一種面向無人機視覺目標檢測的對抗樣本攻擊方法

付科涵，王布宏，王 振

(空軍工程大學 信息與導航學院，西安 710077)

0 引言

無人機作為遠程可控的嵌入式系統(tǒng)，已經成為工業(yè)應用領域技術發(fā)展熱點和現(xiàn)代軍事戰(zhàn)爭的重要組成部分。其中，目標檢測技術被廣泛應用于環(huán)境監(jiān)測、基礎設施檢查、軍事偵察等各類任務中。依靠強大的特征提取能力，深度目標檢測網絡（Deep Object Detection Network，DODN）憑借其對預定義語義對象分類與定位中的優(yōu)異性能，實現(xiàn)了無人機平臺對視覺圖像關鍵目標的自主檢測與分類，GPS等傳統(tǒng)導航手段失靈情形下，依靠降落點檢測技術完成安全降落，對無人機應用與自身安全具有深遠意義。

隨著深度神經網絡（Deep Neural Network，DNN）技術在多個領域的普遍應用，其潛在的安全問題也受到國內外學者的一致關注。最具代表性的就是Szegedy團隊通過對正常樣本添加微小擾動，DNN就將以高置信度輸出錯誤類別[1]。攻擊者精心設計的對抗擾動將欺騙檢測器，造成分類與目標定位錯誤，將造成物理實體發(fā)生碰撞甚至墜毀。然而無人機視覺DODN作為近年的熱點問題，多數(shù)研究聚焦于目標檢測模型的性能改良與實際場景的應用，卻忽略了無人機DODN自身的安全性與魯棒性問題。本文針對無人機DODN的脆弱性，對潛在的對抗攻擊進行研究，提出。

面向無人機DODN的目標梯度攻擊方法，在數(shù)據(jù)集VisDrone上對攻擊方法的有效性進行驗證，本文提出的攻擊方法實現(xiàn)了對兩種結構無人機DODN的多種目標性攻擊，造成目標檢測器性能顯著下降，實驗結果證明與現(xiàn)有方法相比，在攻擊效率、攻擊成功率具有明顯優(yōu)勢。

1 相關工作

1.1 無人機深度目標檢測網絡

CNN通過池化使卷積獲得的特征具有空間不變性，這使得CNN在大規(guī)模圖像分類問題上取得重大的成功，同時也推動了DNN在目標檢測領域的應用。無人機DODN已經被廣泛應用于森林農業(yè)監(jiān)測[7]，智慧交通[8]、工業(yè)巡檢[9]等多個領域。

DODN根據(jù)有無候選框生成階段可以分為兩類：基于區(qū)域建議的兩階段算法和基于回歸的單階段算法。Lin等人[2]基于RPN網絡提出的兩階段模型ECascade RCNN，使用改良的FPN主干網絡提取特征，通過RPN得到候選邊框，面對無人機圖像目標檢測的多尺度問題有效提升了檢測精度。文獻[3]在兩階段模型Faster R-CNN基礎上融合FPN，提出的FFRCNN模型引入Focal Loss與空洞卷積，有效提升了檢測算法的檢測精確度。除了基于RPN的兩階段目標檢測模型，更多的無人機目標檢測模型對實時性優(yōu)異的單階段模型進行改良。針對無人機計算能力與內存的限制，文獻[4，5]通過對YOLOv3，YOLOv4卷積層通道縮放因子施加L1正則化，修剪信息較少的特征通道來獲得更適用于無人機的目標檢測模型。在單階段模型YOLOv5基礎上使用Transformer檢測頭，集成卷積塊注意力模塊，相比原有SOTA方法具有更良好的檢測性能與即時解釋能力[6]。

目前，無人機DODN的研究多數(shù)針對無人機圖像小目標、樣本不均衡等問題，在傳統(tǒng)視覺目標檢測模型FRCNN，YOLO系列網絡基礎上設計高效的注意力機制，并對原有骨干網絡、檢測頭進行優(yōu)化。

1.2 對抗樣本攻擊

DNN 的不可解釋性使得其面臨諸多安全威脅，Szegedy[10]等人在基于DNN的圖片識別模型的原始樣本中加入特定的輕微擾動，使經過訓練的分類模型檢測精度大幅下降，這一成果令眾多研究者開始關注對抗樣本攻擊領域。文獻[11]提出了著名的V優(yōu)化框架，文中提出基于迭代投影梯度的PGD（projected gradient descent）算法，迭代過程沿凸可行域邊界的投影梯度下降得到對抗樣本，被認為是最有效的一階攻擊方法。

在目標檢測領域，DAG[12]與RAP[13]攻擊為建議區(qū)域分配錯誤的對抗標簽，覆蓋與重疊的建議區(qū)域使FRCNN執(zhí)行迭代梯度反向傳播錯誤建議，從而產生錯誤分類。UEA[14]攻擊設計多尺度的注意力特征損失，通過生成對抗網絡生成對抗樣本來破壞檢測器中網絡提取的特征。然而DAG等三種對抗樣本攻擊面向具有RPN網絡的兩階段目標檢測模型，且只能實現(xiàn)隨機的無目標攻擊。在目標檢測模型的目標性對抗攻擊研究中，文獻[15]提出一種用于混淆標簽的POA（Pick-Object-Attack）攻擊，作者通過極小的擾動更改圖像中特定目標的預測標簽，實現(xiàn)了對檢測器的定向欺騙，然而該攻擊方法仍局限于FRCNN這一兩階段檢測模型。稀疏對抗攻擊SSA在l0范數(shù)約束限制下聯(lián)合YOLOv4和FRCNN集成檢測器訓練稀疏對抗擾動，實現(xiàn)隱蔽目標的攻擊效果[16]。

2 面向無人機深度目標檢測網絡的目標梯度攻擊方法

針對無人機實時DODN系統(tǒng)，本文提出一種基于目標梯度的白盒對抗攻擊框架，圖1展示了面向無人機DODN的目標梯度攻擊架構，主要包括實時采集圖像、目標檢測模型和對應的目標梯度攻擊模塊。目標梯度攻擊方法利用檢測網絡于檢測結果進行攻擊，通過控制模型損失函數(shù)與攻擊目標生成目標性對抗樣本。

圖1 面向無人機視覺目標檢測的目標梯度攻擊框架

2.1 目標檢測模型

DODN被視作典型的多任務學習模型，多個學習組件分別對應目標置信度、檢測框定位、目標分類簽三種輸出。對輸入檢測模型的分辨率為(hxw)的圖像x，無人機目標檢測器對真實物體尋找S個候選的邊界框檢測結果預測邊界框中心坐標寬高；置信度參數(shù)是框選目標為真實目標的概率，表明候選邊界框定位的是真實物體還是背景；是圖像中目標的類別概率向量，是將目標物體分類為第k類的概率。

目標梯度攻擊依賴于檢測結果與網絡結構，目標檢測模型的損失函數(shù)通常包括回歸損失函數(shù)Lbox、置信度損失Lconf與分類損失Lclass三部分構成

以TPH-YOLOv5目標檢測模型為例，回歸損失函數(shù)Lbox由GIoU損失函數(shù)給出

為有效處理無人機視覺圖像數(shù)據(jù)集樣本分類不均衡問題，置信度損失Lconf與分類損失函數(shù)Lcls基于交叉熵損失的LFL（Focal Loss），對應置信度損失與分類損失為：

其中Ii=0，1，表示真實目標是否被第i個檢測框定位；真實類別為c（即時，檢測器輸出類別概率分量

2.2 目標梯度攻擊

目標梯度攻擊模塊用于對原始圖像x添加擾動生成對抗樣本x′，目標梯度攻擊基于凸可行域內投影梯度下降算法[25，26]，通過引入投影梯度的方法限制多步迭代的擾動范圍，避免高維模型迭代過程中的梯度爆炸問題。

目標梯度攻擊面向無人機DODN多任務學習的特點，與訓練階段相反，目標梯度攻擊通過控制目標損失函數(shù)對中間樣本梯度，沿放大損失函數(shù)的方向，得到欺騙不同任務的目標性對抗樣本。

2.2.1 無目標攻擊

無目標攻擊不針對任何特定目標而是對YOLO V5檢測器進行隨機性攻擊，無需設計控制損失函數(shù)，攻擊效果因輸入圖像和攻擊算法而異，對目標檢測框攻擊后造成消失、誤分類等多種攻擊結果。無目標攻擊如式(8)所示：

其中，L是YOLO V5組合損失函數(shù)，無目標攻擊迭代過程將同時放大總損失函數(shù)；Pxr是Lp范數(shù)中以x為中心r為半徑的超球面上的投影函數(shù)，目的是限制擾動過程中數(shù)據(jù)處于限制范圍內；a是攻擊率，控制迭代步長；sign是符號函數(shù)，決定迭代過程中梯度的方向；為組合損失函數(shù)。根據(jù)凸集投影定理[16]可知目標梯度投影具有唯一性，且產生的中間樣本xt′也始終在DODN凸可行域內，保證了攻擊的有效性和目標性。

2.2.2 目標分類攻擊

分類攻擊旨在不改變深度目標檢測網絡預測的真實物體的存在性與邊界框位置的同時造成DDON定向分類錯誤，即檢測結果中在YOLO V5中，錯誤標簽攻擊為：

Lclass是類別損失；B*(x)為修改后的惡意檢測值，攻擊模塊可以使用預定設計的錯誤標簽修改真實檢測結果中對應的類別標簽，即在每一輪迭代中都將修改為其中p*i可以定向構造為檢測器中預測類別文件中的一類。

2.2.3 目標消失攻擊

目標消失攻擊樣式對目標檢測器產生致盲效果，被攻擊的DODN輸出檢測結果產生的對抗樣本所有錨點對應的候選邊界框與真實物體邊界框的IOU均小于閾值，真實物體被檢測器視作背景。YOLO V5模型物體消失攻擊可以用式(9)表示：

目標消失攻擊利用YOLO V5主導物體存在決策的置信度損失Lconf；取將原始樣本向空檢測集迭代得到對抗樣本。算法1給目標梯度攻擊具體實現(xiàn)細節(jié)。

算法1 目標梯度攻擊對抗樣本生成算法

輸入：攻擊目標T，目標檢測模型M及其權重W，原始樣本x，迭代輪數(shù)it，最大擾動?，攻擊學習率a。

輸出：對抗樣本x_adv

3 實驗與評估

3.1 無人機視覺數(shù)據(jù)集

本文無人機視覺目標檢測模型使用VisDrone數(shù)據(jù)集，VisDrone[17]由中國天津大學機器學習和數(shù)據(jù)挖掘實驗室的AISKYEYE團隊收集的無人機視覺圖像數(shù)據(jù)集。數(shù)據(jù)集包括265228個視頻幀和10209個靜態(tài)圖像，通過對400余部采集視頻剪輯標注得到。VisDrone通過多種無人機平臺在不同光照、地域的物理環(huán)境下采集，圖像具有多目標、小目標特點。

3.2 實驗設置

3.2.1 實驗環(huán)境設置

為有效對本文對抗攻擊算性能進行分析，本文選取TPH-YOLOv5與ECascade-RCNN作為目標無人機DODN。對無目標攻擊的分析將選取DAG，RAP，UEA三種對抗攻擊算法對ECascade-RCNN進行攻擊。對目標性攻擊，使用POA與SSA算法分別兩種目標檢測器進行攻擊分析。

3.2.2 評價指標

為了評估面向DDON目標梯度攻擊算法的有效性，本文采用mAP、攻擊成功率、時間成本與結構相似度指標對實驗結果進行分析。

1）mAP

在目標檢測性能評估中，常見的評價指標包括精確率（Precision）、召回率（Recall）、平均精度（Average Precision，AP）。AP本質上是精確率-召回率曲線p與x軸正半軸和y軸正半軸共同圍成的面積：

通過分析所有類別AP平均值mAP的變化即可有效評估面向目標檢測對抗樣本攻擊的整體性能。

2）攻擊成功率（Attack success rate）

mAP通過目標檢測器檢測性能的變化反應目標梯度攻擊整體性能，但有目標攻擊算法性能評估需要對攻擊目標效果進一步分析。

對目標消失攻擊，攻擊有效性通過有無攻擊狀態(tài)下檢測目標數(shù)來衡量，該比例越低表明目標消失攻擊致盲效果越明顯。因此目標消失攻擊成功率ASRobj可以用式(11)表示，其中Num和Numobj分別表示無攻擊狀態(tài)和攻擊狀態(tài)下檢測到的目標總數(shù)如下所示：

目標分類攻擊有效性通過檢測結果中標簽變化反應，通過計算各類別被替換為指定標簽的數(shù)量與正常標簽之比體現(xiàn)攻擊有效性。錯誤標簽成功率可以用式(12)表示，ASRcls為目標分類攻擊成功率，Numcls表示目標分類標攻擊下被替換為指定標簽的檢測目標數(shù)如下所示：

3）攻擊耗時

對抗樣本的生成效率也是評價算法性能的一個重要指標，攻擊過程的總時間一般包括攻擊時間和檢測時間兩部分。本文對攻擊算法的總攻擊耗時進行對比分析。

3.3 實驗分析

實驗根據(jù)定性分析與定量分析兩個結果對對抗攻擊實驗進行分析。首先從定性分析角度來看，圖2展可視化的展示了TPH-YOLOv5在正常狀態(tài)、目標梯度攻擊多種情形下檢測結果。可以看出，本文攻擊算法可以靈活實現(xiàn)無目標和多種目標攻擊效果。

圖2 對TPH-YOLOv5目標梯度攻擊效果

為了進一步分析目標梯度攻擊有效性，本文對攻擊效果、時間復雜度、結構相似度進行定量分析。首先對攻擊效果分析，本文將選取數(shù)據(jù)集測試圖像的全體作為原始樣本，進行攻擊并由檢測記錄得到對應的mAP。為保證對比實驗的兼容性與公平性，實驗選取兩種架構的無人機目標檢測模型TPH-YOLOv5與ECascade-RCNN作為攻擊對象，選取本文攻擊算法與經典對抗攻擊算法DAG，RAP和UEA，以及目標性攻擊方法的SSA進行對比。

表1 不同對抗樣本攻擊算法攻擊后目標檢測模型mAP變化

在單階段目標檢測模型中，本文攻擊算法在實現(xiàn)多種目標性攻擊的前提下，均造成目標檢測器性能明顯下降，且性能優(yōu)于SSA算法。在兩階段目標檢測器中，與DAG、SSA等對抗算法對比，無目標于目標消失攻擊在攻擊性能上具有一定優(yōu)勢。由于POA算法被設計于針對單一檢測框而非全體，因此mAP的下降不能完全反應攻擊性能，需要ASR指標進一步分析評估。

進一步，對兩類目標性攻擊進行分析。圖3展示了在置信度 值為0.5時，各類攻擊狀態(tài)下檢測到的目標總數(shù)，目標消失攻擊下檢測目標總數(shù)以數(shù)量級下降，而兩種目標分類攻擊檢測總數(shù)與無攻擊狀態(tài)相近。圖4展示對不同置信度 值下的檢測目標總數(shù)，目標消失攻擊下檢測目標數(shù)相比無攻擊狀態(tài)大幅減少。圖5對目標分類攻擊后測試集十種類別目標標簽替換成功率進行統(tǒng)計

圖3 置信度閾值為0.5時，不同攻擊樣式下檢測目標總數(shù)

圖4 不同置信度閾值無攻擊與目標消失攻擊下檢測目標數(shù)

圖5 目標分類攻擊對不同類別攻擊成功率

表2對各目標性攻擊ASR進行對比，為保證對比結果的公平性，選擇兩階段目標檢測ECascade-RCNN作為攻擊目標。對兩類C?=0攻擊類型，檢測器將無法檢測到目標，本文攻擊方法相比SSA具有更高的攻擊成功率。對誤分類的P?≠P攻擊，目標分類攻擊在選擇低置信度攻擊MinP時，成功率高于高置信度攻擊MaxP和POA攻擊?？傮w而言，本文所提出的目標性攻擊方法在攻擊成功率上具有一定優(yōu)勢，且具有更優(yōu)異的模型可用性與更多樣的攻擊樣式。

表2 不同目標性對抗樣本攻擊算法的攻擊成功率

實驗進一步對對抗樣本算法效率進行分析。在測試集中隨機選取200張圖像進行攻擊并記錄不同算法所需時間。重復該過程100次，記錄100次攻擊平均耗時作為算法效率對比依據(jù)。表3展示了不同攻擊下的平均耗時。

由表3可知，本文攻擊算法平均耗時要低于DAG、SSA等對抗攻擊算法。但由于UEA基于生成對抗網絡，在訓練階段已經建立輸入與對抗樣本映射關系，攻擊平均耗時較低，然而本文方法利用檢測結果與檢測網絡結構進行攻擊，在攻擊成功率上要遠高于該方法。

表3 不同樣式目標性對抗樣本攻擊的平均耗時

綜上所述，本文所提出的對抗攻擊算法能夠以較低的耗時對目標檢測器取得顯著攻擊效果。相比于傳統(tǒng)對抗攻擊算法，本方法兼具攻擊效率、攻擊成功率，且能對多種檢測模型實現(xiàn)無目標攻擊和兩類目標性攻擊，可以認為本文對抗樣本攻擊方法對無人機DODN的反制具有一定的應用前景。

4 結語

本文提出了一種面向無人機DODN的視覺圖像對抗樣本攻擊方法，重點關注于解決現(xiàn)有目標檢測對抗攻擊算法的模型可用性差，攻擊隨機性強等問題。提出的目標梯度攻擊方法基于TPH-YOLOv5與ECascade-RCNN的網絡結構與檢測結果生成對抗樣本。根據(jù)攻擊者不同攻擊的意圖，僅需對攻擊模塊中目標梯度進行調整即可實現(xiàn)有目標與無目標攻擊。實驗結果表明，本文目標梯度對抗攻擊方法在攻擊成功率以及攻擊效率上具有性能優(yōu)勢；此外相比現(xiàn)有對抗攻擊算法，本文的攻擊方法可針對多種架構的DODN，且可以實現(xiàn)多種目標性攻擊。在未來的研究中，在本文研究結果的基礎上，將關注于面向無人機目標檢測情景下對抗樣本的視覺不可見性與物理可實現(xiàn)性，進一步提升對抗樣本的現(xiàn)實可用性。