本发明属于自动驾驶感知对抗攻击,具体而言涉及一种基于自动驾驶感知的逆向神经网络隐蔽攻击方法和系统。
背景技术:
1、在自动驾驶系统中,相机图像感知是至关重要的一环,它通过分析车辆周围的视觉信息来实现环境感知和场景理解。然而,正是由于其广泛的应用和对环境的高度敏感性,相机图像感知系统成为了数字对抗攻击的主要目标之一。数字对抗攻击是指故意设计出的输入数据,其目的是欺骗机器学习模型,导致模型做出错误的预测或判断。对于相机图像感知系统而言,数字对抗攻击可能采用各种形式,例如在图像中添加微小的扰动或对图像进行修改,以干扰感知算法的正常工作。这些攻击可能导致自动驾驶系统错误地识别交通标志、行人、车辆等目标,进而影响其决策制定和行为规划,从而对行车安全构成严重威胁。
2、现有数字攻击方法在针对自动驾驶系统的相机图像感知时存在明显的问题。首先,许多攻击方法引入的扰动或修改往往会导致图像中出现肉眼可见的噪点或畸变,使得攻击易被发现。其次,一些攻击可能显著改变图像的大小或比例,引起人们的注意。最后,一些攻击方法可能引入不合理的变换或变形,使得图像在视觉上显得不自然,暴露了攻击的存在。为了解决这些问题并使攻击更加隐蔽有效,可以考虑利用对抗性生成网络生成逼真的攻击样本,采取物理感知攻击方式,结合隐蔽性评估技术,以及使用多模态攻击手段。
3、可见噪点和畸变:现有技术方案在图像中引入的扰动或修改往往会导致肉眼可见的噪点,使得攻击容易被察觉。这些可见的变化可能会影响图像的视觉质量,降低图像的逼真度,从而暴露了攻击的存在。
4、图像大小变化:现有技术方案可能会导致修改后的图像大小与原始图像大小不一致,即图像的存储大小发生变化。这种突变可能会引起怀疑,并增加攻击被检测到的可能性,尤其是在图像处理过程中需要保持一致的存储大小时,攻击的可发现性会进一步增强。
5、不自然的变换和变形:现有技术方案引入的变换或变形可能不合理,导致图像在视觉上显得不自然。这种不自然的变化可能使人们产生怀疑,从而暴露了攻击的存在。例如,图像中的某些目标可能出现不符合实际情况的形状或姿态,或者在图像中的位置不合理。
技术实现思路
1、本发明正是基于现有技术的上述需求而提出的,本发明要解决的技术问题是提供一种基于自动驾驶感知的逆向神经网络隐蔽攻击方法和系统。
2、为了解决上述问题,本发明提供的技术方案包括:
3、提供了一种基于自动驾驶感知的逆向神经网络隐蔽攻击方法,包括:s1选择被攻击目标,所述被攻击目标为原始图像;s2分类识别原始图像,将得出的与原始图像最接近的类型作为目标类型,将得出的与原始图像最不相近的类型作为攻击类型,并基于攻击类型选择攻击图像;所述分类识别通过分类器完成;s3提取攻击类型的图像的特征并学习,结合分类器的输出特征得到差异信息,根据差异生成信息更新生成攻击图像的引导方向;s4基于小波分解处理原始图像和攻击图像,得到各自多尺度的图像信息;s5通过第一网络系统提取原始图像多尺度信息中的残差特征作为第一信息,通过第一网络提取攻击图像多尺度信息中的残差特征作为第二信息;所述第一网络系统包括残差网络;s6基于非线性变换交换目标图像信息和攻击图像信息,得到小波信息,所述目标图像信息包括第一信息,攻击图像信息包括第二信息;s7逆向变换小波信息,形成对抗性图像;s8分类识别对抗性图像,并生成对抗损失函数值;s9根据损失函数值调整攻击图像信息和目标图像信息的交换过程,重复s6-s8,直至得到对抗损失函数值在阈值范围内,输出对应的对抗性图像向原始图像攻击。
4、利用可逆神经网络的信息保存特性,该方法能够实现对自动驾驶汽车的图像感知算法进行隐蔽攻击。通过同时添加类特定信息和删除原始类的语义信息,不会出现肉眼可见的噪点等明显的攻击信息,攻击行为更加隐蔽,不易被察觉。通过学习攻击图像的梯度信息,并结合小波分解与残差网络特征提取,实现了攻击图像与被攻击图像的信息交互与交换。这种信息交互基于可逆信息交换模块进行等量像素点的互换,生成更具隐蔽性的攻击样本且不改变图像大小。对抗图像样本经过预训练权重的分类网络进行评估与反馈,结果引导可逆信息交换模块进行新一轮数据交换。这种自适应性学习和反馈机制使得攻击方法具有更高的灵活性和针对性,能够不断调整和优化攻击样本,提高攻击的成功率和隐蔽性。
5、优选地,通过分类器分类识别原始图像,并得到与原始图像最相近的类型和与原始图像最不相近的类型,表示为:
6、其中,i表示原始图像,表示数据集中的所有类型,用来确定使得分类函达到最大值的类型,fclass(i)是一个分类函数,用来识别图像i类型,clikely为与原始图像最相近的类型,即目标类型,cunlikely为与原始图像最不相近的类型;将最不相近的类型作为攻击类型:ctarget=cunlikely,其中,ctarget为攻击类型。
7、优选地,s3提取攻击类型的图像的特征并学习,结合分类器的输出特征得到差异信息,根据差异生成信息更新生成攻击图像的引导方向,包括:padv=gtarget(ftarget-fclass(i)),其中,padv是生成的新的攻击图像,gtarget为目标引导函数,ftarget为关键特征信息。
8、优选地,在所述残差网络中引入针对于频域的注意力机制,以自适应地调整不同频率的特征的权重,表示为:
9、其中,y表示加权后的特征,x是高频小波的输入特征,通过一个注意力机制对不同频率的特征进行加权,⊙表示逐元素相乘。
10、优选地,所述残差网络还包括残差块,表示为:
11、其中,y′为残差块的输出,是残差函数,x’表示图像不同的特征,w是一个学习到的权重矩阵,用于对输入特征进行线性变换。
12、优选地,所述残差网络包括多尺度特征融合模块,将不同尺度的高频小波特征进行融合,表示为:
13、其中,x1和x2为两个不同尺度的高频小波特征,·表示特征的拼接操作,是一个学习到的函数,用于特征的融合,y″为两个高频小波特征整合成的特征。
14、优选地,所述第一网络还包括动态残差学习模块,根据输入特征的不同频率特征,自适应地调整残差块的学习策略和参数,表示为:
15、其中,动态残差模块的输入为x″,动态残差模块的输出为y″′,其中是一个学习到的残差函数,a(x″)是一个自适应的参数,用于调整残差函数的学习过程。
16、优选地,基于非线性变换交换目标图像信息和攻击图像信息,得到小波信息,表示为:fexchange=ε(fadv,foriginal),得到新的特征表示fexchange,通过非线性变换函数ε(·)将这两个特征进行交换。
17、优选地,s8分类识别对抗性图像,并生成对抗损失函数值,包括:使用预训练的分类器fpretrained对生成的对抗性图像iadv进行分类,得到分类结果通过对抗损失函数衡量生成的对抗性图像与目标类型之间的偏差程度,所述对抗损失函数表示为:ladv(iadv,ytarget)=-log p(ytarget|iadv)
18、其中,ytarget是攻击类型,p(ytarget|iadv)是分类器给出的对抗图像iadv属于攻击类型的概率,ladv为损失函数。
19、还提供了一种基于自动驾驶感知的逆向神经网络隐蔽攻击方法,包括:选择模块,选择被攻击目标,所述被攻击目标为原始图像;分类识别模块,分类识别原始图像,将得出的与原始图像最接近的类型作为目标类型,将得出的与原始图像最不相近的类型作为攻击类型,并基于攻击类型选择攻击图像;方向引导模块,提取攻击类型的图像的特征并学习,结合分类器的输出特征得到差异信息,根据差异生成信息更新生成攻击图像的引导方向;小波分解模块,基于小波分解处理原始图像和攻击图像,得到各自多尺度的图像信息;残差网络模块,通过第一网络系统提取原始图像多尺度信息中的残差特征作为第一信息,通过第一网络提取攻击图像多尺度信息中的残差特征作为第二信息;所述第一网络系统包括残差网络;信息交换模块,基于非线性变换交换目标图像信息和攻击图像信息,得到小波信息,所述目标图像信息包括第一信息,攻击图像信息包括第二信息;逆向变换模块,逆向变换小波信息,形成对抗性图像;对抗性图像评价模块,分类识别对抗性图像,并生成对抗损失函数值;对抗性图像输出模块,根据损失函数值调整攻击图像信息和目标图像信息的交换过程,反馈至信息交换模块,并依次经过逆向变换模块和对抗性图像评价模块,直至得到对抗损失函数值在阈值范围内,输出对应的对抗性图像向原始图像攻击。
20、与现有技术相比,本发明利用可逆神经网络的信息保存特性,该方法能够实现对自动驾驶汽车的图像感知算法进行隐蔽攻击。通过同时添加类特定信息和删除原始类的语义信息,不会出现肉眼可见的噪点等明显的攻击信息,攻击行为更加隐蔽,不易被察觉。提出的目标图像学习模块通过学习攻击图像的梯度信息,并结合小波分解与残差网络特征提取,实现了攻击图像与被攻击图像的信息交互与交换。这种信息交互基于可逆信息交换模块进行等量像素点的互换,生成更具隐蔽性的攻击样本且不改变图像大小。对抗图像样本经过预训练权重的分类网络进行评估与反馈,结果引导可逆信息交换模块进行新一轮数据交换。这种自适应性学习和反馈机制使得攻击方法具有更高的灵活性和针对性,能够不断调整和优化攻击样本,提高攻击的成功率和隐蔽性。
1.一种基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,包括:
2.根据权利要求1所述的基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,通过分类器分类识别原始图像,并得到与原始图像最相近的类型和与原始图像最不相近的类型,表示为:
3.根据权利要求2所述的基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,s3提取攻击类型的图像的特征并学习,结合分类器的输出特征得到差异信息,根据差异生成信息更新生成攻击图像的引导方向,包括:
4.根据权利要求1所述的基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,在所述残差网络中引入针对于频域的注意力机制,以自适应地调整不同频率的特征的权重,表示为:
5.根据权利要求4所述的基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,所述残差网络还包括残差块,表示为:
6.根据权利要求5所述的基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,所述残差网络包括多尺度特征融合模块,将不同尺度的高频小波特征进行融合,表示为:
7.根据权利要求6所述的基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,
8.根据权利要求1所述的基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,基于非线性变换交换目标图像信息和攻击图像信息,得到小波信息,表示为:
9.根据权利要求1所述的基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,s8分类识别对抗性图像,并生成对抗损失函数值,包括:
10.一种基于自动驾驶感知的逆向神经网络隐蔽攻击方法,其特征在于,包括:
