一种智能驾驶场景的对抗样本生成方法及系统技术方案

本发明专利技术提供一种智能驾驶场景的对抗样本生成方法，包括接收待攻击图片；确定待攻击图片所适用的当前智能驾驶场景，并根据当前智能驾驶场景，确定相应的黑盒攻击算法；其中，当前智能驾驶场景为图像分类场景、目标检测场景及语言识别场景之其中一个；黑盒攻击算法为显著性检测攻击SIMBA算法、边界攻击BA算法、跳跃攻击HSJA算法及仿射投影攻击APA算法之其中一个；根据黑盒攻击算法，对待攻击图片进行攻击，生成对抗样本。本发明专利技术还提供一种智能驾驶场景的对抗样本生成系统。实施本发明专利技术，适配黑盒攻击算法来使得样本更贴近现实。击算法来使得样本更贴近现实。击算法来使得样本更贴近现实。

【技术实现步骤摘要】
一种智能驾驶场景的对抗样本生成方法及系统


[0001]本专利技术涉及汽车
，尤其涉及一种智能驾驶场景的对抗样本生成方法及系统。

技术介绍

[0002]目前，对抗样本的研究主要集中在学术界上，工业界的相关研究却还十分稀少，尤其是在智能驾驶领域的应用更是屈指可数。因此，研究对抗样本攻击与对抗样本的防御在自动驾驶领域仍然任重道远。
[0003]智能驾驶场景下，神经网络系统的处理任务相对其他场景下更为复杂，使得该场景下的神经网络模型(如目标检测模型、目标分类模型及语音识别模型等)都为各厂商的重点保护对象。鉴于智能驾驶模型形成过程中，各厂商往往会将获取数据到最终输出的整个路径进行高度封装，造成外界基本上不可能获取其内部信息的风险。因此，实际场景下的白盒攻击对智能驾驶模型的可行性很低，黑盒攻击才更贴近现实。
[0004]然而，在智能驾驶情景中，目前为止尚未发现适配黑盒攻击算法的对抗样本生成方法。

技术实现思路

[0005]本专利技术实施例所要解决的技术问题在于，提供一种智能驾驶场景的对抗样本生成方法及系统，适配黑盒攻击算法来使得样本更贴近现实。
[0006]为了解决上述技术问题，本专利技术实施例提供了一种智能驾驶场景的对抗样本生成方法，所述方法包括以下步骤：
[0007]接收待攻击图片；
[0008]确定待攻击图片所适用的当前智能驾驶场景，并根据当前智能驾驶场景，确定相应的黑盒攻击算法；其中，所述当前智能驾驶场景为图像分类场景、目标检测场景及语言识别场景之其中一个；所述黑盒攻击算法为显著性检测攻击SIMBA算法、边界攻击BA算法、跳跃攻击HSJA算法及仿射投影攻击APA算法之其中一个；
[0009]根据所述黑盒攻击算法，对所述待攻击图片进行攻击，生成对抗样本。
[0010]其中，若所述当前智能驾驶场景为图像分类场景，则确定的黑盒攻击算法为SIMBA算法。
[0011]其中，若所述当前智能驾驶场景为目标检测场景，则确定的黑盒攻击算法为BA算法或HSJA算法。
[0012]其中，若所述当前智能驾驶场景为语言识别场景，则确定的黑盒攻击算法为APA算法。
[0013]其中，所述方法进一步包括：
[0014]S41、根据当前智能驾驶场景，获取相应的神经网络模型；其中，所获取的神经网络模型为目标检测场景下的SSD模型、语音识别场景下的DeepSpeech模型及图像分类场景下
的MobileNet模型之其中一个；
[0015]S42、将所述对抗样本输入所获取的神经网络模型中，得到相应的对抗样本检测结果，并将所述对抗样本检测结果进行加扰处理形成为攻击所获取的神经网络模型的攻击样本；
[0016]S43、将攻击样本输入所获取的神经网络模型中，以生成当前扰动信息变更的对抗样本；
[0017]S44、若当前扰动信息变更的对抗样本与预先设定的攻击结果比对的结果不符合预定条件，则将当前扰动信息变更的对抗样本再次加扰处理形成为攻击样本后，返回步骤S43；
[0018]S45、若当前扰动信息变更的对抗样本与所述攻击结果比对的结果符合所述预定条件，则将当前扰动信息变更的对抗样本作为新的对抗样本输出。
[0019]其中，所述方法进一步包括：
[0020]使用新的对抗样本，对所获取的神经网络模型进行训练。
[0021]其中，所述待攻击图片来自于用户手动上传；或，所述待攻击图片是从指定目录中读取到的。
[0022]本专利技术实施例还提供了一种智能驾驶场景的对抗样本生成系统，包括：
[0023]待攻击图片接收单元，用于接收待攻击图片；
[0024]黑盒攻击算法选取单元，用于确定待攻击图片所适用的当前智能驾驶场景，并根据当前智能驾驶场景，确定相应的黑盒攻击算法；其中，所述当前智能驾驶场景为图像分类场景、目标检测场景及语言识别场景之其中一个；所述黑盒攻击算法为显著性检测攻击SIMBA算法、边界攻击BA算法、跳跃攻击HSJA算法及仿射投影攻击APA算法之其中一个；
[0025]对抗样本生成单元，用于根据所述黑盒攻击算法，对所述待攻击图片进行攻击，生成对抗样本。
[0026]其中，若所述当前智能驾驶场景为图像分类场景，则确定的黑盒攻击算法为SIMBA算法；
[0027]若所述当前智能驾驶场景为目标检测场景，则确定的黑盒攻击算法为BA算法或HSJA算法；以及，
[0028]若所述当前智能驾驶场景为语言识别场景，则确定的黑盒攻击算法为APA算法。
[0029]其中，所述待攻击图片来自于用户手动上传；或，所述待攻击图片是从指定目录中读取到的。
[0030]实施本专利技术实施例，具有如下有益效果：
[0031]1、本专利技术基于待攻击图片所适用的当前智能驾驶场景来确定相应的黑盒攻击算法，并通过所选黑盒攻击算法对待攻击图片进行攻击来生成对抗样本，使得样本更贴近现实；
[0032]2、本专利技术基于黑盒攻击算法生成的对抗样本攻击当前智能驾驶场景下的神经网络模型，以验证该神经网络模型的对抗样本，并基于验证之后的有效对抗样本对该神经网络模型进行训练，以提升该神经网络模型的安全性和鲁棒性。
附图说明
[0033]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，根据这些附图获得其他的附图仍属于本专利技术的范畴。
[0034]图1为本专利技术实施例提供的一种智能驾驶场景的对抗样本生成方法的流程图；
[0035]图2为本专利技术实施例提供的一种智能驾驶场景的对抗样本生成方法中预先构建的对抗样本攻击实验平台的架构图；
[0036]图3为本专利技术实施例提供的一种智能驾驶场景的对抗样本生成方法中验证神经网络模型的对抗样本的有效性的流程图；
[0037]图4为本专利技术实施例提供的一种智能驾驶场景的对抗样本生成方法中目标检测场景下的对抗样本攻击神经网络模型来提升模型鲁棒性及安全性的逻辑框图；
[0038]图5为本专利技术实施例提供的一种智能驾驶场景的对抗样本生成系统的结构示意图。
具体实施方式
[0039]为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步地详细描述。
[0040]如图1所示，为本专利技术实施例中，提供的一种智能驾驶场景的对抗样本生成方法，所述方法包括以下步骤：
[0041]步骤S1、接收待攻击图片；
[0042]步骤S2、确定待攻击图片所适用的当前智能驾驶场景，并根据当前智能驾驶场景，确定相应的黑盒攻击算法；其中，所述当前智能驾驶场景为图像分类场景、目标检测场景及语言识别场景之其中一个；所述黑盒攻击算法为显著性检测攻击SIMBA算法、边界攻击BA算法、跳跃攻击HSJA算法及仿射投影攻击APA算法之其中一个；
[0043]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种智能驾驶场景的对抗样本生成方法，其特征在于，所述方法包括以下步骤：接收待攻击图片；确定待攻击图片所适用的当前智能驾驶场景，并根据当前智能驾驶场景，确定相应的黑盒攻击算法；其中，所述当前智能驾驶场景为图像分类场景、目标检测场景及语言识别场景之其中一个；所述黑盒攻击算法为显著性检测攻击SIMBA算法、边界攻击BA算法、跳跃攻击HSJA算法及仿射投影攻击APA算法之其中一个；根据所述黑盒攻击算法，对所述待攻击图片进行攻击，生成对抗样本。2.如权利要求1所述的智能驾驶场景的对抗样本生成方法，其特征在于，若所述当前智能驾驶场景为图像分类场景，则确定的黑盒攻击算法为SIMBA算法。3.如权利要求1所述的智能驾驶场景的对抗样本生成方法，其特征在于，若所述当前智能驾驶场景为目标检测场景，则确定的黑盒攻击算法为BA算法或HSJA算法。4.如权利要求1所述的智能驾驶场景的对抗样本生成方法，其特征在于，若所述当前智能驾驶场景为语言识别场景，则确定的黑盒攻击算法为APA算法。5.如权利要求1所述的智能驾驶场景的对抗样本生成方法，其特征在于，所述方法进一步包括：S41、根据当前智能驾驶场景，获取相应的神经网络模型；其中，所获取的神经网络模型为目标检测场景下的SSD模型、语音识别场景下的DeepSpeech模型及图像分类场景下的MobileNet模型之其中一个；S42、将所述对抗样本输入所获取的神经网络模型中，得到相应的对抗样本检测结果，并将所述对抗样本检测结果进行加扰处理形成为攻击所获取的神经网络模型的攻击样本；S43、将攻击样本输入所获取的神经网络模型中，以生成当前扰动信息变更的对抗样本；S44、若当前扰动信息变更的对抗样本与预先设定的攻击结果比对的结果不符合...

【专利技术属性】
技术研发人员：陈振威，朱纯志，郑立，石笑生，蔡刚强，钟志灏，
申请(专利权)人：广州汽车集团股份有限公司，
类型：发明
国别省市：