目标检测是计算机视觉中的核心任务之一, 在图像或视频中识别感兴趣的目标, 为每个目标生成类别标签和边界框.不同于图像分类任务, 目标检测不仅需要判断图像中是否存在特定类别的物体, 还需要精确定位其位置, 其任务本质是分类和定位的结合.随着卷积神经网络(Convolutional Neural Net-work, CNN)的发展, 基于CNN的目标检测网络成为主流, 大致可分为两类:基于区域提议的双阶段目标检测网络和基于回归的单阶段目标检测网络.

基于区域提议的双阶段目标检测网络以 R-CNN系列(Fast R-CNN(Fast Region-Based Convolu-tional Network Method)^[19]、Faster R-CNN^[20]、Mask R-CNN^[21])为代表, 先通过区域提议网络生成候选区域, 再进行目标分类和边界框回归.该类网络检测精度较高, 但计算开销较大, 检测速度较慢.

基于回归的单阶段目标检测网络以YOLO(You Only Look Once)^[22]和SSD(Single Shot Multibox Detector)^[23]为代表, 直接预测目标类别和边界框位置, 无需额外的区域提议过程.该类网络简化检测流程, 推理速度较快.然而, 由于缺乏精细的区域筛选机制, 检测精度相对较低.

Xie等^[16]提出DAG, 把图像分类任务的对抗攻击迁移到目标检测上, 通过迭代优化分类损失, 为每个候选区域随机设置一个错误的分类标签, 引导检测模型对所有候选框的分类置信度下降.Wei等^[18]提出UEA, 基于GAN, 利用端到端的扰动生成策略, 结合多尺度注意力特征损失, 提高对抗样本的生成效率和跨模型迁移能力.Chow等^[17]提出TOG, 针对检测器的多任务损失进行攻击, 误导检测器的输出结果, 提高攻击的灵活性和适应性.Li等^[24]提出LGP, 通过可控的扰动对目标检测器进行攻击, 重点干扰高质量候选区域的特征.Zhang等^[25]提出NAA(Neuron Attribution-Based Attack), 引入神经元属性, 度量模型神经元重要程度, 根据神经元的属性结果对神经元进行加权, 发起特征级攻击.

上述方法在攻击效果上取得显著进展, 但在对抗样本的隐蔽性上仍存在明显不足.现有方法大多依赖全局扰动降低检测器的置信度或误导类别判别, 然而, 这种方式往往会在图像上引入明显的人工噪声, 对抗样本容易被肉眼察觉, 降低其在实际应用中的隐蔽性.一些研究者尝试优化扰动区域, 仅对目标区域施加攻击, 但这类方法在干扰目标框定位方面存在局限, 攻击后的检测结果仍可能暴露目标的大致位置信息.Tyukin等^[26]在高维空间中构造扰动函数, 实现对抗样本的隐蔽性.此外, 部分方法的对抗样本在不同检测器上的迁移性较弱, 攻击的泛化能力受限.因此, 提高对抗样本的隐蔽性, 使其在肉眼观察下更接近原始图像, 同时提升跨模型的攻击迁移性, 仍是目标检测对抗攻击领域亟待解决的问题之一.

在计算机视觉领域, 图是一种通用数据结构, 由边和节点构成, 网格和序列可被视为图的特例.从基础的图形式定义到图神经网络, 图结构在计算机视觉领域发挥越来越广泛的作用^{[27, 28, 29]}.Han等^[27]提出ViG(Vision Graph Neural Networks), 将图像划分为图像块, 每个图像块被视为图中的一个节点, 利用图卷积操作聚合和更新图信息, 在图像分类和物体检测任务中性能优越.Parikh等^[30]提出ClusterViG, 进一步优化图的构建过程, 通过DEGC(Dynamic Efficient Graph Convolution)实现更快的推理速度和更高的分类准确性.这些研究表明, 基于图像块的图结构能更好地捕捉图像中的复杂、不规则的物体结构和纹理细节, 为计算机视觉任务提供一种灵活高效的方法.

把大小为H× W× 3的图像分割为N个图像块, 每个图像块视为图中的一个节点, 所有图像块可表示为节点集合V={v₁, v₂, …, v_N}, 首先为每个节点v_i找到K个最邻近节点N(v_i), 为每个邻近节点v_j∈ N(v_i)添加一条从v_i到v_j的边e_ij, 所有的边表示为一个边集合

E={(v_i, v_j)|v_i∈ V, v_j∈ N(v_i), i≠ j},

由此构建一个图G=(V, E).这种图结构不仅考虑图像块的空间位置, 还通过内容相关性连接节点, 较好地捕捉图像中复杂和不规则的物体结构.

现有针对目标检测对抗攻击算法生成的对抗样本虽然能降低检测模型的准确率, 但容易被肉眼识别, 隐蔽性较差, 影响在真实场景中的适用性.为了解决上述问题, 本文从对抗样本的生成质量和攻击效果上进行改进, 提出基于局部属性生成对抗网络的目标检测对抗攻击算法(LAGAA), 具体训练框架如图1所示.

图1

Fig.1

	Figure Option ViewDownloadNew Window
	图1 LAGAA训练框架图Fig.1 Training framework of LAGAA

LAGAA的核心思想是在GAN训练对抗样本的过程中引入基于图结构的局部属性差异损失, 构建基于图的局部属性约束, 优化对抗扰动的空间分布, 提高对抗样本的隐蔽性.还加入针对目标检测任务的攻击损失函数, 通过伪造目标框标签, 使检测器在攻击样本上产生错误检测结果, 从而提高攻击成功率.

首先, 对原始图像进行图像块划分, 并基于相似性度量构建图结构, 提取图像局部属性信息, 计算图结构的局部属性差异损失(L_graph).然后, 根据原始样本的目标边界框标注信息生成目标错误边界框位置标签, 计算对抗样本的预测边界框标签和目标错误边界框位置标签的误定位攻击损失(L_misloc).最后, 联合两部分损失, 计算总损失函数, 指导更新生成对抗网络生成对抗样本.总损失函数如下:

L_total=L_GAN(G, D)+α L_L2+β L_cls+γ Lf_ea+μ Lg_raph+ν Lm_isloc.

其中:L_GAN(G, D)表示生成对抗网络的损失函数, G表示生成器, D表示判别器; L_L2表示引入L₂损失函数, 衡量生成的对抗样本和原始样本之间的差异; L_cls表示攻击目标检测器检测类别的损失函数; L_fea表示多尺度注意力特征损失; α 、 β 、γ 、 μ 、ν 表示每种损失函数的权重因子.

图作为一种通用的数据结构, 在计算机视觉领域是一种灵活处理图像的方式.将图像分割为图像块并视为图中的节点, 根据内容相关性构建节点之间的边, 图像的图结构以一种灵活高效的方式捕捉物体的复杂形状和语义信息.相比传统的网格或序列表示, 图结构不仅能更好地适应不规则形状的物体, 还能通过图神经网络进行有效的信息聚合.这种表示方法在图像分类、目标检测和语义分割等任务中优势显著^{[31, 32, 33, 34]}.

因此, LAGAA以构建图像图结构的方式, 捕捉图像的局部结构信息, 将图像划分为k× k个图像块p_i, 基于这些图像块构建图结构, 图结构中的每个顶点v_i表示一个图像块p_i, 边的权重由图像块之间的结构相似性度量, 然后筛选保留每个顶点最相似的m个邻近顶点及边, 简化图结构, 保留关键的局部结构信息, 避免过于复杂的连接关系.图像的图结构表示如下:

G=(V, E),

其中

V={v_i|i∈ [1, k²]},

$\begin{array}{l} E=\left\{\left(v_{i}, v_{j}\right) \mid \operatorname{SSIM}\left(v_{i}, v_{j}\right)> 0, v_{i} \in V, v_{j} \in V, i \neq j\right\}, \end{array}$

v_i表示图像块p_i,

SSIM(v_i, v_j)=SSIM(p_i, p_j), (1)

表示使用结构相似性(Structural Similarity, SSIM), 计算两个图像块之间的相似性, 作为两个顶点之间边的权重值.

原始样本进行图像块划分并构建图结构G, 对抗样本进行相同的图像块划分, 再将划分后的图像块代入原始样本的图结构G中, 更新图结构中的边权重信息, 得到新的图结构 G︿.

本文进一步定义原始样本和对抗样本的邻接边权重分布.对于原始样本的每个顶点v_i, 其邻接顶点集合为N(v_i), 归一化顶点v_i邻接边的权重, 得到顶点v_i的边权重分布:

$P_{i}(j)=\frac{w_{i j}}{\sum_{j \in N\left(v_{i}\right)} w_{i j}}, \forall v_{j} \in N\left(v_{i}\right)$, (2)

其中, w_ij=SSIM(v_i, v_j)表示顶点v_i与其邻接顶点v_j之间的边权重, $\sum_{j \in N\left(v_{i}\right)} w_{i j}$表示所有邻接顶点的边权重归一化因子, 使得P_i(j)形成一个概率分布,

$\sum_{j \in N\left(v_{i}\right)} P_{i}(j)=1.$

类似地, 对于对抗样本的每个顶点v_i, 其邻接顶点集合为N(v_i), 归一化顶点v_i邻接边的权重, 得到顶点v_i的边权重分布:

$Q_{i}(j)=\frac{\hat{w}_{i j}}{\sum_{j \in N\left(\hat{v}_{i}\right)} \hat{w}_{i j}}, \forall v_{j} \in N\left(v_{i}\right)$, (3)

其中, ŵij=SSIM(v_i, v_j)表示顶点v_i与其邻接顶点v_j之间的边权重; $\sum_{j \in N\left(\hat{v}_{i}\right)} \hat{w}_{i j}$表示所有邻接顶点的边权重归一化因子, 使得 Q_i(j)形成一个概率分布,

$\sum_{j \in N\left(\hat{v}_{i}\right)} Q_{i}(j)=1.$

为了量化原始样本和对抗样本的图结构差异, LAGAA使用KL散度有效衡量原始样本和对抗样本在局部结构上的变化.KL散度也称为相对熵, 常用于衡量两个概率分布之间的相似性或差异性.对于每个顶点v_i, 计算其在原始样本和对抗样本中的权重分布差异:

$D_{K L}\left(P_{i} \| Q_{i}\right)=\sum_{j \in N\left(v_{i}\right)} P_{i}(j) \ln \left(\frac{P_{i}(j)}{Q_{i}(j)}\right)$. (4)

再对所有顶点的权重分布差异取平均值, 得到基于图结构的局部属性差异损失:

$L_{\text {graph }}=\frac{1}{|V|} \sum_{i \in V} D_{K L}\left(P_{i} \| Q_{i}\right)$. (5)

目标检测模型的定位精度是其性能的关键指标之一.目前主流的目标检测攻击算法大多聚焦于检测框的类别攻击, 通过引入误定位攻击损失, 引导模型产生错误的边界框预测, 降低定位精度.

首先, 对原始样本目标边界框的真实标签b_gt进行随机增大三倍或缩小至1/3, 得到错误的边界框标签b_f, 将对抗样本输入目标检测网络, 得到预测的候选框b_pred, 使用Smooth L1损失函数计算b_pred和b_f之间偏差, 即误定位攻击损失:

$L_{\text {misloc }}=\frac{1}{N} \sum_{i=1}^{N} \sum_{j \in\{x, y, w, h\}} \text { Smooth } L 1\left(b_{\text {pred }}^{j}-b_{f}^{j}\right)$, (6)

其中, N表示目标检测网络检测的目标数, x、 y表示目标边界框中心点的横纵坐标, w、h表示目标边界框的宽和高.

LAGAA的具体步骤如算法1所示.首先将原始样本x输入目标检测器, 得到目标检测框并计算图像掩码.然后生成对抗网络的生成器生成扰动, 得到相应的对抗样本, 构建对抗样本和原始样本的图结构, 计算基于图结构的局部属性差异损失L_graph和误定位攻击损失L_misloc, 计算相应的总损失函数, 通过反向传播更新生成对抗网络, 不断迭代更新直到达到最大迭代次数.最后, 对训练集上所有样本都进行迭代训练, 最终得到训练完成的生成对抗网络.

算法1 LAGAA

输入 原始样本x, 训练集S, 目标检测模型D, 生成对抗网络G, 扰动δ , 迭代次数T, 图像掩码计算calAttentionMask(), 权重参数α 、 β 、γ 、 μ 、ν

输出 训练完成的生成对抗网络

For i in|S|: //训练S中的所有样本

xi0=x_i //初始化

M=calAttentionMask(x_i, D) //计算图像掩码

while t=0 to T-1 do:

δ =G(xi0) //生成器生成扰动

xit= xi0+δ M //生成对抗样本

使用式(1)~式(5)计算L_graph

使用式(6)计算L_misloc

L_total=L_GAN+α L_L2+β L_cls+γ L_fea+μ L_graph+ν L_misloc//计算总损失

反向传播以更新网络G

End while

End for

实验在BCCD^[35]、LISC^[36]这两个公开的血液细胞数据集上进行训练和测试.BCCD数据集包含364幅白细胞图像, LISC数据集包含250幅白细胞图像.这两个数据集均来自外周血, 适用于医学目标检测任务.数据集分为训练集和测试集, 确保训练和评估的有效性.

在模型训练阶段, 选择 Faster R-CNN^[20]和 SSD 300^[23]这两种经典的目标检测模型作为测试模型, 分别在BCCD、LISC数据集上进行训练.在训练过程中, 采用标准的目标检测损失函数, 对超参数进行调优, 确保模型能准确定位和分类细胞目标, 为后续的对抗攻击实验提供可靠的基准.

本文选择如下评估指标.

1)攻击成功率(Attack Success Rate, ASR).攻击成功率是衡量对抗攻击效果的核心指标之一, 表示攻击前后mAP的变化情况, 具体公式如下:

ASR= mApclean-mApattackmApclean,

其中, mAp_clean表示攻击前检测器的mAP, mAp_attack表示攻击后检测器的mAP.ASR越高表示攻击越强.

2)结构相似性(SSIM).SSIM是衡量两幅图像结构相似性的指标, 综合考虑亮度、对比度和结构等因素, 能评估图像的感知质量.SSIM值越接近1表示两幅图像在结构上越一致.

3)峰值信噪比(Peak Signal-to-Noise Ratio, PSNR).PSNR是衡量图像质量的传统指标, 用于评估图像中噪声与信号的比例.PSNR 值越高, 表示图像质量越优, 对抗扰动对图像质量的影响越小.

LAGAA在深度学习框架pytorch1.4.0上运行, GPU为GeForce RTX 2080, 设定批大小为1, k=8, m=5, 攻击迭代次数为20, α =1.0, β =1.0, γ =1.0, μ =100.0, ν =1.0.

本文选取如下两类对比算法.1)目标检测领域的对抗攻击算法:DAG^[16]、TOG^[17]、UEA^[18]、LGP^[24]、NAA^[25].2)图像分类领域的对抗攻击算法:SMI-FGSM(Spatial Momentum Iterative FGSM Attack)^[37]和SM²I-FGSM^[37], 将其应用到目标检测模型上.借鉴DAG的迭代优化攻击策略, 为每个候选区域随机设置一个错误的分类标签, 计算分类损失.根据SMI-FGSM和SM²I-FGSM迭代更新输入图像, 引导目标检测模型下调所有候选框的分类置信度.

上述对比算法均根据官方代码进行复现, 用于评估各算法在目标检测任务中的适用性和攻击效果.

为了验证LAGAA在目标检测模型上的攻击效果和生成对抗样本的质量, 选择Faster R-CNN为测试模型, 在BCCD、LISC数据集上训练Faster R-CNN, mAP分别达到0.71和0.74.接着对比各算法针对Faster R-CNN生成的对抗样本的攻击效果和质量, 结果如表1和表2所示, 表中黑体数字表示最优值.由表可看到, LAGAA在BCCD、LISC数据集上均表现出优异的攻击效果, 在保持图像质量的同时, 有效降低模型的检测性能.

表1

Table 1

表1(Table 1)

表1 BCCD数据集上各算法在Faster R-CNN上的效果对比 Table 1 Performance comparison of different algorithms on Faster R-CNN model on BCCD dataset 算法 mAP ASR/% SSIM PSNR/dB 时间/s DAG 0.17 76.06 0.64 27.33 8.43 UEA 0.13 81.69 0.88 34.45 0.02 TOG 0.10 85.92 0.48 25.34 0.72 LGP 0.08 88.73 0.77 30.87 1.12 NAA 0.07 90.14 0.79 32.11 0.56 SMI-FGSM 0.13 81.69 0.45 23.46 6.34 SM2I-FGSM 0.11 84.51 0.51 26.83 7.19 LAGAA 0.07 90.14 0.94 38.91 0.02

表1 BCCD数据集上各算法在Faster R-CNN上的效果对比 Table 1 Performance comparison of different algorithms on Faster R-CNN model on BCCD dataset

表2

Table 2

表2(Table 2)

表2 LISC数据集上各算法在Faster R-CNN上的效果对比 Table 2 Performance comparison of different algorithms on Faster R-CNN model on LISC dataset 方法 mAP ASR/% SSIM PSNR/dB 时间/s DAG 0.07 90.54 0.69 27.61 18.29 UEA 0.04 94.59 0.91 40.98 0.01 TOG 0.03 95.95 0.73 25.71 2.47 LGP 0.02 97.29 0.82 35.62 2.53 NAA 0.02 97.29 0.83 36.14 1.78 SMI-FGSM 0.09 87.84 0.62 25.73 10.12 SM2I-FGSM 0.06 91.89 0.68 27.48 13.46 LAGAA 0.02 97.29 0.99 45.46 0.01

表2 LISC数据集上各算法在Faster R-CNN上的效果对比 Table 2 Performance comparison of different algorithms on Faster R-CNN model on LISC dataset

进一步给出各对比算法在BCCD数据集上生成的对抗样本, 具体如图2所示.由图可见, 在图像的生成质量上, LAGAA生成的对抗样本扰动最细微, 图像的局部细节纹理最接近原始图像, DAG、TOG、SMI-FGSM和SM²I-FGSM这类基于梯度迭代的对抗攻击算法通过迭代累加扰动噪声, 产生的图像噪声肉眼可见, 图像中部分细胞的形状边缘产生肉眼可觉察的不规则变化.LGP为逐目标局部迭代扰动的方法, 生成对抗样本的质量优于基于梯度迭代的对抗攻击算法, 但其为达到攻击效果而迭代产生的扰动肉眼可见, 明显多于LAGAA生成的扰动.

图2

Fig.2

	Figure Option ViewDownloadNew Window
	图2 各算法在BCCD数据集上生成的对抗样本Fig.2 Adversarial samples generated by different algorithms on BCCD dataset

同样地, 各对比算法在LISC数据集上生成的对抗样本如图3所示.由图可见, LAGAA生成的对抗样本产生的扰动最小, 图像质量最佳, 而对比算法产生的对抗样本的扰动肉眼可识别, 图像色彩发生显著变化.

图3

Fig.3

	Figure Option ViewDownloadNew Window
	图3 各算法在LISC数据集上生成的对抗样本Fig.3 Adversarial samples generated by different algorithms on LISC dataset

在白盒场景的攻击中, LAGAA攻击能力较优.为进一步验证该算法生成对抗样本在黑盒场景下的迁移能力, 选择经典的SSD单阶段目标检测网络作为被攻击模型, 在BCCD、LISC数据集的原始图像上进行训练, mAP分别达到0.85和0.98.然后测试各对比算法生成的对抗样本, 评估攻击迁移性, 结果如表3和表4所示, 表中黑体数字表示最优值.由表可知, LAGAA在两个数据集上表现出显著的攻击效果.DAG、TOG、SMI-FGSM和SM²I-FGSM这类基于梯度迭代的对抗攻击算法的可迁移性都较低, 一般基于攻击模型的内部信息进行攻击, 一旦检测结构发生变化, 生成的对抗样本就会失效.UEA、LGP、NAA及LAGAA在对抗样本的生成过程中考虑特征级别的损失, 有效提升对抗样本的迁移性.

表3

Table 3

表3(Table 3)

表3 BCCD数据集上各算法在SDD上迁移攻击效果对比 Table 3 Comparison of transferable attack results of different algorithms on SDD model on BCCD datasets 算法 mAP ASR/% 攻击前 攻击后 DAG 0.85 0.84 1.18 UEA 0.85 0.67 21.18 TOG 0.85 0.77 9.41 LGP 0.85 0.71 16.47 NAA 0.85 0.71 16.47 SMI-FGSM 0.85 0.84 1.18 SM2I-FGSM 0.85 0.84 1.18 LAGAA 0.85 0.63 25.88

表3 BCCD数据集上各算法在SDD上迁移攻击效果对比 Table 3 Comparison of transferable attack results of different algorithms on SDD model on BCCD datasets

表4

Table 4

表4(Table 4)

表4 LISC数据集上各算法在SDD上迁移攻击效果对比 Table 4 Comparison of transferable attack results of different algorithms on SDD model on LISC dataset 方法 mAP ASR/% 攻击前 攻击后 DAG 0.98 0.95 3.06 UEA 0.98 0.78 20.41 TOG 0.98 0.81 17.35 LGP 0.98 0.74 24.49 NAA 0.98 0.71 27.55 SMI-FGSM 0.98 0.96 2.04 SM2I-FGSM 0.98 0.95 3.06 LAGAA 0.98 0.69 29.59

表4 LISC数据集上各算法在SDD上迁移攻击效果对比 Table 4 Comparison of transferable attack results of different algorithms on SDD model on LISC dataset

本节通过消融实验进一步分析LAGAA中加入不同损失的有效性, 采用Faster R-CNN作为测试模型, 选择UEA作为基线方法, 在BCCD、LISC数据集上进行实验, 结果如表5和表6所示, 表中黑体数字表示最优值.

表5

Table 5

表5(Table 5)

表5 BCCD数据集上各损失的指标值对比 Table 5 Comparison of metric values on BCCD dataset 算法 mAP ASR/% SSIM PSNR/dB UEA 0.13 81.69 0.88 34.45 UEA+Lgraph 0.15 78.87 0.96 39.84 UEA+Lmisloc 0.06 91.55 0.84 32.21 UEA+Lgraph+Lmisloc 0.07 90.14 0.94 38.91

表5 BCCD数据集上各损失的指标值对比 Table 5 Comparison of metric values on BCCD dataset

表6

Table 6

表6(Table 6)

表6 LISC数据集上各损失的指标值对比 Table 6 Comparison of metric values on LISC dataset 算法 mAP ASR/% SSIM PSNR/dB UEA 0.04 94.59 0.91 40.98 UEA+Lgraph 0.04 94.59 0.99 47.63 UEA+Lmisloc 0.02 94.59 0.90 39.71 UEA+Lgraph+Lmisloc 0.02 97.29 0.99 45.46

表6 LISC数据集上各损失的指标值对比 Table 6 Comparison of metric values on LISC dataset

由表5和表6可知, 在UEA中加入基于图结构的局部属性差异损失L_graph后, 图像的生成质量进一步提升.在UEA中加入误定位攻击损失L_misloc后攻击成功率明显提升.在合并这两部分损失之后, 即LAGAA在攻击成功率和对抗样本的生成质量两者之间达到平衡, 既提升攻击成功率也保证高质量的图像质量.

本节讨论LAGAA中不同参数对ASR、PSNR、SSIM指标的影响, 包括图像块划分尺寸k、邻接顶点数量m、基于图结构的局部属性差异损失的权重系数μ .

在BCCD、LISC数据集上, 以Faster R-CNN为测试模型, 设置邻接顶点数量m=1, 3, …, 9, 图像块划分尺寸k=4, 8, 16, 具体指标值变化如图4所示.由图可知, ASR随m的增长先上升后下降, PSNR随m的增长逐渐平稳, SSIM随m的增长先上升后平稳.为了平衡攻击成功率和系统的计算资源, 选择m=5作为邻接顶点数量, 对比k不同时的指标值, 可看到k=8时达到高攻击成功率和高质量的图像质量.

图4

Fig.4

	Figure Option ViewDownloadNew Window
	图4 k、m对指标值的影响Fig.4 Effect of k and m on metrics

进一步研究基于图结构的局部属性差异损失的权重系数μ 对ASR和图像质量评估指标的影响, 具体结果如图5所示.由图可知, ASR随着μ 的增加而缓慢下降, 图像质量评估指标PSNR和SSIM则随着μ 的增加逐步上升.为了平衡攻击成功率和图像质量, 选择μ =100作为基于图结构的局部属性差异损失的权重系数.

图5

Fig.5

	Figure Option ViewDownloadNew Window
	图5 μ 对指标值的影响Fig.5 Effect of μ on metrics