本文是一篇软件工程论文,本文主要工作是对现有比较常用基于物理世界的对抗方法与基于数字世界的对抗方法存在的问题进行了总结和改进,其次提出了应用于交通标志检测模型的对抗扰动图像生成方法与基于WGAN-GP的对抗扰动图像生成方法,并在对应章节对提出的两种对抗方法进行实验对比分析。最后根据提出的两种对抗方法设计了对抗扰动图像生成系统。
第一章 绪论
1.1 研究背景及意义
近年来,随着深度学习[1]相关技术不断完善与改进,人工智能相关技术得到了飞跃式发展,并且已经在多个智能领域得到了大量的应用,如人脸识别[2]、目标检测[3]、自动驾驶[4]和文本分类[5]等。在深度学习相关技术中,深度神经网络(Deep Neural Networks,DNN)[6]凭借其优秀的容错能力、数据处理能力和提取抽象语义信息能力,成为了当前深度学习领域的研究热点。DNN工作原理是,基于研究者准备的训练集,在训练的过程中利用反向传播算法来调整网络模型的权重,使模型具备提取抽象语义信息的能力。随着硬件设备的算力不断提升,DNN的网络结构层数由初始的几层逐渐发展到当前的上千层,其特征学习能力和分类准确率也随之提升。而在DNN模型中,研究者为处理计算机视觉任务会将卷积神经网络(Convolutional Neural Networks,CNN)[7]模型作为首选基础网络模型。CNN因具有良好的特征学习能力,被大量应用于图像识别任务中,目前性能效果最优的CNN模型的目标分类准确率甚至高于人眼识别准确率。但是大多数研究者只关注模型的性能和训练效率,却忽略了模型的安全性[8]和鲁棒性[9]。近几年研究表明,虽然CNN在视觉领域中表现出了良好的识别效果,但是仍被证明容易受到特定干扰图像的欺骗[10]。因此,基于深度神经网络的对抗方法[11][12]研究进入了研究者的视野。
在目标检测应用中,研究者大多选用CNN作为基础网络模型来提高特征提取能力,而应用中使用该模型就会存在被干扰图像欺骗的风险。在无人驾驶应用中,无人驾驶车辆通过将环境感知模块中视觉传感器接收到的周围环境信息,如行人信息、交通标志信息等输入到相应的目标检测模型中进行图像识别处理。但是Lu等人[13]利用数字化对抗方法生成的对抗扰动图像成功欺骗了交通标志检测模型,实现了使检测模型错误分类的对抗效果。Thys等人[14]提出一种应用于行人检测模型的对抗方法,通过行人携带一张由该方法生成的对抗扰动图像就能使行人检测模型错误分类或检测失效。以上基于视觉传感器的目标检测模型的对抗策略会影响环境感知模块的感知准确性,进而导致无人驾驶系统产生决策失误。
.................................
1.2 国内外研究现状
1.2.1 无人驾驶的国内外研究现状
无人驾驶车辆作为一种智能移动的车辆,它可以在一定范围内替代人类驾驶员来实现一系列驾驶行为。但是,由于不同地区的经济形势和技术环境存在差异,故无人驾驶车辆发展水平也不尽相同。目前,美国、欧洲和日本都在针对无人驾驶车辆存在的技术难点问题进行了深层次的研究,并且对其可行性与安全性进行了实践检验。虽然目前我国在无人驾驶领域的基础设施研究起步相对较迟,但近年来,国内多数车企都已经与智能IT企业进行密切合作,积极投入到无人驾驶领域的技术研发工作中。根据相关数据报告表明,随着人们对AI服务的使用日渐熟练、车辆共享服务行业飞速发展和城市化进程不断加快,预计到2030年,乘用智能驾驶车辆出行的概率能达到80%左右。
(1)国外研究现状
2009年,谷歌作为美国最早研究无人驾驶技术的公司,正式启动了无人驾驶车辆的研究项目。该项目起初使用的无人驾驶汽车为七辆装上了视觉传感器、测距雷达和环境感知雷达等设备的民用车辆,并且在测试实验中需要司机实时监控,紧急情况下还需人为干预控制。2014年,谷歌宣布研制出了一种时速达到40公里每小时,且不包含电动方向盘、制动刹车踏板和自动油门,完全由电脑系统控制的新车型,如图1.1所示。2016年,谷歌正式宣布旗下的一家致力于研究无人驾驶车辆的子公司Waymo成立。2018年,该公司部署了一种无人驾驶车辆打车服务“Waymo One”,然而每辆车上都会配备安全驾驶员,并且用户反馈其服务效果不尽如人意,很快该项目就以失败告终。2020年,Waymo重启Waymo One计划,与上次不同的是这次打车服务中不再配有安全员,并完全处于运营模式。但是该服务存在区域限制,不能被广泛应用在其他地区。
...............................
第二章 相关理论知识介绍
2.1 相关神经网络对抗方法介绍
2.1.1 FGSM
2014年Goodfello等人[18]提出的FSGM方法是一种基于白盒环境下的对抗方法。该方法首先利用快速梯度符号函数计算出输入至目标网络模型的原始图像的梯度方向,接着将设置的固定步长与得出的梯度方向进行相乘操作,并输出相应对抗扰动的计算结果,然后将对抗扰动附加到原始图像上由目标网络模型进行分类,最后使用最大化目标损失函数来生成具有较好对抗效果的扰动图像。
为了缩小生成的对抗扰动图像与原始图像之间的视觉差异,FGSM采用了最大化目标损失函数方法。该方法的原理是沿原始梯度方向进行优化,在每一步得到的原始梯度方向上平移固定步长以获取视觉差异较小的对抗扰动。
2.1.2 FASC
FASC[14]是Thys等人提出的一种应用于行人检测模型的对抗扰动图像生成方法。该方法是一种基于物理世界的对抗方法,其实现了通过行人携带该方法生成的对抗扰动图像使行人检测模型检测失效或者错误分类的对抗效果。该方法生成的对抗扰动图像效果图如图2.1所示。
软件工程论文怎么写
.....................................
2.2 相关生成对抗网络介绍
2.2.1 GAN
随着深度学习相关技术不断的成熟完善,GAN[36]的博弈对抗理论在众多生成器模型中较为可靠。在图像增强[55]、图像理解[56]、风格迁移[57][58]、模型压缩[59]和视频合成[60][61]等领域GAN已经被成功应用和实践。
判别器D的两个输入分别是原始图像和生成图像,输出的是判别器对生成图像的类别是否是原始图像类别的判别概率。理想状态下,当判别器D输出的概率值大约为50%时效果最优,因为此时生成图像最具有欺骗性,会使判别器难以做出准确的判断。
生成器梯度弥散:梯度弥散即是利用误差反向传播算法对深度神经网络进行训练时,梯度反向传播到浅层网络时基本不能引起数值的扰动,最终导致神经网络收敛很慢甚至不能收敛。原始GAN模型使用KL散度(Kullback-Leibler pergence,KL)[62]和JS散度(Jensen-Shannon pergence,JS)[63]衡量原始图像和生成图像之间的差异,而当原始图像和生成图像重叠或者不重叠部分被忽略时,判别器会立刻到达最优状态,生成器会处于不迭代状态[64],因为此时生成图像和原始图像之间的误差量是定值,即JS散度是一个常数,梯度为0,从而导致生成器因在训练的过程中得不到任何的梯度信息而出现梯度弥散的问题。
生成器和判别器难以达到纳什均衡状态:纳什均衡表示一种策略组合,使得同一时间内每个参与者的策略是对其它参与者策略的最优反应。为达到纳什均衡状态,GAN通过优化器增加随机梯度来训练判别器,通过降低随机梯度来训练生成器。即使有时生成器和判别器同时达到了收敛状态,但双方在收敛的过程中不断抵消对方的进步,从而导致生成器和判别器无法达到真正的纳什均衡状态。
.........................
第三章 应用于交通标志检测模型的对抗扰动图像生成方法 .......................17
3.1 问题描述 ...............................17
3.2 IFASC-TS ....................................17
第四章 基于WGAN-GP的对抗扰动图像生成方法 .....................28
4.1 问题描述 ...................................28
4.2 AdvWGAN-GP ...............................28
第五章 对抗扰动图像生成系统设计与实现 ...........................36
5.1 开发环境和工具 .............................36
5.2 对抗扰动图像生成系统总体架构设计 ....................36
第五章 对抗扰动图像生成系统设计与实现
5.1 开发环境和工具
对抗扰动图像生成系统的训练环境搭建在一台以Ubuntu 18.04.5 LTS/Linux为操作系统,并搭载了Intel(R)Core(TM)i9-9900k CPU @4.00GHz、64GB RAM和一张显存为11GB的GEFORCE RTX2080Ti GPU配置的服务器上。具体的开发环境与工具及其版本信息如表5.1所示。
软件工程论文参考
...................................
第六章 总结与展望
6.1 论文总结
本文主要工作是对现有比较常用基于物理世界的对抗方法与基于数字世界的对抗方法存在的问题进行了总结和改进,其次提出了应用于交通标志检测模型的对抗扰动图像生成方法与基于WGAN-GP的对抗扰动图像生成方法,并在对应章节对提出的两种对抗方法进行实验对比分析。最后根据提出的两种对抗方法设计了对抗扰动图像生成系统。本章将从以下三个部分对本文主要的研究工作进行总结:
(1)IFASC-TS对抗方法部分:本文的第三章提出了应用于交通标志检测模型的对抗扰动图像生成方法IFASC-TS。该方法主要解决了现有基于物理世界对抗方法生成的对抗扰动图像易受环境因素的影响和应用于交通标志时存在对抗成功率较低的问题。IFASC-TS通过在生成对抗扰动图像的总损失函数中,引入一种约束有效距离误差损失函数,提升了对抗扰动图像在物理世界中的真实性,从而削弱环境因素的影响。在训练对抗扰动图像时,引入一种多类别数据增强方法,提升了对抗扰动图像在复杂的物理环境下的鲁棒性能。最后从测试集实验结果和物理环境下对比实验结果分析得出IFASC-TS对抗方法生成的对抗扰动图像相较于现有应用于物理世界的对抗扰动图像生成方法,对抗性能较优,鲁棒性能较好。
(2)AdvWGAN-GP对抗方法部分:本文的第四章提出了一种基于WGAN-GP的对抗扰动图像生成方法AdvWGAN-GP。该方法主要解决了现有基于数字世界对抗方法未利用目标网络模型的特征和在训练时生成器会存在梯度弥散的问题。AdvWGAN-GP采用WGAN-GP目标损失函数替代传统的LSGAN目标损失函数,以解决梯度弥散的问题,且提升生成对抗扰动图像的隐蔽性和图像质量。其次,利用目标网络模型的特征提取器,使GAN网络生成器从学习原始图像的特征转换为学习目标特征,以减少训练开销和提高对抗成功率。
参考文献(略)