黃世澤，張肇鑫，董德存，秦晉哲

（1.上海市軌道交通結(jié)構(gòu)耐久與系統(tǒng)安全重點實驗室，上海201804；2.同濟大學(xué)道路與交通工程教育部重點實驗室，上海201804）

隨著深度學(xué)習(xí)和卷積神經(jīng)網(wǎng)絡(luò)（convolutional neural network，CNN）的不斷發(fā)展，通過CNN解決諸如圖像分類［1］、目標(biāo)檢測［2］以及故障診斷［3-4］等問題已成為共識。在智能交通領(lǐng)域［5］，通過車載攝像設(shè)備采集車輛行駛環(huán)境視覺信息，基于深度學(xué)習(xí)檢測車輛行駛前方障礙物，這可突破司機感知的局限性，提高交通運營安全。

研究表明，對抗樣本的存在對深度學(xué)習(xí)造成較大的威脅，即通過對輸入圖像施加人眼不可察覺的細(xì)微擾動，可以使深度神經(jīng)網(wǎng)絡(luò)以較高的置信度輸出任意想要的分類，這樣的輸入稱為對抗樣本。Szegedy等［6］提出了一種有限記憶BFGS（limited BFGS，L-BFGS）算法，通過盡量找到最小的可能的攻擊擾動來生成對抗樣本，即使存在擾動的圖像與干凈的圖像只有微小的差別，甚至這些擾動肉眼察覺不到，也會導(dǎo)致分類器分類錯誤。Moosavi-Dezfooli等［7］證明了深度學(xué)習(xí)網(wǎng)絡(luò)中普遍存在一種使其錯誤識別的擾動。Goodfellow等［8］提出了快速梯度符號方法（fast gradient sign method，F(xiàn)GSM），尋找深度學(xué)習(xí)模型的梯度變化最大方向，并按照此方向?qū)D像添加擾動。上述幾種方法需要獲取網(wǎng)絡(luò)結(jié)構(gòu)，因此被稱為白盒攻擊。除了上述幾種方法，基于雅可比矩陣的顯著性圖攻擊（Jacobian-based saliency map attack，JSMA）［9］、Carlini&Wagner（C&W）算法［10］、迭代極小可能類法（iterative leastlikely class method，ILCM）［11］、TargetedFool［12］也是白盒攻擊方法。與白盒攻擊相對應(yīng)的是黑盒攻擊，黑盒攻擊不需要獲取網(wǎng)絡(luò)的詳細(xì)結(jié)構(gòu)。文獻(xiàn)［13］中，通過粒子群優(yōu)化（particle swarm optimization，PSO）算法尋找對抗樣本，不需要獲取網(wǎng)絡(luò)結(jié)構(gòu)，取得了較好的實驗效果。在物理世界，通過對真實世界中的車牌進(jìn)行黑盒攻擊，欺騙車牌識別系統(tǒng)，從而驗證了攻擊方法的遷移性［14］。文獻(xiàn)［15］中提出一種面向人臉活體檢測的對抗樣本生成方法?？傮w來說，上述方法都是基于分類器網(wǎng)絡(luò)的對抗樣本生成方法，對于其他類型的深度學(xué)習(xí)對抗攻擊具有非常重要的借鑒意義。

隨著深度學(xué)習(xí)網(wǎng)絡(luò)應(yīng)用場景的不斷拓展，針對目標(biāo)檢測器的對抗樣本生成方法［16-17］近年來陸續(xù)被提 出。Xie等［18］提 出 了 稠 密 對 抗 生 成（dense adversary generation，DAG）算法，將梯度下降算法應(yīng)用到對抗樣本的優(yōu)化問題來實現(xiàn)對目標(biāo)檢測器的攻擊。2019年，Wei等［19］提出了統(tǒng)一有效對抗（unified and efficient adversary，UEA）算法，基于生成對抗網(wǎng)絡(luò)（generative adversarial networks，GAN）框架來獲取對抗性圖像和視頻。Wang等［20］將投影梯度下降（projected gradient descent，PGD）算法運用到目標(biāo)檢測器攻擊，取得了較好的攻擊效果，該算法能夠應(yīng)用于許多神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。Huang等［21］提出了針對Faster R-CNN的改進(jìn)的PGD算法和改進(jìn)的C&W算法，成功攻擊了Faster R-CNN目標(biāo)檢測器。Xiao等［22］提出了一種針對目標(biāo)檢測器的對抗樣本生成方法，無目標(biāo)攻擊效果較好，但未得到目標(biāo)定向攻擊效果和目標(biāo)隱身攻擊效果。通過尋優(yōu)算法在不需要獲取網(wǎng)絡(luò)參數(shù)的條件下生成能夠讓目標(biāo)隱身的黑盒對抗樣本，但生成過程中需要查詢模型輸出結(jié)果的次數(shù)過多［23］。物理攻擊方面，通過改進(jìn)的ShapeShifter方法并利用Faster R-CNN網(wǎng)絡(luò)，在不同的距離和角度攻擊中文停車牌，取得了較好的攻擊效果［24］。

基于分類器網(wǎng)絡(luò)的對抗樣本生成方法不能有效攻擊目標(biāo)檢測器，現(xiàn)有攻擊目標(biāo)檢測器的對抗樣本生成方法僅針對無目標(biāo)攻擊，攻擊方式和效果有限。因此，針對YOLO目標(biāo)檢測器的對抗樣本生成問題，提出了目標(biāo)隱身攻擊和目標(biāo)定向攻擊2種對抗樣本生成方法。

1 對抗樣本生成方法

1.1 對抗樣本生成流程

首先，通過目標(biāo)檢測網(wǎng)絡(luò)的訓(xùn)練參數(shù)得到網(wǎng)絡(luò)輸出信息，包括目標(biāo)所在的包圍框和對應(yīng)的類別置信度；然后，設(shè)計一種損失函數(shù)，用于對抗樣本所需梯度信息的生成；最后，通過線性化梯度信息獲取針對目標(biāo)檢測網(wǎng)絡(luò)的對抗樣本。對抗樣本生成流程如圖1所示。

圖1 對抗樣本生成流程Fig.1 Main framework of generating adversarial examples

對抗樣本生成算法的具體實施過程如下：

（1）對抗樣本初始化，將原始圖像作為對抗樣本的初始圖像。

（2）將初始化的對抗樣本輸入目標(biāo)檢測器YOLO，得到目標(biāo)的位置和置信度。

（3）損失函數(shù)設(shè)計。

（4）根據(jù)構(gòu)建的損失函數(shù)計算對抗樣本相應(yīng)梯度。

（5）通過反向傳播算法更新對抗樣本。

（6）判斷是否達(dá)到設(shè)置的迭代次數(shù)，若是則輸出對抗樣本，若不是則返回（2）進(jìn)行下一次迭代。

1.2 目標(biāo)隱身攻擊對抗樣本生成算法

目標(biāo)隱身攻擊具體表現(xiàn)為：YOLO目標(biāo)檢測器不能檢測出圖像中真實存在的目標(biāo)，也就是目標(biāo)在YOLO目標(biāo)檢測器下處于隱身狀態(tài)。在針對目標(biāo)隱身攻擊的對抗樣本生成方法中，需要尋找能夠使目標(biāo)類別的置信度最小的擾動，如下所示：

式中：L為損失函數(shù)；M為目標(biāo)檢測器；xori為原始圖像；r為需要計算的對抗擾動；θ為模型參數(shù)；y^為模型對圖像的預(yù)測值，在本研究中指的是目標(biāo)類別的置信度。

通過損失函數(shù)的設(shè)計降低真實目標(biāo)類別的置信度，生成隱身攻擊所需的對抗樣本梯度信息。設(shè)計的損失函數(shù)如下所示：

式中：N為由目標(biāo)檢測器計算得到的目標(biāo)個數(shù)；C為目標(biāo)類別的置信度。

L∞范數(shù)約束下的對抗擾動為L2范數(shù)約束下的對抗擾動為

式（3）和式（4）中：‖‖2為L2范數(shù)歸一化；α為學(xué)習(xí)率，α=0.02；?txL為計算得到的相應(yīng)梯度，其中t為迭代次數(shù)；sign為符號函數(shù)，即sign(φ)=其中φ為真實值。

對抗樣本xtadv的計算式為

1.3 目標(biāo)定向攻擊對抗樣本生成算法

目標(biāo)定向攻擊具體表現(xiàn)為：原始類別為“car”的目標(biāo)，YOLO目標(biāo)檢測器錯誤地將其識別為類別“bus”。在針對目標(biāo)定向攻擊的對抗樣本生成方法中，需要尋找能夠使目標(biāo)類別的置信度最小的擾動，如下所示：

式中：y^′為定向識別的目標(biāo)類別置信度。

在針對目標(biāo)定向攻擊的對抗樣本生成方法中，通過損失函數(shù)的設(shè)計降低被攻擊目標(biāo)類別的置信度，提高攻擊定向目標(biāo)類別的置信度，進(jìn)而生成目標(biāo)定向攻擊中的對抗樣本梯度。

通過損失函數(shù)的設(shè)計降低真實目標(biāo)類別的置信度，進(jìn)而生成目標(biāo)攻擊所需的對抗樣本梯度信息。損失函數(shù)如下所示：

L∞范數(shù)約束下的對抗擾動為

L2范數(shù)約束下的對抗擾動為

對抗樣本xtadv的計算式為

1.4 算法偽代碼

對抗樣本生成算法的偽代碼如圖2所示。

圖2 對抗樣本生成算法的偽代碼Fig.2 Pseudo code for adversarial example generation algorithm

2 方法驗證

2.1 數(shù)據(jù)集來源介紹

為驗證數(shù)據(jù)的有效性，收集了Rail數(shù)據(jù)集和Cityscapes數(shù)據(jù)集［25］。Rail數(shù)據(jù)集為根據(jù)深圳龍華有軌電車運行的真實數(shù)據(jù)制作的有軌電車數(shù)據(jù)集，數(shù)據(jù)圖像的原始分辨率為1 920×1 080，實驗中將分辨率調(diào)整為960×540。Rail數(shù)據(jù)集包括了1 094張有軌電車運行環(huán)境圖片，選擇全部圖片進(jìn)行目標(biāo)隱身攻擊，選擇115張包含類別“car”和“bus”的目標(biāo)進(jìn)行目標(biāo)定向攻擊。Cityscapes數(shù)據(jù)集為由車載相機采集的德國真實城市道路圖像數(shù)據(jù)集，選取了包含類別“car”和“bus”的404張圖片進(jìn)行實驗。為減少計算消耗，將圖像分辨率由2 048×1 024調(diào)整為1 024×512。軟件測試環(huán)境為TensorFlow 1.13.1和Keras 2.2.4。硬件環(huán)境為Intel（R）Core（TM）i7-7800X CPU，3.50 GHz，32 GB內(nèi)存，NVIDIA GeForce GTX 1080Ti 11GB。

2.2 目標(biāo)隱身攻擊實驗結(jié)果

目標(biāo)隱身攻擊下的原始圖像和對抗樣本如圖3所示。由圖3可知，YOLO version3（YOLOv3）目標(biāo)檢測器能夠有效識別原始圖像中的目標(biāo)。本方法生成的對抗樣本導(dǎo)致YOLOv3目標(biāo)檢測器不能識別出目標(biāo)（L2=0.2，L∞=0.05）。

圖3 原始圖像和目標(biāo)隱身攻擊下的對抗樣本Fig.3 Original image and adversarial example under object invisible attacks

平均準(zhǔn)確率（mean average precision，αmAP）指標(biāo)通常被用作目標(biāo)檢測數(shù)據(jù)集的評價指標(biāo)。為了進(jìn)一步評估對抗效果，利用平均準(zhǔn)確率指標(biāo)進(jìn)行2種數(shù)據(jù)集的效果驗證。實驗中交并比（intersection over union，IoU）閾值設(shè)置為0.5，目標(biāo)置信度設(shè)置為0.5。同時，改寫了攻擊分類器的對抗樣本算法CI-FGSM［26］和AI-FGSM［27］，用于攻擊YOLOv3目標(biāo)檢測器，并與本方法進(jìn)行比較，如圖4所示。實驗結(jié)果表明，在YOLOv3目標(biāo)檢測器的目標(biāo)隱身攻擊中，本方法相比其他2種方法攻擊效果更加明顯。

為了綜合評估本方法的攻擊效果，利用峰值信噪比（peak signal-to-noise ratio，βPSNR）和結(jié)構(gòu)相似性（structural similarity，γSSIM）指標(biāo)進(jìn)行圖像相似度比較，如圖5和圖6所示。

由圖4和圖5可見：本方法的峰值信噪比與CIFGSM相近，但本方法保持了較高的攻擊成功率；與AI-FGSM相比，本方法保持了較高的攻擊成功率和較高的圖像峰值信噪比。由圖4和圖6可見：L2范數(shù)攻擊下結(jié)構(gòu)相似性相近，同時本方法保持了較高的攻擊成功率；L∞范數(shù)攻擊下，雖然本方法的結(jié)構(gòu)相似性有所降低，但是仍保持了較高的攻擊成功率。綜合來看，本方法更加有效。

圖4 基于目標(biāo)隱身攻擊對抗樣本的平均準(zhǔn)確率Fig.4 Mean average precision of adversarial example under object invisible attacks

圖5 原始圖像與對抗樣本的峰值信噪比Fig.5 Peak signal-to-noise ratio of original image and adversarial example

圖6 原始圖像與對抗樣本的結(jié)構(gòu)相似性Fig.6 Structural similarity of original image and adversarial example

2.3 目標(biāo)定向攻擊實驗結(jié)果

原始圖像和目標(biāo)定向攻擊下對抗樣本圖像如圖7所示。由圖7可知，YOLOv3目標(biāo)檢測器能夠有效識別原始圖像中出現(xiàn)的目標(biāo)。本方法生成的對抗樣本則導(dǎo)致YOLOv3目標(biāo)檢測器將原本類別為“car”的目標(biāo)識別成了“bus”（L2=1.0，L∞=0.05）。

圖7 原始圖像和目標(biāo)定向攻擊下的對抗樣本Fig.7 Original image and adversarial example under object targeted mis-detectable attacks

本方法對抗樣本目標(biāo)定向攻擊是將原本類別為“car”的目標(biāo)識別成了“bus”，因此利用類別“car”的識別召回率（recall rate，rRR）和類別“bus”的識別準(zhǔn)確率（precision rate，pPR）指標(biāo)進(jìn)行對抗樣本攻擊效果的驗證，如圖8和圖9所示。實驗結(jié)果表明，與其他方法相比，本方法具有更好的攻擊效果。

從圖8～10可見，本方法與CI-FGSM和AIFGSM相比，峰值信噪比相近，同時本方法攻擊效果較好。從圖8、圖9和圖11可見：L2范數(shù)攻擊下3種方法的結(jié)構(gòu)相似性相近，同時本方法攻擊效果較好；L∞范數(shù)攻擊下，雖然本方法結(jié)構(gòu)相似性有所降低，但是仍保持了較高的攻擊成功率。因此，本方法更加有效。

圖8 基于目標(biāo)定向攻擊的對抗樣本召回率Fig.8 Recall rate of adversarial example under object targeted mis-detectable attacks

圖9 基于目標(biāo)定向攻擊的對抗樣本準(zhǔn)確率Fig.9 Precision rate of adversarial example under object targeted mis-detectable attacks

圖11 原始圖像與對抗樣本的結(jié)構(gòu)相似性Fig.11 Structural similarity of original image and adversarial example

圖10 原始圖像與對抗樣本的峰值信噪比Fig.10 Peak signal-to-noise ratio of original image and adversarial example

3 結(jié)語

針對YOLO目標(biāo)檢測器，提出了攻擊效果更加全面的對抗樣本生成方法。通過獲取目標(biāo)檢測器的網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計對抗樣本的損失函數(shù)，然后通過所提出的對抗樣本生成方法獲取對抗樣本。在Rail數(shù)據(jù)集和Cityscapes數(shù)據(jù)集上進(jìn)行了驗證，表明該方法對YOLOv3目標(biāo)檢測器具有較高的攻擊率，并且該方法能夠?qū)崿F(xiàn)目標(biāo)隱身攻擊和目標(biāo)定向攻擊。

作者貢獻(xiàn)聲明：

黃世澤：提出對抗樣本生成研究方案，最終版本修訂。

張肇鑫：具體程序設(shè)計實現(xiàn)。

董德存：基于車載環(huán)境感知的可靠性提出研究思路。

秦晉哲：算法的驗證和對比。