一种基于先验信息的跟踪器黑盒攻击方法及系统与流程

本发明涉及目标跟踪安全，尤其涉及一种基于先验信息的跟踪器黑盒攻击方法及系统。

背景技术：

1、随着软硬件技术的不断进步，基于深度学习的跟踪器广泛应用于自动驾驶或者视频监控场景。近年来经过研究发现，在跟踪器应用过程中，攻击者对跟踪器实施对抗攻击会使得跟踪器无法正常的工作。如何模拟现实场景下攻击者的攻击行为，评估跟踪器在现实场景中的性能，是目前针对跟踪器的对抗攻击方法研究的重点。现有的利用对抗攻击评估跟踪器性能的方法可划分为白盒和黑盒攻击方法，白盒攻击方法通过利用跟踪器的参数和输出内容，设计不同的扰动，干扰视频中的不同帧图像，从而影响跟踪器的性能。现实场景下，攻击者无法获得跟踪器的参数，因此白盒攻击方法虽然有较好的攻击性能，但不能模拟攻击者在现实场景下的攻击。其次，黑盒攻击只能通过跟踪器输出的信息，设计攻击策略，通过多次查询和反馈，调整视频帧图像的像素，实现对抗攻击。目前黑盒攻击方法较少性能较差，同时多次查询跟踪器结果会导致攻击较低等问题。

2、因此，现有的用于评估跟踪器性能的对抗攻击方法仍然需要改进和提升。现有技术还有待改进和提高。

技术实现思路

1、本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种基于先验信息的跟踪器黑盒攻击方法及系统，旨在提供解决现有技术中黑盒攻击方法较少性能较差，同时多次查询跟踪器结果会导致攻击较低等问题。

2、第一方面，本发明提供一种基于先验信息的跟踪器黑盒攻击方法，其中，所述方法包括：

3、基于跟踪器预测的包围框坐标，确定模拟攻击区域；

4、基于encoder-decoder模型中的encoder计算所述模拟攻击区域的特征通道；

5、根据所述特征通道的重要性策略交换若干个特征通道，并基于encoder-decoder模型中的decoder对交换后的特征通道进行重建，生成模拟对抗攻击区域；

6、基于模拟对抗攻击区域替换对应的图像区域得到对抗帧，根据所述跟踪器在对抗帧上的预测结果评估跟踪器性能。

7、在一种实现方式中，所述基于跟踪器预测的包围框坐标，确定模拟攻击区域，包括：

8、所述跟踪器在上一帧和当前帧分别预测得到第一包围框坐标和第二包围框坐标；

9、在所述当前帧中，基于所述第一包围框坐标和第二包围框坐标分别得到第一模拟攻击区域和第二模拟攻击区域。

10、在一种实现方式中，所述基于encoder-decoder模型中的encoder计算所述模拟攻击区域的特征通道，包括：

11、分别将所述第一模拟攻击区域和所述第二模拟攻击区域输入至所述encoder进行编码，得到第一特征通道和第二特征通道。

12、在一种实现方式中，所述根据所述特征通道的重要性策略交换若干个特征通道，包括：

13、分别计算所述第一特征通道与所述第二特征通道的重要性，得到所述第一特征通道的第一重要性结果和所述第二特征通道的第二重要性结果；

14、根据所述第一重要性结果和所述第二重要性结果，交换若干个特征通道。

15、在一种实现方式中，所述根据所述第一重要性结果和所述第二重要性结果，交换若干个特征通道，包括：

16、基于所述第一重要性结果和所述第二重要性结果，对所述第一特征通道与所述第二特征通道进行降序排序；

17、将降序排序后的第一特征通道与第二特征通道中的若干个对应的特征通道进行交换，得到交换后的第一特征通道与交换后的第二特征通道。

18、在一种实现方式中，所述基于encoder-decoder模型中的decoder对交换后的特征通道进行重建，生成模拟对抗攻击区域，包括：

19、将交换后的第一特征通道与交换后的第二特征通道输入至所述decoder中进行重建，生成第一模拟对抗攻击区域与第二模拟对抗攻击区域。

20、在一种实现方式中，所述基于模拟对抗攻击区域替换对应的图像区域得到对抗帧，包括：

21、将所述第一模拟对抗攻击区域与所述第二模拟对抗攻击区域替换所述当前帧中对应的图像区域，得到所述对抗帧。

22、第二方面，本发明实施例还提供一种基于先验信息的跟踪器黑盒攻击系统，其中，所述系统包括：

23、攻击区域确定模块，用于基于跟踪器预测的包围框坐标，确定模拟攻击区域；

24、特征通道计算模块，用于基于encoder-decoder模型中的encoder计算所述模拟攻击区域的特征通道；

25、对抗攻击生成模块，用于根据所述特征通道的重要性策略交换若干个特征通道，并基于encoder-decoder模型中的decoder对交换后的特征通道进行重建，生成模拟对抗攻击区域；

26、目标跟踪模块，用于基于模拟对抗攻击区域替换对应的图像区域得到对抗帧，根据所述跟踪器在对抗帧上的预测结果评估跟踪器性能。

27、第三方面，本发明实施例还提供一种终端设备，其中，所述终端设备包括存储器、处理器及存储在存储器中并可在处理器上运行基于先验信息的跟踪器黑盒攻击程序，处理器执行基于先验信息的跟踪器黑盒攻击程序时，实现上述方案中任一项所述的基于先验信息的跟踪器黑盒攻击方法的步骤。

28、第四方面，本发明实施例还提供一种计算机可读存储介质，其中，计算机可读存储介质上存储有基于先验信息的跟踪器黑盒攻击程序，所述者基于先验信息的跟踪器黑盒攻击程序被处理器执行时，实现上述方案中任一项所述的基于先验信息的跟踪器黑盒攻击方法的步骤。

29、有益效果：与现有技术相比，本发明提供了一种基于先验信息的跟踪器黑盒攻击方法，本发明基于跟踪器预测的包围框坐标，确定模拟攻击区域；基于encoder-decoder模型中的encoder计算所述模拟攻击区域的特征通道；根据所述特征通道的重要性策略交换若干个特征通道，并基于encoder-decoder模型中的decoder对交换后的特征通道进行重建，生成模拟对抗攻击区域；基于模拟对抗攻击区域替换对应的图像区域得到对抗帧，根据所述跟踪器在对抗帧上的预测结果评估跟踪器性能。本发明提出利用encoder-decoder模型对帧中的区域进行编码重建，并在重建生成过程，提出特征通道替换策略，仅需交换若干特征通道，就能使攻击后得到的视频帧图像具有对抗攻击能力。

技术特征：

1.一种基于先验信息的跟踪器黑盒攻击方法，其特征在于，所述方法包括：

2.根据权利要求1所述的基于先验信息的跟踪器黑盒攻击方法，其特征在于，所述基于跟踪器预测的包围框坐标，确定模拟攻击区域，包括：

3.根据权利要求2所述的基于先验信息的跟踪器黑盒攻击方法，其特征在于，所述基于encoder-decoder模型中的encoder计算所述模拟攻击区域的特征通道，包括：

4.根据权利要求3所述的基于先验信息的跟踪器黑盒攻击方法，其特征在于，所述根据所述特征通道的重要性策略交换若干个特征通道，包括：

5.根据权利要求4所述的基于先验信息的跟踪器黑盒攻击方法，其特征在于，所述根据所述第一重要性结果和所述第二重要性结果，交换若干个特征通道，包括：

6.根据权利要求5所述的基于先验信息的跟踪器黑盒攻击方法，其特征在于，所述基于encoder-decoder模型中的decoder对交换后的特征通道进行重建，生成模拟对抗攻击区域，包括：

7.根据权利要求6所述的基于先验信息的跟踪器黑盒攻击方法，其特征在于，所述基于模拟对抗攻击区域替换对应的图像区域得到对抗帧，包括：

8.一种基于先验信息的跟踪器黑盒攻击系统，其特征在于，所述系统包括：

9.一种终端设备，其特征在于，所述终端设备包括存储器、处理器及存储在存储器中并可在处理器上运行的基于先验信息的跟踪器黑盒攻击程序，所述处理器执行所述基于先验信息的跟踪器黑盒攻击程序时，实现如权利要求1-7任一项所述的基于先验信息的跟踪器黑盒攻击方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有基于先验信息的跟踪器黑盒攻击程序，所述基于先验信息的跟踪器黑盒攻击程序被处理器执行时，实现如权利要求1-7任一项所述的基于先验信息的跟踪器黑盒攻击方法的步骤。

技术总结
本发明公开了一种基于先验信息的跟踪器黑盒攻击方法及系统，方法包括：基于跟踪器预测的包围框坐标，确定模拟攻击区域；基于Encoder‑Decoder模型中的Encoder计算模拟攻击区域的特征通道；根据特征通道的重要性策略交换若干个特征通道，并基于Encoder‑Decoder模型中的Decoder对交换后的特征通道进行重建，生成模拟对抗攻击区域；基于模拟对抗攻击区域替换图像区域得到对抗帧，根据跟踪器在对抗帧上的预测结果评估跟踪器性能。本发明利用Encoder‑Decoder模型对帧中的区域进行编码重建，并提出特征通道替换策略，仅需交换若干特征通道，就能使攻击后得到的视频帧图像具有对抗攻击能力。

技术研发人员：李鑫,黄兴森,王鸿鹏,王耀威
受保护的技术使用者：鹏城实验室
技术研发日：
技术公布日：2024/1/13