一种目标识别网络模型的智能欺骗方法及装置

技术领域

本发明涉及合成孔径雷达图像解译技术领域，尤其涉及一种目标识别网络模型的智能欺骗方法及装置。

背景技术

随着卫星遥感技术的快速发展，合成孔径雷达(Synthetic Aperture Radar，SAR)作为一种主动微波成像雷达，在军事和民用领域得到广泛应用。SAR数据通过主动和相干的传感过程生成，首先获取地面目标的雷达回波(即原始数据)，然后通过聚焦处理生成完整的图像。与被动的红外和光学雷达不同，SAR成像能够一定程度上忽略大气和光照等因素的影响，实现全天候、多角度的地面监测任务。因此，SAR图像是光学图像的重要补充信息来源。

在现代化信息战争中，信息获取在军事侦察、监视、目标检测与跟踪以及军事导航和指挥系统等方面发挥着越来越重要的作用。SAR以其独特的优势成为一种具有创新性的侦查手段，非常适合于军事情报探测，对现代化信息战争的胜负具有重大影响。结合近年来计算机视觉领域深度学习的蓬勃发展，研究人员已经将基于深度学习的目标检测识别算法应用于SAR自动目标识别(Automatic Target Recognition，ATR)中，并取得了初步成果。其验证了基于深度学习的目标检测识别方法相较于传统方法不仅具有更优秀的性能，而且具有较强的扩展性和适应性，因此基于深度学习的目标检测和识别算法将是未来SAR ATR系统的主要手段。

在深度学习广泛应用于SAR ATR系统，但对于一个高性能的目标识别网络，在输入图像中添加微小的对抗扰动可以引起深度卷积神经网络识别结果的剧烈变化，甚至导致错误的输出。尽管这些扰动对人类视觉来说难以察觉，但它们却能对深度学习模型产生重大影响。这种对抗脆弱性使得深度学习模型在安全敏感领域的广泛应用面临着巨大的安全风险。随后诸如快速梯度符号法等一系列基于梯度的智能欺骗方法也被相继提出。尽管这些智能欺骗方法在数字模拟中表现出色，但由于物理世界中的光照、角度等因素的限制，这些欺骗技术在现实世界中往往效果不佳。为了克服物理世界的限制，一些研究者提出了物理世界智能欺骗方法，如带有对抗扰动的眼镜框和对抗贴纸，实现了对部署在摄像头上的深度识别模型的智能欺骗。在SAR ATR系统中，研究者们同样发现了基于深度学习的SAR ATR模型容易受到对抗样本的影响，并提出了针对SAR ATR系统的高性能智能欺骗算法。这些研究证明了SAR ATR系统中也存在着对抗扰动，这对SAR ATR系统的安全构成威胁。然而现有的SAR智能欺骗方法大多集中在数字攻击方面，缺乏对物理攻击的研究。

发明内容

为了解决上述技术问题，本发明提出一种目标识别网络模型的智能欺骗方法及装置，用于生成SAR对抗样本，旨在进一步增强生成SAR对抗样本的物理实现能力，同时保持卓越的攻击性能。

为了达到上述目的，本发明的技术方案如下：

一种目标识别网络模型的智能欺骗方法，包括如下步骤：

获取SAR目标数据集，并通过SAR目标数据集训练预设的目标识别网络模型，获得最终目标识别网络模型；

将SAR目标数据集输入至简单散射模型中，获取仿真的强散射点图案；

基于粒子群优化算法，将仿真的强散射体图案与原始SAR图像输入到最终目标识别网络模型中进行迭代优化，获得强散射体图案在原始SAR图像上的最优扰动位置，将最优扰动位置的强散射体图案添加至原始SAR图像上，获得SAR对抗样本。

优选地，还包括如下步骤：

分别将原始SAR图像和SAR对抗样本输入至最终目标识别网络模型中，获取识别结果，并基于识别结果获取最终目标识别网络模型对应的误判率；

获取SAR对抗样本与原始SAR图像之间的像素差异，基于像素差异占原始SAR图像的比重，获得SAR对抗样本与原始SAR图像之间的差异度；

基于差异度和误判率进行分析，评估SAR对抗样本的欺骗性能和有效性。

优选地，所述通过SAR目标数据集训练预设的目标识别网络模型，获得最终目标识别网络模型，具体包括如下步骤：

所述SAR目标数据集中包括两种俯仰角的车辆数据，根据俯仰角的不同将SAR目标数据集划分为训练集和测试集；

将训练集输入目标识别网络模型中训练，使用交叉熵损失函数计算预测结果与标签之间的损失，通过随机梯度下降法优化参数，取训练过程中验证损失最小的模型作为初始目标识别网络模型；

通过测试集对初始目标识别网络模型测试，获得检测的准确率，当准确率达到预设阈值，输出最终目标识别网络模型。

优选地，采用中心裁剪的方式对所述SAR目标数据集进行图像统一大小处理。

优选地，所述目标识别网络模型包括SAR-CNN、VGG19、ResNet50、DenseNet121、MobileNetV2模型中至少2种以上。

优选地，所述SAR-CNN模型采用四个卷积层和四个池化层交叠形成，后接入了三个全连接层，其中，四个卷积层和前两个全连接层采用ReLU激活函数，第三个全连接层采用Softmax函数输出预测结果。

优选地，所述将SAR目标数据集输入至简单散射模型中，获取仿真的强散射点图案，具体包括如下步骤：

提取SAR目标数据集的成像参数信息；

基于SAR目标数据集的成像参数信息，计算强散射体的散射系数；

根据强散射体的散射系数进行回波信号的仿真，生成强散射体的回波信号；

利用强散射体的回波信号和多普勒效应，获取强散射体的图案。

优选地，所述计算强散射体的散射系数，公式如下所示：

其中，σ表示强散射体的散射系数，a表示其垂直边长，λ代表雷达波的波长。

优选地，基于粒子群优化算法，将仿真的强散射体图案与原始SAR图像输入到最终目标识别网络模型中进行迭代优化，获得强散射体图案在原始SAR图像上的最优扰动位置，具体包括如下步骤：

设置初始化参数，包括目标函数、初始种群大小、搜索范围、速度范围、最大迭代次数、惯性参数w、学习因子c1和c2，所述目标函数为：

式中，Z(x′)为目标函数，t

每次迭代中，取一次迭代步中整个粒子群成本函数最小所对应的粒子位置作为全局最优位置，粒子通过使用其当前位置和速度以及个体最佳历史位置和粒子群体的全局最佳位置来更新其速度和位置，所述搜索空间包括输入SAR图像中的所有坐标位置，每个粒子携带一组坐标用于放置强散射体图案；

粒子的速度更新公式：

v(i+1)＝w·v(i)+c

粒子的位置更新公式：

x(i+1)＝x(i)+v(i+1) (5)

式中，i为当前迭代次数，x(i)和v(i)分别表示粒子的当前位置和速度，粒子的最佳个体位置由p(i)表示，而群体中的最佳位置由g(i)表示，r1和r2是均匀分布在0和1之间的随机数。

当整个种群的成本函数最小值达到设定的精度要求或达到最大迭代次数，则终止算法。

本发明还提出/基于上述内容，本发明还公开了一种目标识别网络模型的智能欺骗装置，包括：数据预处理模块、强散射体图案仿真模块和生成对抗样本模块，其中，

所述数据预处理模块，用于获取SAR目标数据集，并通过SAR目标数据集训练预设的目标识别网络模型，获得最终目标识别网络模型；

所述强散射体图案仿真模块，用于将SAR目标数据集输入至简单散射模型中，获取仿真的强散射点图案；

所述生成对抗样本模块，用于基于粒子群优化算法，将仿真的强散射体图案与原始SAR图像输入到最终目标识别网络模型中进行迭代优化，获得强散射体图案在原始SAR图像上的最优扰动位置，将最优扰动位置的强散射体图案添加至原始SAR图像上，获得SAR对抗样本。

基于上述技术方案，本发明的有益效果是：

(1)针对SAR成像机制区别于光学成像，生成的对抗扰动难以在现实中实现的问题，提出的一种基于简单散射模型的强散射点图案仿真方法。该方法采用SAR图像实际成像参数来仿真强散射体图案，使得最后生成的对抗样本图案具备物理可实现性；

(2)针对现实中难以获取目标SAR ATR系统的具体信息问题，提出的一种基于粒子群优化生成SAR对抗样本的方法，该方法将求解对抗样本的过程转换为优化问题，无需获取目标SAR ATR系统的内部信息。该方法生成对抗样本与目前提出的SAR智能欺骗方法相比，在攻击性能的持平情况下，有着更优的迁移攻击能力；

(3)利用本发明的方法，参考生成对抗样本的布局，可以对实现地面目标的伪装提供参考。

附图说明

图1是一个实施例中一种目标识别网络模型的智能欺骗方法流程示意图；

图2是一个实施例中SAR目标数据集中十种地面车辆目标的实例图；

图3是一个实施例中强散射点回波图像；

图4是一个实施例中强散射点成像图像，其中，(a)为点目标成像二维图案；(b)为图(a)的三维强度图；

图5是一个实施例中3种数量的强散射点生成对抗样本结果；

图6是一个实施例中一种目标识别网络模型的智能欺骗方法中生成的对抗样本的迁移攻击准确率结果图；

图7是一个实施例中一种目标识别网络模型的智能欺骗装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

参见图1，本实施例提供一种目标识别网络模型的智能欺骗方法，包括如下步骤：

步骤1、预处理。

1-1、SAR目标数据预处理。

本实施例中选用目前公开的SAR目标数据集，它将用于SAR ATR模型的构建及作为智能欺骗的原始输入。SAR目标数据集包含了十种不同类型车辆目标，以不同俯角的SAR雷达入射角度对车辆目标实测环境进行成像处理。根据获得的场景图像中对各个车辆目标进行裁剪得到十种类别数据切片，其中每一个类别车辆目标具有不同的图像尺寸。SAR目标数据集的部分展示如图2中所示。本专利选用17度俯仰角的车辆数据作为训练集，使用具有15度俯仰角的车辆数据作为测试集，其中训练集共有2747个样本，测试集共有2425个样本。具体信息如表1所示：

在实际操作中，SAR ATR网络模型的输入尺寸固定为128×128，通道数为1。为了使数据集符合模型要求，对上面的初始数据做中心裁剪处理，使得上述2747个训练数据和2425个测试数据大小均为128×128。

表1 SAR目标数据集具体信息

1-2、SAR ATR模型的训练。

这里采用目前主流的SAR ATR模型，包括SAR-CNN、VGG19、ResNet50、DenseNet121、MobileNetV2这五种。

对于SAR-CNN的前层由四个卷积层和池化层交叠形成，其后接入了三个全连接层，最后的输出通过Softmax函数输出预测结果。其中卷积层负责提取图像中的目标特征以进行SAR目标识别，卷积层后面连接着ReLU激活函数和最大池化方法。ReLU激活函数可以在一定程度上抑制网络模型的梯度扩散现象，允许反向传播，计算效率高。最大池化方法使得网络模型的维度降低参数减少，降低了过拟合的风险。特别的，卷积层和池化层的交叠使得SAR目标识别网络能够提取到SAR图像的高维特征，使得其对SAR图像的解释能力加强。SAR-CNN模型结构如表2所示。

对于SAR-CNN模型，损失函数使用交叉熵损失函数，优化器采用随机梯度下降法(Stochastic Gradient Descent，SGD),具体的训练超参数设置如下：学习率为0.01，权重衰减为1e-6，动量为0.9，训练批大小为32，训练轮数为50。

对于ResNet50模型，损失函数使用交叉熵损失函数，优化器采用SGD优化器，具体的训练超参数设置如下：学习率为0.01，权重衰减为1e-6，动量为0.9，训练批大小为32，训练轮数为50。

对于VGG19模型，损失函数使用交叉熵损失函数，优化器采用SGD优化器，具体的训练超参数设置如下：学习率为0.001，权重衰减为1e-6，动量为0.9，训练批大小为32，训练轮数为30。

表2 SAR-CNN具体结构信息

对于DenseNet121模型，损失函数使用交叉熵损失函数，优化器采用SGD优化器，具体的训练超参数设置如下：学习率为0.01，权重衰减为1e-6，动量为0.9，训练批大小为32，训练轮数为20。

对于MobileNetV2模型，损失函数使用交叉熵损失函数，优化器采用SGD优化器，具体的训练超参数设置如下：学习率为0.01，权重衰减为1e-6，动量为0.9，训练批大小为32，训练轮数为30。

在PyTorch框架下对上述五种SAR ATR模型进行训练。PyTorch是一种流行的深度学习框架，具有强大的计算能力和灵活的模型定义方式。首先使用PyTorch内置的函数和库，如torchvision.transforms和torch.utils.data等，对数据集进行预处理和加载。然后通过数据加载器(DataLoader)将数据集划分为小批量进行模型训练，这将有助于提高训练效率和模型泛化能力。在训练过程中，可以选择适当的优化器(如Adam或SGD)和损失函数(如交叉熵损失函数)来优化模型。通过在每个训练批次中进行前向传播和反向传播，模型可以通过调整参数来最小化损失函数，并优化模型的性能。

训练完成后，使用测试集对模型进行评估，并计算模型在测试集上的准确率和其他性能指标。

本实施例中需以上五种SAR ATR模型在训练集和测试集的准确率均超过95％，是后续的智能欺骗实验的基础。

步骤2、仿真强散射点图案。

这个步骤的目标是生成一个强散射体的图案。强散射体在智能欺骗中具有极大的价值，因为它能够引起SAR ATR系统的注意，并干扰其目标识别和跟踪能力。通过使用先进的算法和技术，可以创建出具有理想反射性能的目标。因此，在设计和开发过程中，将充分考虑各种参数和特性，以确保生成的强散射体图案能够最大程度地满足应用需求，并且具备智能欺骗性能。站在防御方角度，通过这个模块，可以为地面目标提供强有力的综合防御措施，保护目标免受攻击的威胁。

2-1、获取SAR目标数据集成像参数信息。

为确保生成的强散射体具备物理智能欺骗能力，在仿真阶段需要使用SAR目标数据集的相关成像参数。SAR目标数据集是一份公开的具有代表性的SAR图像数据库，其中包含了多种目标的高分辨率SAR成像数据。通过使用SAR目标数据集，可以准确地仿真实际应用场景下的目标回波特性，并对生成的强散射体进行有效的验证和评估。同时，也可以通过参考SAR目标数据集中的成像参数来调整仿真模型，以使生成的强散射体更符合实际情况。通过结合SAR目标数据集的成像参数，可以提高仿真结果的可靠性和准确性，从而为应对对抗性攻击提供更有力的保障。因此，在使用该模块进行仿真之前，将充分准备并准确配置SAR目标数据集的相关成像参数，以确保生成的强散射体符合物理智能欺骗的要求并具备高度可靠性。SAR目标数据集相关参数如下表3所示：

表3 SAR目标数据集主要成像参数

2-2、计算强散射体的散射系数。

有了SAR目标数据集的成像参数，就可以计算强散射体的散射系数。其计算公式如下：

其中，σ表示强散射体的散射系数，a表示其垂直边长。此外，λ代表雷达波的波长。计算强散射体的散射系数是非常重要的，它是评估目标对雷达波的散射能力的一项关键指标。强散射体的散射系数信息将在后续的工作中被广泛应用，以评估目标的回波强度和信号特性，并为后续的处理步骤和分析提供重要参考。因此，在进行强散射体图案生成之前，将充分利用上述公式计算出相应的散射系数，确保仿真结果具备高度准确性和可信度。

代入公式(1)，输入a的值0.3m，λ的值0.03125m，得到散射系数σ的值为1。

2-3、生成强散射体的回波信号。

在计算散射系数之后，开始仿真回波信号。在这一步骤中，根据SAR目标数据集的相关参数进行回波信号的仿真，以确保仿真结果的真实性。SAR回波信号的经典计算公式可表示为：

将上述所有参数带入SAR回波公式(2)，得到SAR回波信号的图像如图3所示。

2-4、获取强散射体的图案。

使用SAR-RD(范围多普勒)算法来处理回波信号，并生成对应强散射体的图像。将之前获取的回波信号输入RD算法中，生成的强散射体图案如图4所示。

步骤3、粒子群优化算法生成SAR对抗样本。

3-1、设置目标函数。

给定输入图像

通过最小化目标函数Z(x′)，即将正确分类的置信度

3-2、迭代更新生成对抗样本。

在粒子群算法中，维护了一个粒子群体，其中每个粒子代表方程(3)的候选解，并在解空间内具有自己的速度。在攻击模型中，搜索空间包括输入SAR图像中的所有坐标位置，每个粒子携带一组坐标用于放置强散射体图案。在每次迭代中，粒子通过使用其当前位置和速度以及各自最佳历史位置和粒子群体的全局最佳位置来更新其速度和位置，以持续探索解空间。更新粒子速度和位置的方程如下所示：

速度更新公式：

v(i+1)＝w·v(i)+c

位置更新公式：

x(i+1)＝x(i)+v(i+1)(5)

其中，当前迭代次数用i表示，而x(i)和v(i)分别表示粒子的当前位置和速度。粒子的最佳个体位置由p(i)表示，而群体中的最佳位置由g(i)表示。惯性参数表示为w，而学习因子表示为c1和c2。此外，r1和r2是均匀分布在0和1之间的随机数。

最后，使用一个成本函数来评估每个候选解的质量，该成本函数对应于模型中公式(3)的得分值。如果得分小于-5或达到最大迭代次数，则终止算法。

本实施例中，使用了三种攻击策略(1点攻击、2点攻击和3点攻击)对上述五个SARATR模型在整个测试数据集上的影响，生成对抗样本示例如图5所示，智能欺骗性能结果如表4中所示。

实验参数设置如下：PSO算法的初始化设置为20个粒子，每个粒子的位置和速度范围均在[0,128]和[-5,5]之间均匀分布；算法设定为迭代100轮，如果全局最佳分数低于-5.0或达到稳定状态，则提前终止；在位置更新方面，应用了0.5的惯性权重w，学习因子c1和c2被设定为1.5。

表4三种数量的强散射点图案对五种SAR ATR模型的准确率(％)影响

此外，还研究了三种不同的散射点尺寸对于五个SAR ATR模型结果的影响，如表5所示。图6展示了生成的SAR对抗样本的迁移攻击准确率，其中，代理模型指用于创建对抗样本的模型，目标模型指未知的目标受害者分类器。

表5三种强度的强散射点图案对五种SAR ATR模型的准确率(％)影响

应该理解的是，虽然上述流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，上述流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行

在一个实施例中提供一种目标识别网络模型的智能欺骗装置，其结构如图7所示，部署在Nvidia Jetson Tx1嵌入式开发设备中，该装置主要包括：

数据预处理模块，用于获取SAR目标数据集，并通过SAR目标数据集训练预设的目标识别网络模型，获得最终目标识别网络模型；

强散射体图案仿真模块，生成将SAR目标数据集输入至简单散射模型中，获取仿真的强散射点图案；

生成对抗样本模块，用于基于粒子群优化算法，将仿真的强散射体图案与原始SAR图像输入到最终目标识别网络模型中进行迭代优化，获得强散射体图案在原始SAR图像上的最优扰动位置，将最优扰动位置的强散射体图案添加至原始SAR图像上，获得SAR对抗样本。

在一个实施例中数据预处理模块包括：输入设置模块，通过输入口接受SAR图像并进行相关设置，包括确定数据的格式、类型以及数据集划分等方面的处理；网络预训练模块，根据预设的模型结构和训练目标，对SAR自动目标识别网络模型进行预训练，通过学习输入数据的统计特征和模式，提高模型的表达能力和泛化能力。

在一个实施例中强散射体图案仿真模块包括：回波计算模块，利用特定的物理模型和数值计算方法，对输入的散射体进行回波信号的计算和模拟，该模块可以根据散射体的成像参数信息，生成对应的回波信号，以模拟实际场景中散射体的响应；图案生成模块，基于回波计算模块生成的回波信号，进一步生成智能欺骗强散射体图案，该模块利用SAR距离多普勒算法，根据预设的目标和要求，自动调整图案的形状、纹理等属性，为后续对抗样本生成作基础；通过回波计算模块和图案生成模块的共同作用，强散射体图案仿真模块能够生成具有高逼真度和欺骗性能的智能欺骗图案。

在一个实施例中生成对抗样本模块包括以下几个组成部分：粒子群优化算法参数设置模块，负责设置粒子群优化算法所需的参数，包括种群大小、迭代次数、权重系数等，通过合理设置这些参数，可以有效地搜索到最优的欺骗性能图案；算法运行模块，根据参数设置，运行粒子群优化算法，通过迭代优化过程，寻找最优的图案参数组合，该模块利用优化算法搜索图案空间，在不同的解空间中寻找最优的图案配置，以达到最佳的欺骗性能；生成对抗样本模块，基于算法运行模块搜索得到的最优参数，将前面得到的强散射体图案准确放置在输入SAR图像的指定位置，这样能够在设备输出口获取生成的对抗样本图像，使得SAR自动识别模型对该图像的感知和识别受到干扰和误导；对抗样本性能检测模块，该模块对生成的对抗样本进行性能检测和评估，通过计算对抗样本与原始数据之间的差异度、误判率等指标，评估对抗样本的欺骗性能和有效性，其中差异度定义为修改像素量占原始图像总像素量的比重，而误判率则衡量SAR目标识别模型的精度下降情况。这些指标可以用于衡量对抗样本对目标系统的干扰程度和对观察者的欺骗程度。

以上所述仅为本发明所公开的一种目标识别网络模型的智能欺骗方法及装置的优选实施方式，并非用于限定本说明书实施例的保护范围。凡在本说明书实施例的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本说明书实施例的保护范围之内。