[0001] 本申请涉及机器视觉技术领域，特别是涉及一种基于元学习的生成式对抗攻击方法。

[0002] 基于神经网络的目标识别模型存在易受恶意攻击的安全隐患，这些攻击手段通常通过在原始图像中巧妙地添加难以被肉眼察觉的微小扰动，从而实现对目标识别效果的显著降低，对模型的稳定性和准确性构成了严重威胁。

[0003] 目前，现有的针对目标识别的对抗攻击方法通常聚焦在提升跨神经网络模型架构的迁移性能，忽略了现实中输入数据的领域多样性和目标模型因使用不同训练数据集而产生的特征空间多样性。这种局限性导致了生成的对抗样本的可转移性有限，从而无法有效测试现实世界中重识别模型的鲁棒性。

[0017] 为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本申请内涵的情况下做类似改进，因此本申请不受下面公开的具体实施例的限制。

[0018] 此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

[0019] 如图1所示，本实施例提供了一种基于元学习的生成式对抗攻击方法，该方法包括：S1：获取由多个不同的目标识别数据集组成的数据库、由多个不同的目标识别模型组成的模型库。

[0020] 在本实施例中，收集了Market1501、DukeMTMC、CUHK03目标识别数据集进行数据库的构建，收集了IDE、PCB、ViT目标识别模型进行模型库的构建，这些模型都是通过DukeMTMC数据集训练。

[0021] S2：基于所述数据库和所述模型库构建元学习对抗攻击任务，所述元学习对抗攻击任务包括元训练任务和元测试任务；所述元训练任务用于模拟白盒攻击训练过程，训练更新用于元测试任务的生成对抗神经网络中的生成器；所述元测试任务用于模拟黑盒攻击测试过程，其包括进行目标形态迁移扩散操作、对抗扰动随机擦除操作以及正则化参数混合操作，所述元学习对抗攻击任务用于训练生成对抗神经网络中的生成器和判别器。

[0022] 具体的，所述基于所述数据库和所述模型库构建元学习对抗攻击任务包括：步骤1：设置第二迭代次数T（在本实施例中T=5）；
步骤2：从所述数据库中随机抽取两个所述目标识别数据集，从所述模型库中随机抽取两个所述目标识别模型；
以抽取的所述目标识别数据集作为输入，以抽取的所述目标识别模型作为识别模型；形成两对目标识别数据集‑目标识别模型对；一对目标识别数据集‑目标识别模型对用于元训练任务，另一对用于元测试任务；
步骤3：重复执行步骤2，直至生成T个元学习对抗攻击任务。

[0023] 进一步的，所述元训练任务包括：步骤1：将元训练任务中的所述目标识别数据集输入至元训练任务中的所述目标识别模型，得到第一图像特征；计算公式为：
；
其中， 表示第t个元学习对抗攻击任务中元训练任务的第一图像特征；
表示第t个元学习对抗攻击任务中元训练任务的目标识别模型； 表示第t个元学习对抗攻击任务中元训练任务的目标识别数据集。

[0024] 步骤2：采用生成对抗神经网络中的生成器生成目标识别数据集的第一对抗样本，并将所述第一对抗样本输入至元训练任务中的所述目标识别模型，得到第一对抗图像特征；计算公式为：；
；
其中， 表示第t个元学习对抗攻击任务中元训练任务的第一对抗样本；
表示对抗攻击任务中的生成器； 表示第t个元学习对抗攻击任务中元训练任务的第一对抗图像特征。

[0025] 步骤3：拷贝所述生成器；并基于所述第一图像特征和所述第一对抗图像特征，计算第一特征距离损失；计算公式为：；
其中， 表示第t个元学习对抗攻击任务中元训练任务的第一特征距离损失；
表示第t个元学习对抗攻击任务中元训练任务的第一对抗图像特征； 表示第t个元学习对抗攻击任务中元训练任务的第一图像特征。

[0026] 步骤4：基于所述第一特征距离损失，并采用梯度下降法更新拷贝的生成器的参数；更新公式为：；
其中， 表示第t个元训练任务中更新后的生成器的参数；表示元训练任务中的学习率； 表示第t个元训练任务中下降梯度值。

[0027] 进一步的，所述元测试任务包括：步骤1：将元测试任务中的所述目标识别数据集输入至物体目标形态迁移扩散模型，生成元测试形态迁移数据；计算公式为：
；
其中， 表示元测试形态迁移数据； 表示物体目标形态迁移扩
散模型； 表示元测试任务中的所述目标识别数据集；V表示目标视角变化因子；P表示目标姿态变化因子；I表示目标图像光照变化因子；R表示目标分辨率变化因子。

[0028] 物体目标形态迁移扩散模型为图文生成大模型，输入的视角、姿态、光照、分辨率因子以目标形态文本模板进行设置，作为优选，目标形态文本模板设置为：保持图片内目标的颜色及架构信息不变，生成拍摄视角V度、目标姿态为P、光照度为I、分辨率为R的目标转化图像。

[0029] 步骤2：将所述元测试形态迁移数据输入至元测试任务中的所述目标识别模型，生成第二图像特征；步骤3：将所述元测试形态迁移数据输入至拷贝的更新后的生成器生成对抗扰动，对所述对抗扰动进行随机擦除操作，生成第二对抗样本；
在本实施例中，在对抗扰动上随机选取一块矩形区域，将该矩形区域赋值0，去除矩形区域内的对抗扰动效果。

[0030] 步骤4：对元测试任务中的所述目标识别模型进行正则化参数混合操作；步骤5：将所述第二对抗样本输入至正则化参数混合操作后的所述目标识别模型，生成第二对抗图像特征；
步骤6：基于所述第二图像特征和所述第二对抗图像特征，计算第二特征距离损失；基于所述第二对抗样本，并采用所述生成对抗神经网络中的判别器计算元测试生成损失；
步骤7：结合所述第二特征距离损失和所述元测试生成损失，得到第一对抗攻击损失；所述第一对抗攻击损失用于更新原始的生成器的参数。

[0031] 更进一步的，所述对元测试任务中的所述目标识别模型进行正则化参数混合操作包括：步骤1：复制用于第t个元测试任务的目标识别模型，并将用于第t个元训练任务的目标识别数据集输入至复制的目标识别模型，固定复制的目标识别模型的参数，并设置复制的目标识别模型的批正则化层中的统计参数的更新方式为在线更新，获取复制的目标识别模型的网络架构中批正则化层的第一均值和第一方差；
步骤2：固定用于第t个元测试任务的原始的目标识别模型的参数，并设置原始的目标识别模型的统计参数不更新，得到原始的目标识别模型的网络架构中批正则化层的第二均值和第二方差；
步骤3：基于所述第一均值和所述第二均值计算混合均值，基于所述第一方差和所述第二方差计算混合方差，计算公式为：
；
；
其中， 表示第t个元测试任务中的混合均值； 表示第t个元测试任务中的
第二均值； 表示第t个元测试任务中的第一均值； 表示第t个元测试任务中的混合方差； 表示第t个元测试任务中的第二方差； 表示第t个元测试任务中的第一方差；表示混合因子；
步骤4：以所述混合均值和所述混合方差替换第t个元测试任务中目标识别模型的正则化参数。

[0032] 在本实施例中，所述元测试任务还包括基于所述第二对抗样本和元测试任务中的所述目标识别数据集，并采用判别器计算第一判别损失。

[0033] S2还包括：重复执行T次元学习对抗攻击任务，基于所述第一对抗攻击损失计算总对抗攻击损失，基于所述第一判别损失计算总判别损失；基于所述总对抗攻击损失对原始的生成器的参数进行梯度下降更新；
基于所述总判别损失对判别器的参数进行梯度下降更新。

[0034] 原始的生成器的参数更新公式为：；
；
；
；
；
；
；
；
其中， 表示更新后的原始的生成器的参数；表示原始的生成器的参数；表示学习率； 表示总对抗攻击损失；T表示第二迭代次数； 表示第t个元学习对抗攻击任务的第一对抗攻击损失； 表示第t个元学习对抗攻击任务的第二特征距离损失； 表示第t个元学习对抗攻击任务的元测试生成损失； 表示欧式距离； 表示第二对抗图像特征； 表示第二图像特征； 表示正则化参数混合操作后的所述目标识别模型； 表示第t个元学习对抗攻击任务中元测试任务的第二对抗样本； 表示元测试形态迁移数据； 表示判别器； 表示拷贝的生成器； 表示第t个元
学习对抗攻击任务中元测试任务的对抗扰动； 表示总对抗攻击损失的下降梯度值；
判别器的参数更新公式为：
；
；
；
其中， 表示更新后的判别器的参数； 表示判别器的参数； 表示总判别损失；
表示第一判别损失； 表示第t个元学习对抗攻击任务中元测试任务的目标识别数据集； 表示总判别损失的下降梯度值。

[0035] S3：重复执行元学习对抗任务，直至达到第一迭代次数。

[0036] 在本实施例中，第一迭代次数设置为100次。

[0037] S4：获取目标图像，并将所述目标图像输入至训练好的生成对抗神经网络，得到目标图像的对抗扰动样本。

[0038] 在本实施例中，所述目标图像包括但不限于医学图像；训练好的生成对抗神经网络为生成对抗网络（GAN，Generative Adversarial Networks）模型。

[0039] S5：对所述对抗扰动样本进行约束，将约束的对抗扰动样本叠加到所述目标图像得到对抗样本。

[0040] 在本实施例中，对抗扰动样本的约束范围设为（‑8/255,8/255）；最后生成对抗样本被约束为图像幅值不超过（0,1）。

[0041] 对抗样本的计算公式为：；
；
其中， 表示对抗样本； 表示训练好的参数为 的生成器；x表示目标图
像； 表示对抗扰动样本；表示对抗扰动样本的约束范围。

[0042] 本实施例提供的这种方法通过引入元学习策略，构建元训练任务和元测试任务，通过优化所有元学习对抗攻击任务，使得生成对抗神经网络学会学习如何生成普适的、迁移性能强的对抗样本。此外，设计了对抗扰动随机擦除方法，抑制对抗扰动仅破坏特定区域的特征，增加对抗样本的跨模型对抗能力；提出了混合正则化参数混合策略， 使得对抗样本在不同的特征空间内都能实现对抗效果，提升对抗样本的跨数据域、跨特征子空间的对抗能力；同时，还引入了形态迁移扩散模型，通过形态多样化数据增广、模型特定特征损坏抑制、特征嵌入映射进一步促进生成对抗神经网络学会生成。

[0043] 以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

[0044] 以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。