原文传递
车牌识别算法的黑盒对抗攻击方法研究
| 论文题名: | 车牌识别算法的黑盒对抗攻击方法研究 |
| 关键词: | 车牌识别;黑盒攻击;对抗攻击 |
| 摘要: | 车牌识别技术是现代智能交通系统的重要组成部分,在交通管理、数字安全监控、车辆识别、停车管理等场景有着广泛的应用。应用深度学习来进行车牌识别具有识别速度快、准确率高、泛化能力强等优点,但同时存在模型脆弱、易受对抗样本攻击的风险。针对基于深度学习的车牌识别模型,对其输入叠加特定噪声生成的对抗样本可以使该模型以较高的置信度对车牌图像进行错误识别。对抗攻击方法通常分为白盒攻击和黑盒攻击两种,相对于需要已知攻击目标的内部网络结构和参数的白盒攻击,直接利用对抗样本进行黑盒攻击更具挑战,也更具有实际意义和研究价值。本文针对车牌识别场景下的对抗攻击展开研究,主要工作如下。 首先,本文分别使用FGSM、DeepFool两种白盒攻击方法,实现了对基于LeNet-5的车牌字符识别算法及基于CNN的端到端车牌识别算法的对抗攻击。数据表明,两种白盒攻击方法均可使车牌识别算法的识别率从95%降低到52%以下。 其次,针对于黑盒场景,利用了上述白盒攻击生成的对抗样本对基于AlexNet及VGG16的车牌识别网络进行了迁移攻击,迁移成功率可达50%以上。此外,利用One-pixelAttack黑盒攻击方法分别对上述车牌字符识别算法及端到端车牌识别算法实现了攻击,使车牌字符识别算法的正确率从98%下降至6%以下,使端到端车牌识别算法的正确率从98%下降至32%以下。 通过交叉实验,研究了基于FGSM、DeepFool白盒攻击方法生成的对抗样本的稳定性、可迁移性以及基于One-pixelAttack黑盒攻击方法的隐蔽性。实验结果表明,基于深度学习的几种车牌识别算法识别对抗样本的性能都比较差,且白盒攻击生成的对抗样本具有迁移性,很少受模型体系结构的依赖限制。另外,对抗攻击在对抗样本上添加的噪声与原始图像相比可视化程度不明显。更重要的是,无论攻击者是否获知攻击目标的网络结构及参数,文中方法都可以顺利攻击成功,这对于基于深度学习的车牌识别算法在实际中的应用产生了巨大的威胁。 |
| 作者: | 赵雯倩 |
| 专业: | 电子与通信工程 |
| 导师: | 王伟;赵保卫 |
| 授予学位: | 硕士 |
| 授予学位单位: | 西安电子科技大学 |
| 学位年度: | 2021 |
检索历史
应用推荐
