中引入直流分量，稳定传感器输出；

(3)通过调幅调制，对传感器输出波形进行整形，使得传感器读数逼近对抗参数。

以上图示了根据本申请实施例的基于声波的图像对抗样本生成方法。下面描述根据本申请实施例的基于声波的图像对抗样本生成系统。图3示出了根据本申请实施例的基于声波的图像对抗样本生成系统300。

根据本申请实施例的基于声波的图像对抗样本生成系统300包括：声波对抗仿真模块301、对抗样本优化模块302、传感器读数注入模块303；

所述声波对抗仿真模块301用于虚假摄像头运动建模、像素运动建模和图像模糊建模；

所述对抗样本优化模块302用于优化函数设计和优化函数求解；

所述传感器读数注入模块303用于共振频率搜索、虚假读数稳定、虚假读数整形；

该系统利用上述模块301-303来来实现上述基于声波的图像对抗样本生成方法。

图4是示出根据本申请实施例的计算装置400的框图。上述基于声波的图像对抗样本生成方可以通过该计算装置400来实现。

如图所示，计算装置400可包括一个或多个处理器或处理器核心401和存储器402。对于本申请(包括权利要求书)而言，术语“处理器”和“处理器核心”可被视为同义词，除非上下文明确地另有要求。处理器401可包括任何类型的处理器，例如中央处理单元、微处理器，等等。处理器401可被实现为具有多核心的集成电路，例如，多核心微处理器。在实施例中，存储器402可以是系统存储器。计算装置400可包括大容量存储装置403(例如，磁盘、硬盘驱动器、易失性存储器(例如，动态随机访问存储器(dynamic random-access memory，DRAM)、致密盘只读存储器(compact disc read-only memory，CD-ROM)、数字多功能盘(digital versatile disk，DVD)，等等)。一般而言，存储器402和/或大容量存储装置403可以是任何类型的临时性和/或持久性存储，包括但不限于易失性和非易失性存储器、光学、磁性和/或固态大容量存储，等等。易失性存储器可包括但不限于静态和/或动态随机访问存储器。非易失性存储器可包括但不限于电可擦除可编程只读存储器、相变存储器、电阻式存储器，等等。

计算装置400还可包括输入/输出(I/O)装置404(例如，显示器(例如，触摸屏显示器)、键盘、光标控制、遥控器、游戏控制器、图像捕捉装置，等等)和通信接口405(例如网络接口卡、调制解调器、红外接收器、无线电接收器(例如，蓝牙)，等等)。通信接口405可包括通信芯片，其可被配置为与其他装置进行有线或无线通信。

上述计算装置400的元素可经由系统总线406相互耦合，系统总线406表示一个或多个总线。在多个总线的情况下，它们可由一个或多个总线桥(未示出)来桥接。这些元素的每一者可执行本领域中已知的其传统功能。具体地，可以采用存储器402和大容量存储装置403来存储用于装置400的操作的编程指令的工作拷贝和永久拷贝。各种元素可由(一个或多个)处理器401所支持的汇编指令或者可被编译成这种指令的高级别语言来实现。

编程指令的永久拷贝可在工厂被放入大容量存储装置403中，或者在现场通过例如分发介质(未示出)(比如致密盘(CD))，或者通过通信接口405来分发。也就是说，可以采用具有代理程序的实现的一个或多个分发介质来分发代理并且对各种计算装置进行编程。

在各种实现方式中，计算装置400可包括膝上型电脑、上网本、笔记本、超极本、智能电话、平板设备、个人数字助理(personal digital assistant，PDA)、超移动PC、移动电话或者数码相机的一个或多个组件。在另外的实现方式中，计算装置400可以是任何其他处理数据的电子装置。各种实施例可包括上述实施例的任何适当组合，包括上文以联合形式(和)描述的实施例的替换(或)实施例(例如，“和”可以是“和/或”)。此外，一些实施例可包括其上存储有指令的一个或多个制品(例如，非暂态计算机可读介质)，这些指令当被执行时导致上述实施例的任何一者的动作。另外，一些实施例可包括具有用于执行上述实施例的各种操作的任何适当装置的装置或系统。

以上对图示的实现方式的描述，包括在摘要中描述的那些，并不打算是详尽无遗的或者将本公开的实施例限制到所公开的精确形式。虽然本文为了说明而描述了特定实现方式和示例，但正如相关领域的技术人员将会认识到的，在本公开的范围内，各种等同的修改是可能的。

可以根据以上详细描述对本公开的实施例做出这些修改。所附权利要求中使用的术语不应当被解释为将本公开的各种实施例限制到在说明书和权利要求中公开的特定实现方式。更确切地说，范围完全由所附权利要求来确定，这些权利要求要根据已确立的权利要求解读准则来进行解释。

Claims

一种基于声波的图像对抗样本生成方法，其特征在于，该方法包括以下步骤：

获取包含目标物体或目标场景的图片；

针对所获取的图片，使用声波对抗样本仿真模型来生成对目标机器视觉系统中深度学习算法具有对抗作用的仿真图像样本；

使用对抗样本优化方法优化所生成的仿真图像样本，获得最优的对抗样本以及对应的对抗参数；

使用惯性传感器读数注入方法，将所述对抗参数，通过声波的方式注入到所述目标机器视觉系统的惯性传感器中，使所述对抗参数成为传感器读数，该传感器读数将引起所述目标机器视觉系统中的图像防抖模块工作，以在生成的真实图片中产生特定的模糊图案，从而生成物理世界中的图像对抗样本。
根据权利要求1所述的基于声波的图像对抗样本生成方法，其特征在于，所述声波对抗样本仿真模型的构建包括以下步骤：

(1)虚假摄像头运动建模；假设由于声波攻击造成的虚假惯性传感器读数为M _f＝{a _x,a _y,a _z,ω _r,ω _p,ω _y}，其中a _x,a _y,a _z分别为加速度计x,y,z轴的虚假加速度读数，ω _r,ω _p,ω _y分别为陀螺仪roll,pitch，,yaw轴的虚假角速度读数；假设所述图像防抖模块可以进行完全的补偿，此时，由于声波攻击导致的虚假摄像头运动为M _c＝{-a _x,-a _y,-a _z,-ω _r,-ω _p,-ω _y}；从以上六个维度中的加速度计x,y,z轴和陀螺仪roll轴这四个维度来构建所述声波对抗样本仿真模型；

(2)像素运动建模；虚假摄像头运动将导致所述目标物体或所述目标场景的成像位置不同，从而导致输出图片中像素发生运动；

针对加速度计x轴维度，对于图片中任意像素点，虚假摄像头运动-a _x将在成像过程中造成相反方向
的像素位移，其中f为摄像头焦距，u为目标物体或目标场景物距，T为摄像头曝光时间；

针对加速度计y轴维度，对于图片中任意像素点，虚假摄像头运动-a _y将在成像过程中造成相反方向
的像素位移；

针对加速度计z轴维度，对于图片中的任意像素点，虚假摄像头运动-a _z将在成像过程中造成该像素点朝远离画面中心方向
的位移，其中r _o为该像素点与画面中心的距离；

针对陀螺仪roll轴维度，对于图片中的任意像素点，虚假摄像头运动-ω _r将在成像过程中造成该像素点朝相反方向ω _rTr _c的位移，其中r _c为该像素点与角速度旋转中心的距离；

(3)图像模糊建模；成像过程中的像素运动将导致图像模糊，加速度计x轴和y轴维度的虚假摄像头运动，造成线性像素运动，导致线性图像模糊；加速度计z轴维度的虚假摄像头运动，造成径向像素运动，导致径向图像模糊；陀螺仪roll轴维度的虚假摄像头运动，造成旋转像素运动，导致旋转图像模糊；为上述模糊构建统一的图像模糊模型如下：

[i′(k),j′(k)] ^T＝[u(k),v(k)] ^T+[i,j] ^T

β＝ω _rT

r _c＝‖(i,j),(c ₀,c ₁)‖ ₂

r _o＝‖(i,j),(o ₀,o ₁)‖ ₂

其中，X为原始图像，B为模糊后图像，(i,j)为像素点坐标，B(i,j)为模糊后图像中坐标为(i,j)的像素点，n为离散点数，(c ₀,c ₁)为图像中心坐标，(o ₀,o ₁)为旋转中心坐标；

使用上述虚假摄像头运动建模、像素运动建模和图像模糊建模的模型，可以获得不同对抗参数下的所述仿真图像样本。
根据权利要求2所述的基于声波的图像对抗样本生成方法，其特征在于，所述使用对抗样本优化方法优化所生成的仿真图像样本包括以下步骤：

(1)优化函数设计，针对不同类型的对抗图像样本，设计不同的优化函数；考虑三种具有不同效果的对抗图像样本：第一种为具有隐藏效果的对抗图像样本，该类样本可以使得深度学习算法无法识别目标物体；第二种为具有创造效果的对抗图像样本，该类样本可以在当前图像中创造一个可被深度学习算法检测的目标物体；第三种为具有改变效果的对抗图像样本，该类样本可以使得深度学习算法将目标物体检测为其他物体；

针对具有隐藏效果的对抗图像样本，其优化函数为：

s.t.|a _x+a _y+a _z|<ε ₁

|ω _r|<ε ₂

其中，p为目标物体的编号，
为深度学习算法输出的目标物体区域检测置信度，
为深度学习算法输出的目标物体类别检测置信度，w ₁和w ₂为平衡对抗图像样本有效性和样本生成成本的权重值，ε ₁和ε ₂为声波对加速度计和陀螺仪读数影响的上限；

针对具有创造效果的对抗图像样本，其优化函数为：

s.t.|a _x+a _y+a _z|<ε ₁

|ω _r|<ε ₂

其中，o为待创造的目标物体的编号，C _o＝T为待创造的目标物体的类别，
为深度学习算法输出的待创造目标物体区域检测置信度，
为深度学习算法输出的待创造目标物体类别检测置信度，p为图像中已有物体的编号，m为图像中已有物体的数量，Uop为待创造物体o的区域与已有物体p的区域的交并比，w ₃和w ₄为平衡对抗图像样本有效性和样本生成成本的权重值，ε ₁和ε ₂为声波对加速度计和陀螺仪读数影响的上限；

针对具有改变效果的对抗图像样本，其优化函数为：

s.t.|a _x+a _y+a _z|<ε ₁

|ω _r|<ε ₂

其中，p为目标物体的编号，
为深度学习算法输出的修改后的目标物体区域检测置信度，
为深度学习算法输出的修改后的目标物体类别检测置信度，C _p′＝T为修改后的目标物体的类别，Upp′为修改前目标物体p的区域与修改后目标物体p′的区域的交并比，w ₅和w ₆为平衡对抗图像样本有效性和样本生成成本的权重值，ε ₁和ε ₂为声波对加速度计和陀螺仪读数影响的上限；

(2)优化函数求解，针对上述优化函数，使用贝叶斯优化法求解最佳对抗参数。
根据权利要求1所述的基于声波的图像对抗样本生成方法，其特征在于，所述的惯性传感器注入方法包括以下步骤：

通过频率扫描，找到所述目标机器视觉系统中惯性传感器的共振频率；

通过调整声波共振频率，在模电转换器中引入直流分量，稳定传感器输出；以及

通过调幅调制，对传感器输出波形进行整形，使得传感器读数逼近对抗参数。
一种基于声波的图像对抗样本生成系统，其特征在于，该系统包括声波对抗仿真模块、对抗样本优化模块、传感器读数注入模块；

所述声波对抗仿真模块用于虚假摄像头运动建模、像素运动建模和图像模糊建模；

所述对抗样本优化模块用于优化函数设计和优化函数求解；

所述传感器读数注入模块用于共振频率搜索、虚假读数稳定、虚假读数整形；

该系统利用上述模块来实现如权利要求1-4中任一项所述的基于声波的图像对抗样本生成方法。
一种基于声波的图像对抗样本生成系统，其特征在于，该系统包括：

用于获取包含目标物体或目标场景的图片的装置；

用于针对所获取的图片，使用声波对抗样本仿真模型来生成对目标机器视觉系统中深度学习算法具有对抗作用的仿真图像样本的装置；

用于使用对抗样本优化方法优化所生成的仿真图像样本以获得最优的对抗样本以及对应的对抗参数的装置；

用于使用惯性传感器读数注入方法，将所述对抗参数通过声波的方式注入到所述目标机器视觉系统的惯性传感器中，使所述对抗参数成为传感器读数的装置，所述传感器读数将引起所述目标机器视觉系统中的图像防抖模块工作，以在生成的真实图片中产生特定的模糊图案，从而生成物理世界中的图像对抗样本。
一种基于声波的图像对抗样本生成系统，其特征在于，该系统包括：

存储器，用于存储指令；以及

处理器，所述处理器执行所述存储器中所存储的指令，以执行如权利要求1-4中任一项所述的基于声波的图像对抗样本生成方法。
一种非暂态计算机可读存储介质，存储有指令，所述指令在被处理器运行时使得所述处理器执行如权利要求1-4中任一项所述的基于声波的图像对抗样本生成方法。