【技术实现步骤摘要】
本专利技术属于计算机视觉,具体涉及一种面向工业机器人目标检测的隐形后门攻击方法及相关装置。
技术介绍
1、随着物联网、云计算和大数据分析等技术的迅速发展,工业机器人在制造和生产领域的许多场景都得到了应用,例如:机械加工、车间装配、质量检测等,而目标检测是工业机器人实现上述应用场景的重要基础。目标检测是计算机视觉领域中的一个重要任务,其目标是通过深度学习模型实现对图像或视频中目标的定位和识别。与传统的图像分类任务相比,目标检测任务更为复杂,因为目标检测需要同时完成目标的定位和类别识别,这就导致其需要更为复杂的模型结构。目前使用比较广泛的目标检测模型有faster r-cnn、yolo系列、ssd等,这些模型在不同的场景和需求下有着各自的优势,选择合适的目标检测模型通常取决于具体的应用场景、硬件资源和性能要求。
2、为了提高生产效率、质量和安全性,工业机器人目标检测在工业领域得到了广泛的应用,例如:定位和识别零部件来实现自动化装配和拆卸;识别和抓取各种形状、尺寸和重量的物料;帮助机器人感知周围环境,确保安全导航和避免障碍物。上述这些应用场景只是工业机器人目标检测广泛应用的一部分,随着技术的不断发展,工业机器人在更多领域中将会发挥更多的作用。目标检测技术的进步也将进一步提高工业机器人在生产中的智能水平和灵活性。
3、由于当前比较先进的目标检测模型几乎都是基于深度神经网络(dnn)设计的,其在训练过程中可能会遭受后门攻击的威胁,一旦目标检测模型被植入后门并部署在工业机器人上,可能会导致机器人在生产过程中出现错误操
4、后门攻击是一种发生在模型训练阶段的安全威胁,恶意攻击者通过将少量带后门触发器的中毒样本注入训练数据中,使得在中毒数据上训练的模型记住触发模式。在测试时,模型在干净输入下表现正常,但在带触发器的输入下则会输出攻击者指定的结果。
5、然而,现有面向dnn的后门攻击研究大多集中在图像分类领域,目标检测领域中的后门问题还未得到充分的探索和研究。申请人经过调研发现,现有针对目标检测的后门攻击方法存在一些缺点亟待解决,包括:
6、(1)中毒样本的标注信息与干净样本不一致。现有的后门攻击方法在生成中毒样本时会修改图像的标注信息,导致图像内容和标注文件之间的不一致,使得攻击容易被检测到。
7、(2)触发器隐蔽性较差。现有后门攻击方法所使用的触发器大多数都是会在图像中形成异常或可见的图案,使得攻击容易被人类观察者察觉。同时,可见的触发器在图像中具有可探测性,它们在图像上形成的模式可以被特定的分析方法或算法检测到。
技术实现思路
1、本专利技术的目的在于针对上述现有技术中的问题,提供一种面向工业机器人目标检测的隐形后门攻击方法及相关装置,同时具备标签一致和隐形触发两种性质,兼顾有效性和隐蔽性。
2、为了实现上述目的,本专利技术有如下的技术方案:
3、第一方面,提供一种面向工业机器人目标检测的隐形后门攻击方法,包括:
4、通过使用非目标对象的干净样本si和带触发器的目标对象样本来构建触发器不可见的中毒样本
5、通过触发器不可见的中毒样本构建中毒训练数据集dp,将中毒训练数据集dp和干净训练数据集dc混合得到训练数据集dtrain,使用训练数据集dtrain进行模型训练得到目标检测后门模型mθ;
6、将n个触发器放置在图像背景区域的随机位置上,执行推理阶段,由目标检测后门模型mθ在中毒测试样本的触发器位置周围产生目标类的错误预测框,而在非触发器位置的其他对象上出现正常的预测框,完成面向工业机器人目标检测的隐形后门攻击。
7、作为一种优选的方案,将触发器放置在目标类对象真实标注边界框的中心来构建触发器不可见的中毒样本使目标检测模型容易将包含触发器的区域选为感兴趣的区域,实现目标检测模型在不修改输入图像标注信息的前提下也能学习触发器与目标类对象之间的关联。
8、作为一种优选的方案,所述带触发器的目标对象样本按照如下方式构建:
9、选择一些目标对象的干净样本ti,并将触发器p放置在目标对象真实标注边界框的中心坐标(a,b)上,得到带触发器的目标对象样本具体构建过程如下式:
10、
11、式中,是一个图像补丁,wt和ht分别是所述图像补丁的宽度和高度,因此放置触发器p区域的左上角和右下角坐标分别为(a,b)和(a+wt,b+ht);表示逐元素乘积;α∈[0,1],是一个控制添加触发器强度的参数。
12、作为一种优选的方案,通过使用非目标对象的干净样本si和带触发器的目标对象样本按照如下表达式来构建触发器不可见的中毒样本
13、
14、式中,z是中毒样本,f(·)是深度神经网络dnn模型的中间特征,ε是一个阈值,用于确保中毒样本z在视觉上与非目标对象的干净样本si在视觉上不可区分。
15、作为一种优选的方案,所述触发器不可见的中毒样本在像素空间上接近非目标对象的干净样本si,在特征空间上接近带触发器的源样本
16、作为一种优选的方案,所述面向工业机器人目标检测的隐形后门攻击方法还包括对隐形后门攻击的有效性进行评估的步骤,所述对隐形后门攻击的效果进行评估的步骤设置两个评估目标,一是使目标检测后门模型mθ在中毒的测试数据上出现攻击者指定的行为,二是使目标检测后门模型mθ在干净的测试数据上表现与正常模型相近;
17、使用攻击成功率asr来评估第一个目标,计算表达式如下:
18、
19、使用正常模型在干净测试集上的平均精度map_normal和目标检测后门模型mθ在干净测试集上的平均精度map_benigh进行比较来评估第二个目标。
20、作为一种优选的方案,所述面向工业机器人目标检测的隐形后门攻击方法还包括对隐形后门攻击的隐蔽性进行评估的步骤,所述对隐形后门攻击的隐蔽性进行评估的步骤使用峰值信噪比psnr和结构相似性指数ssim两个评估指标来测试和评估;
21、峰值信噪比psnr是一种用于度量图像质量的指标,计算表达式如下:
22、
23、式中,max是像素值的最大可能范围,mse是均方误差,psnr的值越大,表示图像质量越好;
24、结构相似性指数ssim是一种度量两幅图像之间相似性的指标,取值范围为[-1,1],ssim值越接近1,表示两幅图像越相似,计算表达式如下:
25、
26、式中,x和y是待比较的两幅图像,μx和μy分别是x和y的均值,和分别是x和y的方差,σxy分别是x和y的协方差,c1和c2是常数。
27、第二方面,提供一种面向工业机器人目标检测的隐形后门攻击系统,包括:
28、中毒样本构建模块,用于通过使用非目标对象的干净样本si和带触发器的本文档来自技高网...
【技术保护点】
1.一种面向工业机器人目标检测的隐形后门攻击方法,其特征在于,包括:
2.根据权利要求1所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,将触发器放置在目标类对象真实标注边界框的中心来构建触发器不可见的中毒样本使目标检测模型容易将包含触发器的区域选为感兴趣的区域,实现目标检测模型在不修改输入图像标注信息的前提下也能学习触发器与目标类对象之间的关联。
3.根据权利要求2所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,所述带触发器的目标对象样本按照如下方式构建:
4.根据权利要求3所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,通过使用非目标对象的干净样本si和带触发器的目标对象样本按照如下表达式来构建触发器不可见的中毒样本
5.根据权利要求4所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,所述触发器不可见的中毒样本在像素空间上接近非目标对象的干净样本si,在特征空间上接近带触发器的源样本
6.根据权利要求1所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,还包括对隐形后门攻击的
7.根据权利要求1所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,还包括对隐形后门攻击的隐蔽性进行评估的步骤,所述对隐形后门攻击的隐蔽性进行评估的步骤使用峰值信噪比PSNR和结构相似性指数SSIM两个评估指标来测试和评估;
8.一种面向工业机器人目标检测的隐形后门攻击系统,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述面向工业机器人目标检测的隐形后门攻击方法。
...【技术特征摘要】
1.一种面向工业机器人目标检测的隐形后门攻击方法,其特征在于,包括:
2.根据权利要求1所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,将触发器放置在目标类对象真实标注边界框的中心来构建触发器不可见的中毒样本使目标检测模型容易将包含触发器的区域选为感兴趣的区域,实现目标检测模型在不修改输入图像标注信息的前提下也能学习触发器与目标类对象之间的关联。
3.根据权利要求2所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,所述带触发器的目标对象样本按照如下方式构建:
4.根据权利要求3所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,通过使用非目标对象的干净样本si和带触发器的目标对象样本按照如下表达式来构建触发器不可见的中毒样本
5.根据权利要求4所述面向工业机器人目标检测的隐形后门攻击方法,其特征在于,所述触发器不可见的中毒样本在像素空间上接近非目标对象的干净样本si,在特征空间上接近带触发器的源样本
...【专利技术属性】
技术研发人员:朱永超,习宁,李乔杨,马建峰,魏大卫,覃伯君,吴佳玉,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。