付 平,郭 玲,劉 冰,朱玉晴,鳳 雷

(哈爾濱工業(yè)大學(xué) 電子與信息工程學(xué)院，哈爾濱 150001)

0 引言

隨著深度學(xué)習(xí)理論知識(shí)的不斷擴(kuò)大及硬件計(jì)算資源的發(fā)展，深度神經(jīng)網(wǎng)絡(luò)受到了廣泛的研究和應(yīng)用。深度神經(jīng)網(wǎng)絡(luò)快速發(fā)展使得其在圖像分類[1]、目標(biāo)檢測(cè)[2]、圖像分割[3]和目標(biāo)跟蹤[4]等各項(xiàng)任務(wù)中均有出色的表現(xiàn)。在目標(biāo)識(shí)別領(lǐng)域中，深度神經(jīng)網(wǎng)絡(luò)有大量的應(yīng)用已經(jīng)落地，比如日常生活中的智能手機(jī)利用人臉識(shí)別技術(shù)[5]進(jìn)行屏幕解鎖。深度神經(jīng)網(wǎng)絡(luò)已經(jīng)滲透進(jìn)我們的日常生活中，而其本身具有的不可解釋性使得其行為難以解釋和控制[6]，因此關(guān)于其魯棒性和穩(wěn)定性的研究大量涌現(xiàn)。一些研究發(fā)現(xiàn)盡管深度神經(jīng)網(wǎng)絡(luò)具有準(zhǔn)確性高和應(yīng)用廣泛等優(yōu)勢(shì)，但其在受到一些外界干擾時(shí)易失效。

Szegedy等[6]首次發(fā)現(xiàn)在輸入圖像上添加一些特定的人眼無(wú)法察覺的擾動(dòng)可以使深度神經(jīng)網(wǎng)絡(luò)模型無(wú)法正確識(shí)別，這種特定的微小擾動(dòng)稱為對(duì)抗擾動(dòng)，添加對(duì)抗擾動(dòng)后的圖像稱為對(duì)抗樣本，生成對(duì)抗樣本并使模型識(shí)別錯(cuò)誤的算法稱為對(duì)抗攻擊算法。對(duì)抗攻擊現(xiàn)象可能會(huì)對(duì)我們的人身及財(cái)產(chǎn)安全造成巨大的影響，只有充分研究對(duì)抗攻擊算法，才能發(fā)現(xiàn)深度神經(jīng)網(wǎng)絡(luò)易失效的原因，促進(jìn)對(duì)抗攻擊防御方法的完善和深度神經(jīng)網(wǎng)絡(luò)安全性方面研究的發(fā)展，從而有針對(duì)性的構(gòu)建更加魯棒的深度神經(jīng)網(wǎng)絡(luò)模型。目標(biāo)檢測(cè)作為計(jì)算機(jī)視覺的一個(gè)熱門方向，有著越來(lái)越多的應(yīng)用，現(xiàn)有的針對(duì)目標(biāo)檢測(cè)器的對(duì)抗攻擊方法都是基于梯度的攻擊或是基于置信度的攻擊，而工業(yè)界應(yīng)用的目標(biāo)檢測(cè)通常只為用戶提供最終的決策信息，不會(huì)提供過(guò)多模型內(nèi)部信息和帶有置信度的識(shí)別結(jié)果，所以以上攻擊方法將不再適用。

為了得到更適用于工業(yè)界應(yīng)用的目標(biāo)檢測(cè)器的對(duì)抗攻擊方法，本文提出了一種基于決策的目標(biāo)檢測(cè)器黑盒對(duì)抗攻擊方法，該方法通過(guò)使目標(biāo)檢測(cè)器定位錯(cuò)誤來(lái)進(jìn)行攻擊，在迭代優(yōu)化時(shí)，沿著對(duì)抗樣本與非對(duì)抗樣本的邊界執(zhí)行游走，保證其定位錯(cuò)誤的前提下，減小對(duì)抗樣本的擾動(dòng)。本文提出的對(duì)抗攻擊方法不需要用到目標(biāo)檢測(cè)器的梯度信息以及輸出標(biāo)簽和檢測(cè)框的置信度信息，僅利用其輸出的檢測(cè)框的位置信息即可實(shí)現(xiàn)高效的攻擊。

1 相關(guān)工作

近年來(lái)，研究人員在對(duì)抗攻擊方向進(jìn)行了大量的研究，提出了多種對(duì)抗攻擊算法。

Szegedy等人[6]在2014年首次在圖像分類領(lǐng)域發(fā)現(xiàn)了對(duì)抗攻擊現(xiàn)象，并提出L-BFGS方法來(lái)生成對(duì)抗樣本。研究者在L-BFGS基礎(chǔ)上又相繼提出效果更好的FGSM方法[7]，DeepFool方法[8]、C&W方法[9]和JSMA 算法[10]，以上方法均為白盒攻擊方法，需要知道模型的內(nèi)部結(jié)構(gòu)，利用其損失函數(shù)的梯度信息才能實(shí)現(xiàn)攻擊。Chen等人在2017年提出了一種黑盒攻擊方法——ZOO(Zeroth Order Optimization)方法[11]，這種方法不需要知道模型的梯度信息，而是通過(guò)與模型多次進(jìn)行交互，利用大量模型輸出的置信度信息來(lái)對(duì)受攻擊模型進(jìn)行梯度估計(jì)，從而生成對(duì)抗樣本。Su等提出了ONE-PIXEL黑盒攻擊方法[12]，僅通過(guò)改變圖像的一個(gè)像素就能實(shí)現(xiàn)對(duì)模型的攻擊，該方法應(yīng)用微分進(jìn)化來(lái)找到最優(yōu)解。以上黑盒攻擊方法均需利用模型輸出的置信度信息，而大多工業(yè)界應(yīng)用的模型只會(huì)為用戶提供最終的決策，Brendel 等提出了一種邊界攻擊方法[13]，能夠高效攻擊更接近現(xiàn)實(shí)場(chǎng)景中的黑盒模型，該方法不需要使用梯度或置信度信息，利用決策邊界的幾何屬性，在獲得極少信息量的情況下對(duì)模型進(jìn)行高效的攻擊。

對(duì)抗攻擊方法在圖像分類領(lǐng)域取得了一定的研究成果后，研究人員開始將對(duì)抗攻擊方法擴(kuò)展到目標(biāo)檢測(cè)領(lǐng)域。2017年，Lu等人[14]提出了DFool算法，是一種針對(duì)Faster R-CNN[15]的白盒對(duì)抗攻擊方法，其利用Faster R-CNN在所有STOP交通標(biāo)志上進(jìn)行得分測(cè)試，通過(guò)最小化所有圖像的平均預(yù)測(cè)得分，設(shè)計(jì)出STOP交通標(biāo)志的對(duì)抗樣本。Xie等人[16]針對(duì)目標(biāo)檢測(cè)器的分類損失函數(shù)提出了DAG攻擊方法，該方法首先得到每個(gè)目標(biāo)物體的正確類別，然后再為目標(biāo)物體設(shè)置一個(gè)不正確的標(biāo)簽，通過(guò)迭代增大不正確的標(biāo)簽的置信度，同時(shí)減小正確標(biāo)簽的置信度，最終使得檢測(cè)器對(duì)輸入圖片的所有感興趣區(qū)域(RoI, region of interest)都分類錯(cuò)誤。Wang等人[17]提出了一種針對(duì)YOLO目標(biāo)檢測(cè)器[18]的對(duì)抗攻擊方法——Daedalus，通過(guò)攻擊YOLO的非極大值抑制機(jī)制來(lái)使YOLO檢測(cè)錯(cuò)誤。Wu等人在2019年提出了一種針對(duì)目標(biāo)檢測(cè)器的黑盒攻擊方法——G-UAP[19]，其是在UAP方法[20]的基礎(chǔ)上進(jìn)行了改進(jìn)，通過(guò)誘導(dǎo)RPN網(wǎng)絡(luò)[15]將前景目標(biāo)誤認(rèn)為是背景，即降低圖片中前景目標(biāo)的置信度，同時(shí)增加背景的置信度從而實(shí)現(xiàn)攻擊。2020年，Chow等人[21]從目標(biāo)檢測(cè)器的輸出結(jié)構(gòu)考慮，提出了3種有針對(duì)性的對(duì)抗攻擊方法，稱為TOG，其利用模型的損失函數(shù)，通過(guò)3種類型的有目標(biāo)攻擊來(lái)欺騙目標(biāo)檢測(cè)器，包括目標(biāo)消失、目標(biāo)制造和目標(biāo)標(biāo)簽錯(cuò)誤。

僅利用模型的決策信息進(jìn)行對(duì)抗攻擊的方法目前只在圖像分類領(lǐng)域有相關(guān)研究，現(xiàn)有的針對(duì)目標(biāo)檢測(cè)器的對(duì)抗攻擊方法都需要知道模型的內(nèi)部結(jié)構(gòu)或者知道其輸出的置信度信息才能實(shí)現(xiàn)高效的攻擊，而工業(yè)界應(yīng)用的目標(biāo)檢測(cè)器通常不會(huì)為用戶提供過(guò)多的信息，因此本文提出了一種適用于工業(yè)界應(yīng)用的目標(biāo)檢測(cè)器的對(duì)抗攻擊方法。

2 對(duì)抗邊界與對(duì)抗樣本標(biāo)準(zhǔn)的設(shè)計(jì)

本文提出的對(duì)抗攻擊方法通過(guò)沿著對(duì)抗邊界游走以找到最優(yōu)對(duì)抗樣本，使目標(biāo)檢測(cè)器定位準(zhǔn)確度降低。為了更好的描述本文方法，現(xiàn)給出定位準(zhǔn)確度評(píng)價(jià)指標(biāo)以及對(duì)抗邊界與對(duì)抗樣本標(biāo)準(zhǔn)的設(shè)計(jì)。

2.1 定位準(zhǔn)確度評(píng)價(jià)指標(biāo)

目標(biāo)檢測(cè)器的主要任務(wù)不僅是分類，同時(shí)還需要定位，目標(biāo)檢測(cè)器對(duì)于單個(gè)目標(biāo)的定位好壞通常用IoU來(lái)評(píng)價(jià)。IoU用于衡量預(yù)測(cè)框和人工標(biāo)注的真實(shí)框的重合程度，其計(jì)算方法如下：

(1)

即預(yù)測(cè)回歸框與真實(shí)回歸框的交集比上預(yù)測(cè)回歸框與真實(shí)回歸框的并集。

通常，我們會(huì)設(shè)置一個(gè)IoU門限值，大于這個(gè)門限值的檢測(cè)框我們就認(rèn)為其檢測(cè)到了目標(biāo)，而小于這個(gè)門限值我們就認(rèn)為其沒有檢測(cè)到目標(biāo)，當(dāng)IoU門限值設(shè)置為0.5時(shí)的檢測(cè)效果如圖1所示。

圖1 IoU門限值為0.5時(shí)檢測(cè)效果

利用對(duì)抗攻擊方法生成對(duì)抗樣本是針對(duì)整張圖片而言的，而不是一個(gè)目標(biāo)，只能評(píng)價(jià)單個(gè)目標(biāo)的定位好壞，對(duì)于一張圖片所有目標(biāo)的定位結(jié)果我們引入平均作為評(píng)價(jià)指標(biāo)，其計(jì)算公式如下：

(2)

其中:IoU1、…、IoUi、…、IoUN分別為第i個(gè)真實(shí)框所匹配的最大IoU值。

以圖2為例，兩個(gè)黑色的邊界框?yàn)槲覀儤?biāo)注的真實(shí)邊界框，4個(gè)灰色的邊界框?yàn)槟Ｐ皖A(yù)測(cè)的邊界框，我們的目標(biāo)就是為找到分別與所有真實(shí)邊界框IoU最大的預(yù)測(cè)框，并記錄IoU值，然后計(jì)算平均值。以圖2為例，我們首先選取真實(shí)框1，并遍歷4個(gè)預(yù)測(cè)框，找到與真實(shí)框1的IoU最大的預(yù)測(cè)框?yàn)轭A(yù)測(cè)框1，記錄IoU此為IoU1；然后選取真實(shí)框2，由于預(yù)測(cè)框1已經(jīng)被匹配了，我們就不再匹配它，所以遍歷剩下的3個(gè)預(yù)測(cè)框，找到與真實(shí)框2的IoU最大的預(yù)測(cè)框，記錄IoU此為IoU2(此時(shí)沒有預(yù)測(cè)框與真實(shí)框2相交，所以IoU2為0)。所以平均IoU為(IoU1+IoU2)/2。

圖2 計(jì)算IoU示例

2.2 對(duì)抗邊界

GA={Pi|avg_IoUA(Pi)>50%}

(3)

在一個(gè)目標(biāo)檢測(cè)神經(jīng)網(wǎng)絡(luò)中，圖像A的對(duì)抗邊界指圖像A的對(duì)抗區(qū)域中最靠近其非對(duì)抗區(qū)域的圖像的集合，即圖像A的對(duì)抗區(qū)域的最內(nèi)層，進(jìn)行極其微小的移動(dòng)都會(huì)進(jìn)入到非對(duì)抗區(qū)域。圖像A的對(duì)抗邊界為：

(4)

2.3 對(duì)抗樣本標(biāo)準(zhǔn)

在本文提出的攻擊方法中，判斷圖像為對(duì)抗樣本的標(biāo)準(zhǔn)為圖像的平均IoU小于50%。當(dāng)受攻擊的目標(biāo)圖像的平均IoU從50%以上降低到50%以下時(shí)，我們就認(rèn)為目標(biāo)檢測(cè)器定位失效了，其對(duì)該圖片的定位發(fā)生了錯(cuò)誤。

3 目標(biāo)檢測(cè)器決策攻擊方法

充分研究對(duì)抗攻擊算法有助于對(duì)對(duì)抗攻擊防御方法進(jìn)行完善，增強(qiáng)深度神經(jīng)網(wǎng)絡(luò)模型的魯棒性，為了挖掘工業(yè)應(yīng)用的目標(biāo)檢測(cè)器易失效的原因以提高其魯棒性，本文提出了一種基于決策的目標(biāo)檢測(cè)器黑盒對(duì)抗攻擊方，通過(guò)使目標(biāo)檢測(cè)器定位錯(cuò)誤來(lái)實(shí)現(xiàn)針對(duì)目標(biāo)檢測(cè)器的對(duì)抗攻擊，借鑒了邊界攻擊[13]的思想，利用迭代搜索的方法尋找最優(yōu)對(duì)抗樣本。

3.1 總體流程

本文首次將邊界攻擊的思想應(yīng)用于目標(biāo)檢測(cè)任務(wù)，提出了針對(duì)目標(biāo)檢測(cè)器的決策攻擊方法。該方法總體流程圖如圖3所示，在得到原始輸入圖像后，本文提出的方法需要使用已經(jīng)對(duì)抗的樣本進(jìn)行初始化，首先粗略地尋找無(wú)擾動(dòng)限制的初始對(duì)抗樣本，為了減小擾動(dòng)大小，將初始對(duì)抗樣本朝著原圖的方向進(jìn)行移動(dòng)直到到達(dá)對(duì)抗邊界附近并保證圖像仍為對(duì)抗樣本，然后將當(dāng)前對(duì)抗樣本沿著對(duì)抗邊界執(zhí)行迭代游走，游走的方向需要為與原始圖像距離更近的方向，同時(shí)仍停留對(duì)抗區(qū)域中，從而保證樣本仍是對(duì)抗樣本的同時(shí)降低與原始圖像的距離，為了使避免擾動(dòng)難以收斂的問題，每迭代固定次數(shù)后將進(jìn)行超參數(shù)調(diào)整，當(dāng)?shù)螖?shù)達(dá)到我們所設(shè)置的次數(shù)上限后，得到最終對(duì)抗樣本。其中，本文采用歐氏距離衡量?jī)蓚€(gè)圖像之間的距離，假設(shè)圖像A的像素點(diǎn)矩陣為X，每一個(gè)像素點(diǎn)值分別為x1,x2,…,xn，圖像B的像素點(diǎn)矩陣為Y，每一個(gè)像素點(diǎn)值分別為y1,y2,…,yn，則圖像A和圖像B之間的距離公式如下：

圖3 針對(duì)目標(biāo)檢測(cè)器的決策攻擊方法流程圖

(4)

3.2 攻擊對(duì)象與初始對(duì)抗樣本生成

本文提出的攻擊方法主要攻擊的對(duì)象是平均IoU大于50%的圖像，即原始輸入圖像的平均IoU大于50%。通常認(rèn)為目標(biāo)檢測(cè)模型對(duì)平均IoU小于50%的圖像本身定位準(zhǔn)確度就較低，所以沒有必要進(jìn)行攻擊。

本文方法需要使用已經(jīng)對(duì)抗的樣本進(jìn)行初始化，在尋找初始對(duì)抗樣本的過(guò)程中，我們首先需要在測(cè)試集中找到檢測(cè)結(jié)果與輸入圖像的真實(shí)回歸框平均IoU小于0.5的圖像，作為干擾圖像，與原始圖像進(jìn)行疊加。令α為疊加系數(shù)，初始值為0.5，通過(guò)多次二分查找，保證仍是對(duì)抗樣本的同時(shí)盡可能降低α的值，以使初始對(duì)抗樣本與原始圖像的距離盡可能的小一些，減少后續(xù)迭代次數(shù)，搜索到合適的疊加系數(shù)α后，生成初始對(duì)抗樣本，其公式如下：

(6)

3.3 對(duì)抗樣本搜索策略

本文提出的方法通過(guò)沿著對(duì)抗邊界多次迭代搜索，使對(duì)抗樣本和原始圖像逐漸接近，以找到更優(yōu)的對(duì)抗樣本。為了保證每一次迭代都能得到更優(yōu)的對(duì)抗樣本，在第次迭代中，產(chǎn)生的擾動(dòng)λk需受到以下約束：

1)保證新樣本合法：

(7)

2)新樣本仍為對(duì)抗樣本：

(8)

3)新樣本與原始圖像的距離減?。?/p>

(9)

我們將一次迭代過(guò)程分為兩步移動(dòng)，如圖4所示，第一步進(jìn)行正交移動(dòng)，即沿著以原始圖像為中心的超球面上先走一步，這一步保證需要保證距離原始圖像的距離保持不變；第二步在第一步的基礎(chǔ)上朝著原始圖像點(diǎn)的方向前進(jìn)，這一步的主要作用就是使對(duì)抗樣本和原始圖像之間的距離減小。我們將一次迭代過(guò)程分為兩步移動(dòng)的主要原因是IoU大于50%的區(qū)域并不是以原始樣本為中心的一個(gè)圓，這意味著即使我們走到了區(qū)域邊界也不一定是距離原始圖像最近的地方，甚至擾動(dòng)可能還非常大，如圖4所示的對(duì)抗樣本點(diǎn)，若我們直接朝著原始圖像點(diǎn)的方向進(jìn)行移動(dòng)，那么能移動(dòng)的距離非常有限，稍微增加步長(zhǎng)可能就會(huì)到IoU大于50%的區(qū)域，此時(shí)，不管迭代多少次，對(duì)抗樣本與原始樣本的距離都無(wú)法再減小了。而如箭頭所示，如果我們按照我們約束的方向分為兩步走，我們將會(huì)到達(dá)離原始圖像更近的地方，同時(shí)使樣本仍停留在對(duì)抗區(qū)域。

圖4 一次迭代移動(dòng)過(guò)程

若我們?cè)诘趉次迭代時(shí)失敗了，即走進(jìn)了非對(duì)抗區(qū)域，那么我們這一次迭代就不進(jìn)行移動(dòng)，對(duì)抗樣本依然保持我們上一次(第k-1次)迭代后的狀態(tài)，調(diào)整方向或步長(zhǎng)，然后繼續(xù)下一次迭代。

3.4 超參數(shù)更新方式

針對(duì)目標(biāo)檢測(cè)器的決策攻擊方法在迭代過(guò)程中主要對(duì)兩個(gè)超參數(shù)進(jìn)行動(dòng)態(tài)調(diào)整，一個(gè)是正交移動(dòng)的步長(zhǎng)δ，另一個(gè)是朝原始圖像前進(jìn)的步長(zhǎng)η。為了使算法更快的收斂，我們?cè)诘倪^(guò)程中自動(dòng)調(diào)整超參數(shù)，調(diào)整策略如下：在n次迭代中，記錄正交移動(dòng)成功的次數(shù)α，朝原始圖像移動(dòng)成功的次數(shù)β，α/n為正交移動(dòng)的成功率，其值越大，說(shuō)明正交方向距離對(duì)抗邊界越遠(yuǎn)，為了提高算法收斂速度，需增大δ，反之，α/n的值過(guò)小，說(shuō)明多次移動(dòng)都越過(guò)了決策邊界進(jìn)入了非對(duì)抗區(qū)域，則需減小δ；朝原始圖像移動(dòng)是在正交移動(dòng)的基礎(chǔ)上進(jìn)行的，所以其成功率需要在正交移動(dòng)成功的條件下進(jìn)行計(jì)算，即β/α，其值越大，說(shuō)明朝原始圖像的方向距離對(duì)抗邊界越遠(yuǎn)，需增大η以提高算法迭代效率，相反，當(dāng)β/α的值越小，說(shuō)明多次移動(dòng)都失敗了，需減小η。

為了確定步長(zhǎng)縮放系數(shù)，對(duì)其進(jìn)行了對(duì)比實(shí)驗(yàn)，實(shí)驗(yàn)以樣本收斂所需的最少迭代次數(shù)為標(biāo)準(zhǔn)來(lái)評(píng)價(jià)算法的收斂速度，從而確定最佳參數(shù)設(shè)置。實(shí)驗(yàn)結(jié)果顯示，步長(zhǎng)縮放系數(shù)為3時(shí)，算法的收斂速度最快，同時(shí)，移動(dòng)成功率在0.2～0.6時(shí)算法具有相對(duì)穩(wěn)定的收斂速度，因此，步長(zhǎng)調(diào)整時(shí)機(jī)(即成功率為多少時(shí)進(jìn)行調(diào)節(jié))設(shè)置為0.2和0.6。動(dòng)態(tài)調(diào)整步長(zhǎng)的具體策略如下：每迭代25次自動(dòng)調(diào)整一次步長(zhǎng)，若正交移動(dòng)成功率大于0.6，那么我們就將δ增大為3δ，若我們的正交移動(dòng)成功率小于0.2，就將δ減小為δ/3，若成功率在0.2和0.6之間，那么我們就維持該步長(zhǎng)不變；同理，朝原圖移動(dòng)的步長(zhǎng)也是同樣的調(diào)整策略，如果成功率大于0.6，就增大η到原來(lái)的3倍，如果成功率小于0.2，就減小η為原來(lái)的1/3倍，若成功率在0.2和0.6之間，就維持η不變，然后進(jìn)入下一個(gè)25次的迭代。

4 實(shí)驗(yàn)結(jié)果與分析

4.1 實(shí)驗(yàn)設(shè)置

1)數(shù)據(jù)集。

PASCAL VOC2012數(shù)據(jù)集是PASCAL VOC大賽中所提供的提供了一整套標(biāo)準(zhǔn)化的優(yōu)秀的數(shù)據(jù)集，是目標(biāo)檢測(cè)任務(wù)的基準(zhǔn)數(shù)據(jù)之一，在目標(biāo)檢測(cè)任務(wù)中被頻繁使用。VOC2012數(shù)據(jù)集總共分為20類，共11 540張圖片，其中訓(xùn)練集有5 717張圖片，驗(yàn)證集有5 823張圖片。本文利用訓(xùn)練集中所有圖片訓(xùn)練目標(biāo)檢測(cè)模型，并從驗(yàn)證集中隨機(jī)抽取256張圖片作為原始圖片，利用本文提出的方法生成對(duì)抗樣本，并測(cè)試mAR與mAP。

2)目標(biāo)檢測(cè)模型。

本文使用在VOC2012數(shù)據(jù)集上訓(xùn)練的Faster-Rcnn目標(biāo)檢測(cè)模型作為受攻擊模型，主干網(wǎng)絡(luò)(backbone)部分采用ResNet50和FPN組合的網(wǎng)絡(luò)結(jié)構(gòu)。模型的閾值設(shè)置為0.5，即置信度高于0.5時(shí)才認(rèn)為檢測(cè)到了目標(biāo)。

4.2 實(shí)驗(yàn)結(jié)果及分析

本實(shí)驗(yàn)在VOC2012驗(yàn)證集中隨機(jī)抽取的256張圖片進(jìn)行了對(duì)抗樣本生成，圖5展示了利用本文方法生成對(duì)抗樣本的具體過(guò)程，從圖中可以看出，隨著迭代次數(shù)的增加，對(duì)抗樣本與原始圖像之間的距離逐漸減小。在迭代初期，距離減小的速度較快，到迭代后期時(shí)，對(duì)抗樣本逐漸趨于收斂，距離減小的速度變緩，迭代20 000次時(shí)，對(duì)抗樣本已經(jīng)收斂。

圖5 本文方法生成對(duì)抗樣本的具體過(guò)程

由于目標(biāo)檢測(cè)問題中的每個(gè)圖像都可能具有不同類別的不同目標(biāo)，模型的分類和定位都需要進(jìn)行評(píng)估，因此，在圖像分類問題中所使用的標(biāo)準(zhǔn)度量不能直接應(yīng)用于目標(biāo)檢測(cè)問題。平均召回率(AR，average recall)表示某一類別檢出正樣本占實(shí)際正樣本總數(shù)的比例，即查全率，平均精度(AP，average precision)表示某一類別被分為正樣本的樣本中實(shí)際為正樣本的比例，即查準(zhǔn)率。為了驗(yàn)證本文方法的有效性，實(shí)驗(yàn)采用全類平均召回率(mAR，mean average recall)和全類平均精度(mAP，mean average precision)評(píng)估目標(biāo)檢測(cè)模型的檢測(cè)準(zhǔn)確性，即對(duì)所有類別計(jì)算AR與AP的平均值，在VOC2012數(shù)據(jù)集上測(cè)得的mAR與mAP的值如表1所示。從表1可以看出，本文提出的攻擊方法使目標(biāo)檢測(cè)器的mAR從0.636降低到0.131，mAP從0.801降低到0.071，表明了模型在受到本文提出的攻擊方法攻擊后，其檢測(cè)能力被有效降低，該方法使得目標(biāo)檢測(cè)模型失效，且具有較好的攻擊性能。

表1 實(shí)驗(yàn)結(jié)果對(duì)比

本文提出的攻擊算法在VOC2012數(shù)據(jù)集取得了理想的攻擊效果。為了驗(yàn)證生成的對(duì)抗樣本只會(huì)使目標(biāo)檢測(cè)器誤判而不會(huì)影響“人眼”的判斷，本實(shí)驗(yàn)進(jìn)行了定性分析，圖6展示了本文方法生成的對(duì)抗樣本示例，左邊是模型對(duì)原始圖像的檢測(cè)結(jié)果，右邊是模型對(duì)對(duì)抗樣本的檢測(cè)結(jié)果。模型受到攻擊后，已經(jīng)無(wú)法檢測(cè)出第一行樣本中的顯示器，第二行樣本的兩個(gè)牛的目標(biāo)僅檢測(cè)出了一個(gè)，第三行樣本的中的人也沒有檢測(cè)到，第四行樣本中的兩只羊僅檢測(cè)出了一只。可以看到對(duì)抗樣本在視覺上與原始圖像十分接近，人眼無(wú)法察覺出干擾的存在，因此對(duì)抗樣本不會(huì)使人判斷錯(cuò)誤，但使得模型對(duì)其檢測(cè)結(jié)果的平均IoU均降低到了50%以下，造成了模型的定位準(zhǔn)確度降低。

圖6 生成對(duì)抗樣本示例

4.3 超參數(shù)選擇

為了確定步長(zhǎng)縮放系數(shù)對(duì)實(shí)驗(yàn)的影響，在VOC驗(yàn)證集中隨機(jī)選取了三張圖片作為測(cè)試樣本，利用本文提出的攻擊方法進(jìn)行攻擊，除了步長(zhǎng)縮放系數(shù)外，其他參數(shù)均相同設(shè)置，通過(guò)調(diào)整步長(zhǎng)縮放系數(shù)，進(jìn)行對(duì)比實(shí)驗(yàn)以觀察其對(duì)對(duì)抗樣本收斂所需迭代次數(shù)的影響，實(shí)驗(yàn)結(jié)果如圖7所示。由曲線圖可以發(fā)現(xiàn)，隨著步長(zhǎng)縮放系數(shù)的增大，三張測(cè)試集所生成的對(duì)抗樣本收斂所需的迭代次數(shù)均先減小后又增大，步長(zhǎng)縮放系數(shù)設(shè)置為3左右時(shí)，三張對(duì)抗樣本所需迭代次數(shù)均最少。因此步長(zhǎng)縮放系數(shù)選取為3，可以有效提高對(duì)抗樣本的生成效率。

圖7 收斂所需的迭代次數(shù)與步長(zhǎng)縮放系數(shù)關(guān)系圖

5 結(jié)束語(yǔ)

為了揭示真實(shí)世界中大多只提供最終決策的商業(yè)目標(biāo)檢測(cè)器的弱點(diǎn)以提高其魯棒性，本文提出了一種針對(duì)目標(biāo)檢測(cè)器的決策攻擊方法，該方法的特點(diǎn)是不需要知道模型的梯度信息和置信度信息，僅需利用目標(biāo)檢測(cè)器輸出的檢測(cè)框的位置信息，從使目標(biāo)檢測(cè)器定位錯(cuò)誤的角度實(shí)現(xiàn)高效的攻擊。但由于該方法了解模型的信息有限，需通過(guò)大量的訪問模型對(duì)對(duì)抗樣本進(jìn)行迭代從而生成最終對(duì)抗樣本，該過(guò)程需耗費(fèi)大量的時(shí)間，對(duì)抗樣本的生成速度還需進(jìn)一步提升。