本發明屬于計算機視覺,具體涉及一種面向工業機器人目標檢測的隱形后門攻擊方法及相關裝置。
背景技術:
1、隨著物聯網、云計算和大數據分析等技術的迅速發展,工業機器人在制造和生產領域的許多場景都得到了應用,例如:機械加工、車間裝配、質量檢測等,而目標檢測是工業機器人實現上述應用場景的重要基礎。目標檢測是計算機視覺領域中的一個重要任務,其目標是通過深度學習模型實現對圖像或視頻中目標的定位和識別。與傳統的圖像分類任務相比,目標檢測任務更為復雜,因為目標檢測需要同時完成目標的定位和類別識別,這就導致其需要更為復雜的模型結構。目前使用比較廣泛的目標檢測模型有faster?r-cnn、yolo系列、ssd等,這些模型在不同的場景和需求下有著各自的優勢,選擇合適的目標檢測模型通常取決于具體的應用場景、硬件資源和性能要求。
2、為了提高生產效率、質量和安全性,工業機器人目標檢測在工業領域得到了廣泛的應用,例如:定位和識別零部件來實現自動化裝配和拆卸;識別和抓取各種形狀、尺寸和重量的物料;幫助機器人感知周圍環境,確保安全導航和避免障礙物。上述這些應用場景只是工業機器人目標檢測廣泛應用的一部分,隨著技術的不斷發展,工業機器人在更多領域中將會發揮更多的作用。目標檢測技術的進步也將進一步提高工業機器人在生產中的智能水平和靈活性。
3、由于當前比較先進的目標檢測模型幾乎都是基于深度神經網絡(dnn)設計的,其在訓練過程中可能會遭受后門攻擊的威脅,一旦目標檢測模型被植入后門并部署在工業機器人上,可能會導致機器人在生產過程中出現錯誤操作和決策,埋下生產事故或安全事故的隱患。因此,對工業機器人目標檢測中的后門攻擊問題進行深入研究具有重要意義。
4、后門攻擊是一種發生在模型訓練階段的安全威脅,惡意攻擊者通過將少量帶后門觸發器的中毒樣本注入訓練數據中,使得在中毒數據上訓練的模型記住觸發模式。在測試時,模型在干凈輸入下表現正常,但在帶觸發器的輸入下則會輸出攻擊者指定的結果。
5、然而,現有面向dnn的后門攻擊研究大多集中在圖像分類領域,目標檢測領域中的后門問題還未得到充分的探索和研究。申請人經過調研發現,現有針對目標檢測的后門攻擊方法存在一些缺點亟待解決,包括:
6、(1)中毒樣本的標注信息與干凈樣本不一致。現有的后門攻擊方法在生成中毒樣本時會修改圖像的標注信息,導致圖像內容和標注文件之間的不一致,使得攻擊容易被檢測到。
7、(2)觸發器隱蔽性較差。現有后門攻擊方法所使用的觸發器大多數都是會在圖像中形成異常或可見的圖案,使得攻擊容易被人類觀察者察覺。同時,可見的觸發器在圖像中具有可探測性,它們在圖像上形成的模式可以被特定的分析方法或算法檢測到。
技術實現思路
1、本發明的目的在于針對上述現有技術中的問題,提供一種面向工業機器人目標檢測的隱形后門攻擊方法及相關裝置,同時具備標簽一致和隱形觸發兩種性質,兼顧有效性和隱蔽性。
2、為了實現上述目的,本發明有如下的技術方案:
3、第一方面,提供一種面向工業機器人目標檢測的隱形后門攻擊方法,包括:
4、通過使用非目標對象的干凈樣本si和帶觸發器的目標對象樣本來構建觸發器不可見的中毒樣本
5、通過觸發器不可見的中毒樣本構建中毒訓練數據集dp,將中毒訓練數據集dp和干凈訓練數據集dc混合得到訓練數據集dtrain,使用訓練數據集dtrain進行模型訓練得到目標檢測后門模型mθ;
6、將n個觸發器放置在圖像背景區域的隨機位置上,執行推理階段,由目標檢測后門模型mθ在中毒測試樣本的觸發器位置周圍產生目標類的錯誤預測框,而在非觸發器位置的其他對象上出現正常的預測框,完成面向工業機器人目標檢測的隱形后門攻擊。
7、作為一種優選的方案,將觸發器放置在目標類對象真實標注邊界框的中心來構建觸發器不可見的中毒樣本使目標檢測模型容易將包含觸發器的區域選為感興趣的區域,實現目標檢測模型在不修改輸入圖像標注信息的前提下也能學習觸發器與目標類對象之間的關聯。
8、作為一種優選的方案,所述帶觸發器的目標對象樣本按照如下方式構建:
9、選擇一些目標對象的干凈樣本ti,并將觸發器p放置在目標對象真實標注邊界框的中心坐標(a,b)上,得到帶觸發器的目標對象樣本具體構建過程如下式:
10、
11、式中,是一個圖像補丁,wt和ht分別是所述圖像補丁的寬度和高度,因此放置觸發器p區域的左上角和右下角坐標分別為(a,b)和(a+wt,b+ht);表示逐元素乘積;α∈[0,1],是一個控制添加觸發器強度的參數。
12、作為一種優選的方案,通過使用非目標對象的干凈樣本si和帶觸發器的目標對象樣本按照如下表達式來構建觸發器不可見的中毒樣本
13、
14、式中,z是中毒樣本,f(·)是深度神經網絡dnn模型的中間特征,ε是一個閾值,用于確保中毒樣本z在視覺上與非目標對象的干凈樣本si在視覺上不可區分。
15、作為一種優選的方案,所述觸發器不可見的中毒樣本在像素空間上接近非目標對象的干凈樣本si,在特征空間上接近帶觸發器的源樣本
16、作為一種優選的方案,所述面向工業機器人目標檢測的隱形后門攻擊方法還包括對隱形后門攻擊的有效性進行評估的步驟,所述對隱形后門攻擊的效果進行評估的步驟設置兩個評估目標,一是使目標檢測后門模型mθ在中毒的測試數據上出現攻擊者指定的行為,二是使目標檢測后門模型mθ在干凈的測試數據上表現與正常模型相近;
17、使用攻擊成功率asr來評估第一個目標,計算表達式如下:
18、
19、使用正常模型在干凈測試集上的平均精度map_normal和目標檢測后門模型mθ在干凈測試集上的平均精度map_benigh進行比較來評估第二個目標。
20、作為一種優選的方案,所述面向工業機器人目標檢測的隱形后門攻擊方法還包括對隱形后門攻擊的隱蔽性進行評估的步驟,所述對隱形后門攻擊的隱蔽性進行評估的步驟使用峰值信噪比psnr和結構相似性指數ssim兩個評估指標來測試和評估;
21、峰值信噪比psnr是一種用于度量圖像質量的指標,計算表達式如下:
22、
23、式中,max是像素值的最大可能范圍,mse是均方誤差,psnr的值越大,表示圖像質量越好;
24、結構相似性指數ssim是一種度量兩幅圖像之間相似性的指標,取值范圍為[-1,1],ssim值越接近1,表示兩幅圖像越相似,計算表達式如下:
25、
26、式中,x和y是待比較的兩幅圖像,μx和μy分別是x和y的均值,和分別是x和y的方差,σxy分別是x和y的協方差,c1和c2是常數。
27、第二方面,提供一種面向工業機器人目標檢測的隱形后門攻擊系統,包括:
28、中毒樣本構建模塊,用于通過使用非目標對象的干凈樣本si和帶觸發器的目標對象樣本來構建觸發器不可見的中毒樣本
29、目標檢測后門模型訓練模塊,用于通過觸發器不可見的中毒樣本構建中毒訓練數據集dp,將中毒訓練數據集dp和干凈訓練數據集dc混合得到訓練數據集dtrain,使用訓練數據集dtrain進行模型訓練得到目標檢測后門模型mθ;
30、隱形后門攻擊模塊,用于將n個觸發器放置在圖像背景區域的隨機位置上,執行推理階段,由目標檢測后門模型mθ在中毒測試樣本的觸發器位置周圍產生目標類的錯誤預測框,而在非觸發器位置的其他對象上出現正常的預測框,完成面向工業機器人目標檢測的隱形后門攻擊。
31、第三方面,提供一種電子設備,包括:
32、存儲器,存儲至少一個指令;及
33、處理器,執行所述存儲器中存儲的指令以實現所述面向工業機器人目標檢測的隱形后門攻擊方法。
34、第四方面,提供一種計算機可讀存儲介質,所述計算機可讀存儲介質存儲有計算機程序,所述計算機程序被處理器執行時實現所述面向工業機器人目標檢測的隱形后門攻擊方法。
35、相較于現有技術,本發明至少具有如下的有益效果:
36、本發明面向工業機器人目標檢測的隱形后門攻擊方法提出的后門攻擊發生在企業或工廠訓練目標檢測模型并將其部署在工業機器人的場景中。攻擊者的目的是在訓練階段給模型中嵌入一個隱藏的后門,使得受害者模型在干凈樣本下的輸出與正常模型一致,但在帶特定觸發器的樣本下會在觸發器周圍生成目標對象的錯誤預測框。生成中毒樣本是實現本發明所提出的隱形后門攻擊方法的重要步驟,為了在不改變圖像標注信息的前提下同時保證攻擊的有效性和隱蔽性,本發明提出了一種基于優化的兩階段式中毒樣本生成方法,通過一種優化方式使觸發器在視覺上不可見從而增強攻擊的隱蔽性。為了實現在不修改圖像標注信息的前提下構建中毒樣本,同時使模型能夠學習觸發器與目標對象之間的關聯,本發明將n個觸發器放置在圖像背景區域的隨機位置上執行推理階段,實現在不修改圖像標注信息的前提下構建中毒樣本,同時使模型能夠學習觸發器與目標對象之間的關聯。相較于現有目標檢測任務的后門攻擊方法,經過測試,本發明提出的隱形后門攻擊方法有效性更好,隱蔽性更強。