针对目标检测对抗攻击的预处理防御方法

1.本发明涉及目标检测、对抗攻击防御技术领域，尤其涉及一种针对目标检测对抗攻击的预处理防御方法。


背景技术：

2.目标检测是计算机视觉中最基本的任务之一，随着目标检测应用的快速发展，其在医疗图像、汽车自动驾驶及行人检测等都扮演着重要的角色，它的安全性尤为重要。然而，基于深度学习的目标检测在优异性能的同时也继承了深度网络的缺点，目标检测领域被证实极易受到对抗样本的攻击。有很多研究将图像分类的思想引入目标检测，图像分类的很多对抗攻击迁移到了目标检测领域，提出了基于像素扰动和基于对抗补丁的对抗方法，目标检测领域的安全受到了很大的威胁。
3.目前，针对目标检测对抗攻击的防御方法主要是对抗训练。该方法也是图像分类对抗攻击防御手段中的一种，在对抗训练的过程中，样本会被混合一些微小的扰动，然后使神经网络适应这种改变，从而对对抗样本具有鲁棒性。但是对抗训练仍具有以下不足：1)对抗训练这种方法需要大量的时间和大量的算力，非常的耗时耗力；2)由于目标检测是多任务的学习(即目标定位和目标识别)，因此在对抗训练过程中目标任务之间具有一定的矛盾性，会造成梯度不对齐，因此目前提出的对抗训练方法对目标检测的性能提升效果仍然不佳；3)对抗训练是某一种或几种攻击的针对性训练，因此模型在面对其他未训练过的攻击时的防御效果会大大降低。


技术实现要素：

4.针对现有采用对抗训练来防御目标检测对抗攻击的方式存在耗时耗力、防御效果较差的问题，本发明提供一种针对目标检测对抗攻击的预处理防御方法，本发明方法对算力和时间成本要求都较低，并且对大部分的攻击方法都具有稳健的防御能力。
5.本发明提供的针对目标检测对抗攻击的预处理防御方法，包括以下步骤：
6.步骤1：对原始图像数据集中的图像添加对抗扰动，生成目标检测对抗样本；
7.步骤2：对所述目标检测对抗样本进行双边滤波和数据归一化处理，得到处理后的目标检测对抗样本；
8.步骤3：构建降噪自编码器模型，将所述处理后的目标检测对抗样本作为输入，将其对应的原始图像作为标签，对所述降噪自编码器模型进行降噪训练；
9.步骤4：获取待目标检测图像，对所述待目标检测图像进行双边滤波和数据归一化处理，得到处理后的待目标检测图像；
10.步骤5：将所述处理后的待目标检测图像输入至训练好的降噪自编码器模型，得到去噪后的待目标检测图像，将所述去噪后的待目标检测图像作为目标检测模型的输入实现目标检测。
11.进一步地，步骤1具体包括：
12.步骤1.1：根据预期攻击效果，设计对应的任务损失函数；
13.步骤1.2：采用给定对抗攻击算法，在原始图像上添加能够使得所述任务损失函数的值变化最大的对抗扰动，从而得到目标检测对抗样本。
14.进一步地，步骤3中，所述降噪自编码器模型包括编码器、解码器和距离损失函数；
15.所述编码器按照图像处理顺序依次包括第一卷积层、第一池化层、第二卷积层、第二池化层和第三卷积层；所述解码器按照图像处理顺序依次包括第一反卷积层、第一升采样层、第二反卷积层、第二升采样层和第三反卷积层；
16.所述距离损失函数采用将wasserstein gan的earth-mover距离和kl散度相结合后得到的损失函数。
17.进一步地，所述距离损失函数如公式(3)所示；
18.loss＝loss
kl
α*losswꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)
19.其中，loss
kl
表示kl距离损失，lossw表示earth-mover距离损失，α为系数参数。
20.本发明的有益效果：
21.本发明提供的预处理防御方法将双边滤波和降噪自编码器结合，使用双边滤波对图像进行初步去噪，使用降噪自编码器对图像进行进一步去噪；由于降噪自编码器是使用多种对抗攻击算法所生成的对抗样本作为输入，使用原始图像(未添加对抗扰动的干净样本)作为标签训练得到的，这就使得经过降噪自编码器降噪后的图像基本上已经成为不再含有对抗扰动的干净图像，将该干净图像再输入至目标检测模型，从而可以提高目标检测模型的检测准确率。并且，由于训练降噪自编码器所采用的对抗样本是采用多种不同对抗攻击算法所生成的，具有一定的普适性，无论是针对目标检测模型的单任务或者是多任务结合的攻击，该方法都能够在输入模型之前，过滤添加在图片样本上的噪声，从而在一定程度上防御对抗攻击，因此，无论对抗攻击采用何种攻击方法，都不会影响预处理对目标检测模型准确率提升的效果。
22.此外，相对于目标检测模型而言，本发明中所构建的降噪自编码器模型是目标检测模型的一个附加网络，该附加网络的训练过程是单独训练的，并不参与原目标检测模型的网络训练过程，即本发明利用一个单独训练的网络加在原来的模型上，可以达到不需要调整原目标检测模型系数而实现对对抗样本免疫的效果。并且，相较于对抗训练的防御方法，本发明无论是时间成本还是显卡成本都较低。
附图说明
23.图1为本发明实施例提供的针对目标检测对抗攻击的预处理防御方法的流程示意图；
24.图2为本发明实施例提供的降噪自编码器的结构示意图。
具体实施方式
25.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
26.如图1所示，本发明实施例提供了一种针对目标检测对抗攻击的预处理防御方法，包括以下步骤：
27.s101：对原始图像数据集中的图像添加对抗扰动，生成目标检测对抗样本；
28.具体地，本步骤包括以下子步骤：
29.s1011：根据预期攻击效果(例如目标框消失攻击)，设计对应的任务损失函数；
30.s1012：采用给定对抗攻击算法，在原始图像上添加能够使得所述任务损失函数的值变化最大的对抗扰动，从而得到目标检测对抗样本。
31.例如，采用fgsm、ibm、pgd等经典对抗攻击算法，通过让扰动方向与梯度方向一致，使任务损失函数值变化最大，进而使检测器检测结果变化最大。sign函数保证了扰动方向与梯度方向一致，得到模型梯度方向；在获取到的模型梯度方向乘上一个设定好的扰动大小(设置好的扰动大小》0，它仅决定更新的步长)，添加到原始图像上，即生成了目标检测对抗样本。
32.此外，为了检验生成的目标检测对抗样本的攻击效果，可以通过求map、recall来验证对抗样本的攻击效果。
33.s102：对所述目标检测对抗样本进行双边滤波和数据归一化处理，得到处理后的目标检测对抗样本；
34.具体地，采用opencv中提供的双边滤波方法进行双边滤波。双边滤波为非线性滤波，同时具有两个滤波器：一个是空间上的高斯滤波器，使临近的像素点被用于滤波；一个是基于像素差的高斯滤波器，使与中间像素值相同的像素点被用于滤波。其中，高通滤波提取边缘信息，对图像进行平滑同时能够保留图像边缘信息。
35.s103：构建降噪自编码器模型，将所述处理后的目标检测对抗样本作为输入，将其对应的原始图像作为标签，对所述降噪自编码器模型进行降噪训练；
36.具体地，所述降噪自编码器模型包括编码器、解码器和距离损失函数。编码器通过卷积神经网络和池化操作进行特征降维和压缩，解码器通过反卷积操作和反池化操作进行特征升维度。距离损失函数用于衡量编码器的输入数据和解码器的输出数据之间的信息丢失量。
37.作为一种可实施方式，降噪自编码器模型的结构如图2所示。所述编码器按照图像处理顺序依次包括第一卷积层、第一池化层、第二卷积层、第二池化层和第三卷积层；所述解码器按照图像处理顺序依次包括第一反卷积层、第一升采样层、第二反卷积层、第二升采样层、第三反卷积层。所述距离损失函数(可以理解为)采用将wasserstein gan的earth-mover距离和kl散度相结合后得到的损失函数。
38.编码器通过卷积神经网络和池化操作对特征进行压缩降维，解码器则通过反卷积操作和反池化操作进行特征升维。训练该降噪自编码器时，以噪声图片(即加入对抗扰动后的目标检测对抗样本)作为其输入，原始图像(即不含对抗扰动的干净图像)作为标签输出，训练目标就是要通过最小化其输入和输出之间的误差来对降噪自编码器的网络参数进行调整。
39.为了实现上述训练目标，作为一种可实施方式，本发明实施例引入kl散度公式(1)和wasserstein gan的earth-mover距离(也称w距离)公式(2)设计得到一种新的距离损失函数(如公式(3)所示)，作为降噪自编码器训练过程中的损失函数。
40.kl散度公式(1)具体为：
[0041][0042]
其中，p表示数据的真实分布，q表示p的近似分布。在本发明中，p(x)代表原始图像(即干净图像)；q(x)代表对抗样本通过降噪自编码器后输出的图像，该对抗样本指在干净图像加入对抗扰动后生成的图像。
[0043]
wasserstein gan的earth-mover距离公式(2)具体为：
[0044][0045]
其中，π(pr,pf)是指所有边缘分布为pr和pf的联合概率分布，可以理解为，earth-mover距离就是把一个分布p
r“推到”另一个分布pf的最优路径消耗。本发明中，x，y值对应的就是原始图像和对抗样本，这里是一组(x，y)样本对，e(x，y)就是这一组样本距离的期望值。pr代表真实分布，pf代表目标分布。
[0046]
结合上述的kl散度公式(1)和wasserstein gan的earth-mover距离公式(2)，得到一种新的距离函数，如公式(3)所示：
[0047]
loss＝loss
kl
α*losswꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)
[0048]
其中，loss
kl
表示kl距离损失，lossw表示earth-mover距离损失，α为系数参数。
[0049]
kl散度又称为相对熵或者信息熵，一般用来衡量两个随机分布之间的距离，当两个随机分布相同时，它们的相对熵则为0，当两个分布差别较大时，它们的相对熵则相对较大，是两个分布之间差异的非对称性的度量。同时，earth-mover距离具有优越的平滑特性，能够在一定程度上解决梯度消失的问题，以上距离函数的结合有效的将待降噪图像往原始图像方向拉近，最终通过降噪自编码器学习其特征以“清除”掉在干净图像上添加的对抗噪声。
[0050]
作为一种可实施方式，降噪自编码器网络结构的具体参数设置如下表1所示：
[0051]
表1
[0052]
[0053]
编码器和解码器采用神经网络，二者相对于距离函数均是可微的，因此可以使用随机梯度下降等优化算法来求得编码器和解码器的参数，以最大程度地减少重建损失。
[0054]
s104：获取待目标检测图像，对所述待目标检测图像进行双边滤波和数据归一化处理，得到处理后的待目标检测图像；
[0055]
s105：将所述处理后的待目标检测图像输入至训练好的降噪自编码器模型，得到降噪后的待目标检测图像，将所述降噪后的待目标检测图像作为目标检测模型的输入实现目标检测。
[0056]
本发明实施例提供的预处理防御方法将双边滤波和降噪自编码器结合，使用双边滤波对图像进行初步去噪，使用降噪自编码器对图像进行进一步去噪；由于降噪自编码器是使用多种对抗攻击算法所生成的对抗样本作为输入，使用原始图像(未添加对抗扰动的干净样本)作为标签训练得到的，这就使得经过降噪自编码器去噪后的图像基本上已经成为不再含有对抗扰动的干净图像，将该干净图像再输入至目标检测模型，从而可以提高目标检测模型的检测准确率。并且，由于训练降噪自编码器所采用的对抗样本是采用多种不同对抗攻击算法所生成的，具有一定的普适性，无论是针对目标检测模型的单任务或者是多任务结合的攻击，该方法都能够在输入模型之前，过滤添加在图片样本上的噪声，从而在一定程度上防御对抗攻击，因此，无论对抗攻击采用何种攻击方法，都不会影响预处理对目标检测模型准确率提升的效果。
[0057]
此外，相对于目标检测模型而言，本发明中所构建的降噪自编码器模型是目标检测模型的一个附加网络，该附加网络的训练过程是单独训练的，并不参与原目标检测模型的网络训练过程，即本发明利用一个单独训练的网络加在原来的模型上，可以达到不需要调整原目标检测模型系数而实现对对抗样本免疫的效果。并且，相较于对抗训练的防御方法，本发明无论是时间成本还是显卡成本都较低。
[0058]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。