买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：华南理工大学;中国科学院、水利部成都山地灾害与环境研究所

摘要：本发明属于深度学习对抗攻击技术领域，公开了一种无锚框模型类梯度全局对抗样本生成方法、系统及设备，所述无锚框模型类梯度全局对抗样本生成方法首先利用输入图像中的目标类，以类为单位收集类梯度，按照此方式进行梯度收集可以利用类内目标梯度上的相似性，避免直接叠加扰动对扰动性能的影响，进而生成图片尺度扰动。在此基础上，基于一定数量的图像尺度扰动形成针对人体姿态估计任务的全局扰动，全局扰动克服了现有对抗扰动生成方法基于图片或基于后选框的缺点，可以针对大量数据形成有效的干扰，同时在推断速度上基本达到实时攻击的要求。实验结果验证了全局对抗扰动算法的有效性。

主权项：1.一种应用于无锚框模型的全局对抗样本生成系统，特征在于，该系统包括：梯度收集模块，用于利用通用对抗样本的高泛化特性，以单张输入图片中感兴趣的目标类为单位，快速收集梯度；类别间收集模块，用于按照类为单位进行梯度收集可以着重针对输入图像中目标类别间的联系与区别，通过一次性收集同一类别内所有目标的梯度，达到同时攻击类内目标的目的；扰动生成模块，用于基于现有经典对抗算法形成图像尺度的对抗扰动，在此基础上结合数据集中多张图片及相应图像尺度扰动形成针对整个数据集的通用扰动；所述梯度收集模块，配置为对输入图像中指定的目标类别执行梯度收集操作，其中梯度收集是基于目标类别的，利用公式\G_c=\frac{1}{N}\sum_{i=1}^{N}\nablaLfx_i,y_i\来计算，其中\G_c\表示类梯度，\N\是该类别中目标的数量，\\nablaL\是损失函数对输入\x_i\的梯度，\fx_i\是模型对\x_i\的预测，\y_i\是\x_i\的真实标签；所述扰动生成模块，配置为基于收集到的梯度和经典对抗算法生成图像尺度的对抗扰动，进而形成针对整个数据集的通用扰动，公式为\\delta=\epsilon\cdotsignG_c\，其中\\delta\是生成的扰动，\\epsilon\是扰动强度，\signG_c\是梯度方向；所述梯度收集模块：梯度收集模块原理可以归纳为以下数学约束性优化问题，表达为下式： ； ； ；如公式所示，其中是人为设计的扰动，是最小化的范数类型，可以为，函数表示目标检测器检测到的物体类别；和分别表示干净图像和受干扰的图像；表示扰动能达到的最大和最小像素值范围；在此基础上有两种产生扰动的方式来实现类别不相容；第一种方法是攻击每个对象所处的类别；更确切地说，是对属于一个类别的所有物体进行一次攻击，收集梯度后将类别中所有的梯度相加；第二种方式是攻击图像实体本身，使所有物体类别都被判断错误；由于同一类的目标在梯度上存在近似特点，第一种产生扰动的方式比后者更有效，故所以选择以类为单位收集梯度的方式，将上述束性优化问题转化为： ； ；如上述公式所示，其中是单张图像中所有属于类且的特定目标，为CenterNet模型检测到所有目标所属的类别；由于CenterNet的检测结果依赖于检测到的关键点keypoint及偏移量offset，且偏移量offset是对CenterNet预测目标关键点的进一步微小矫正，考虑到偏移量offset对CenterNet目标关键点的贡献远低于关键点keypoint,故将对抗攻击集中攻击检测到的关键点来欺骗检测器；因此可以将上述约束性优化问题表达式转化为： ； ； ；如公式所示，其中为目标检测器CenterNet的检测结果，为CenterNet检测到单张图像中所有目标所属的类别；为检测到目标类别所对应的所有目标的关键点，为其中属于类别的目标的关键点，对于每个检测到类别为的关键点都有；进而在上式中，目标转变为寻找到一个合适的扰动向量，在满足最小化范数的基础上，使得对所有属于第类的关键点所代表的目标，都有；所述扰动生成模块：通过梯度收集模块收集到类梯度后，需要选择适当的基于最小化范数的典型对抗攻击算法生成输入图像的扰动；FGSM和PGD是两种典型的最小化范数的攻击方法；FGSM为单步扰动攻击，算法通过损失函数计算输入图像的梯度，利用梯度的符号作为方向和扰动强度来产生对抗扰动；PGD算法是FGSM的迭代版本，其多步计算当前梯度并在每个迭代步中对扰动方向进行调整，该算法可以表示为。

全文数据：

权利要求：

百度查询： 华南理工大学 中国科学院、水利部成都山地灾害与环境研究所 无锚框模型类梯度全局对抗样本生成方法、系统及设备