(19)国家知识产权局(12)发明专利申请(10)申请公布号CN114821215A(43)申请公布日2022.07.29(21)申请号202110116976.5(22)申请日2021.01.27(71)申请人中国科学技术大学地址230026安徽省合肥市包河区金寨路96号(72)发明人张勇东张天柱冯巍巍(74)专利代理机构中科专利商标代理有限责任公司11021专利代理师孙蕾(51)Int.Cl.G06V10/774(2022.01)G06V10/764(2022.01)G06V10/82(2022.01)G06N3/08(2006.01)权利要求书3页说明书7页附图5页(54)发明名称物理对抗攻击方法、物理对抗攻击模型训练方法及装置(57)摘要一种物理对抗攻击方法、物理对抗攻击模型训练方法及装置，训练方法包括：获取训练样本数据集，其中，训练样本数据集包括数字图像及基准图像，数字图像包括真实标签；将数字图像及基准图像输入待训练的物理对抗攻击模型，输出对抗损失值、分类标签及攻击损失值；基于对抗损失值及攻击损失值优化物理对抗攻击模型的网络参数；以及输出网络参数满足预设条件时对应的物理对抗攻击模型。本发明的物理对抗攻击模型训练方法可以实现保留在将数字对抗图像部署到现实世界的过程中对抗信息的丢失，使对抗图像保留对抗性的效果。CN114821215ACN114821215A权利要求书1/3页1.一种物理对抗攻击模型训练方法，包括：获取训练样本数据集，其中，所述训练样本数据集包括数字图像及基准图像，其中，所述基准图像包括采集与所述数字图像对应的物理图像后得到的图像，所述数字图像包括真实标签；将所述数字图像及所述基准图像输入待训练的物理对抗攻击模型，输出对抗损失值、分类标签及攻击损失值，其中，所述待训练的物理对抗攻击模型包括生成器，所述对抗损失值用于表征对抗图像与所述基准图像的色彩差异，所述对抗图像是经由所述生成器处理所述数字图像后得到的，所述攻击损失值用于表征所述数字图像的真实标签与所述分类标签之间的差异；基于所述对抗损失值及所述攻击损失值优化所述物理对抗攻击模型的网络参数；以及输出所述网络参数满足预设条件时对应的物理对抗攻击模型。2.根据权利要求1所述的方法，其中，所述待训练的物理对抗攻击模型还包括判别器及分类器，所述将所述数字图像及所述基准图像输入所述待训练的物理对抗攻击模型，输出对抗损失值、分类标签及攻击损失值包括：将所述数字图像输入所述生成器，输出对抗图像；将所述对抗图像及所述基准图像输入所述判别器，输出判别值；将所述判别值输入对抗损失函数，得到所述对抗损失值；将所述对抗图像输入所述分类器，以便通过所述分类器输出分类标签；将所述分类标签和所述数字图像的真实标签输入攻击损失函数，得到所述攻击损失值。3.根据权利要求1所述的方法，其中，所述物理对抗攻击模型还包括空间形状变换模块，所述方法还包括：将所述对抗图像输入所述空间形状变换模块，输出变换对抗图像集合；将所述变换对抗图像集合输入所述分类器，输出分类标签集合；将所述分类标签集合及所述真实标签输入所述攻击损失函数，输出攻击损失值。4.根据权利要求1所述的方法，所述训练样本数据集包括攻击任务数据集，所述攻击任务数据集包括攻击支持集及攻击测试集，所述方法还包括：将所述攻击支持集输入所述物理对抗攻击模型，输出第一副本参数；根据所述第一副本参数，得到物理对抗攻击模型副本；将所述攻击测试集输入所述物理对抗攻击模型副本，输出预测结果；将所述预测结果输入损失函数，输出损失函数值；利用所述损失函数值更新所述物理对抗攻击模型的网络参数，得到第一物理对抗攻击模型。5.如权利要求4所述的方法，所述训练样本数据集还包括扩展攻击任务数据集，所述扩展攻击任务数据集包括扩展支持集及扩展测试集，所述方法还包括：将所述扩展支持集输入所述第一物理对抗攻击模型，输出第二副本参数；根据所述第二副本参数更新所述第一物理对抗攻击模型的网络参数，得到第二物理对抗攻击模型；将所述扩展测试集输入所述第二物理对抗攻击模型，输出扩展对抗图像；2CN114821215A权利要求书2/3页将所述扩展对抗图像输入所述分类器进行分类，以对所述分类器进行攻击。6.根据权利要求4所述的方法，其中，所述第一副本参数包括：其中，θ表示所述物理对抗攻击模型的网络权重，α表示学习率，表示对抗攻击损失函数，表示所述攻击支持集，表示梯度下降；所述损失函数包括：其中，所述表示所述攻击测试集；所述物理对抗攻击模型的网络参数包括：其中，β表示学习率。7.根据权利要求2所述的方法，其中，所述对抗损失函数包括：其中，G表示所述生成器，D所述表示判别器，x表示所述数字图像，xp表示所述基准图像。8.根据权利要求2所述的方法，其中，所述攻击损失函数包括：其中，T表示空间形状变