(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111367546.7 (22)申请日 2021.11.18 (71)申请人 上海电力大 学 地址 200090 上海市杨 浦区沪城环路1851 号 (72)发明人 温蜜　吕欢欢　王亮亮　张凯　 魏敏捷　 (74)专利代理 机构 上海德昭知识产权代理有限 公司 31204 代理人 郁旦蓉 (51)Int.Cl. G06V 10/26(2022.01) G06V 10/774(2022.01) G06V 10/764(2022.01) G06V 10/82(2022.01)G06K 9/62(2022.01) G06F 30/27(2020.01) (54)发明名称 一种基于增量式学习的对抗样本攻击模型 的评估方法 (57)摘要 本发明提供一种基于增量式学习的对抗样 本攻击模型的评估方法， 由于使用Deeplab  v2语 义分割模型结合知识蒸馏的增量式学习方法对 样本数据进行特征提取获取语义 分割图， 再分别 在不同的扰动值下使用不同的攻击算法对该采 用不同学习方法的模型进行攻击获取攻击成功 率， 最终通过对比采用不同学习方法的模型的攻 击成功率， 得出增量式学习方法可以在不存储旧 任务图像的情况下学习新知识， 从而减少时间上 和空间上的浪费， 也可以解决深度学习模型使用 批量式学习时产生的灾难性遗忘问题， 同时， 也 得出了针对无人驾驶场景中的深度学习模型在 执行增量学习任务时， 对抗样 本攻击对深度学习 模型所产生的影响。 权利要求书2页 说明书7页 附图6页 CN 113936140 A 2022.01.14 CN 113936140 A 1.一种基于增量式学习的对抗样本攻击模型的评估方法， 其特 征在于， 包括以下步骤： 步骤S1， 基于预定数据集获取包 含若干个 类别的样本数据； 步骤S2， 将所述样本数据分为两组作为实验数据， 采用预定的语义分割模型对所述实 验数据分别进行两组的非增量式学习 、 L'D式增量学习以及EqL'D式增量学习； 步骤S3， 基于所述预定的语义分割模型对学习后的两组所述实验数据进行特征提取， 分别获取与两组所述实验数据分别对应的所述非增量式学习的第一语义分割图、 L'D式增 量学习的第二语义分割图以及所述EqL'D式增量学习的第三语义分割图； 步骤S4， 采用若干类预定的攻击算法在不同的扰动值下分别对两组所述实验数据中的 所述第一语义分割图、 所述第二语义分割图以及所述第三语义分割图进行攻击， 并分别获 取两组对应的攻击成功率； 步骤S5， 通过对每一组中的所述攻击成功率进行对比， 从而评估基于增量式学习的模 型的鲁棒 性。 2.根据权利要求1所述的一种基于增量式学习的对抗样本攻击模型的评估方法， 其特 征在于： 其中， 所述预定的语义分割模型为DeepL ab v2模型， 该模型包括空洞卷积、 空洞空间金 字塔池化以及条件随机场， 所述DeepL ab v2模型通过使用DCNN获得近似的语义分割结果， 根据双线性差值将特征 图恢复到原 始图像分辨 率， 并采用完全连接的条件随机场完 善所述语义分割结果。 3.根据权利要求1所述的一种基于增量式学习的对抗样本攻击模型的评估方法， 其特 征在于： 其中， 所述预定的攻击算法包括FGSM攻击算法、 DeepFool攻击算法以及MI ‑FGSM攻击算 法。 4.根据权利要求1所述的一种基于增量式学习的对抗样本攻击模型的评估方法， 其特 征在于： 其中， 所述预定数据集 为PascalVOC  2012数据集， 所述样本数据包 含21个类别。 5.根据权利要求4所述的一种基于增量式学习的对抗样本攻击模型的评估方法， 其特 征在于： 其中， 所述两组实验数据分别为： 将所述样本数据的21个 类别分为前20个 类别以及最后1个 类别的第一组实验数据， 将所述样本数据的21个 类别分为前16个 类别以及最后5个 类别的第二组实验数据。 6.根据权利要求5所述的一种基于增量式学习的对抗样本攻击模型的评估方法， 其特 征在于： 其中， 在所述 步骤S2中基于所述第一组实验数据进行 学习的过程 为： 对所述第一组实验数据中的所述前20个 类别进行 所述非增量式学习， 对所述第一组实验数据中的所述最后1个类别分别进行所述非增量式学习、 所述L'D式 增量学习以及所述EqL'D式增量学习； 在所述步骤S2中基于所述第二组实验数据进行 学习的过程 为： 对所述第二组实验数据中的所述前16个 类别进行 所述非增量式学习， 对所述第二组实验数据中的所述最后5个类别分别进行所述非增量式学习、 所述L'D式权　利　要　求　书 1/2 页 2 CN 113936140 A 2增量学习以及所述EqL'D式增量学习。 7.根据权利要求6所述的一种基于增量式学习的对抗样本攻击模型的评估方法， 其特 征在于： 其中， 所述L'D式增量学习为在所述预定的语义 分割模型的输 出层上进行知 识蒸馏以获 得蒸馏损失L'D， 所述EqL'D式增量学习为在所述预定的语义分割模型的输出层上进行知识蒸馏的同时 冻结编码器， 在所述编码器冻结时获得蒸馏损失EqL'D。 8.根据权利要求7所述的一种基于增量式学习的对抗样本攻击模型的评估方法， 其特 征在于： 其中， 所述蒸馏损失L'D为： 式中， 是指每个步骤的新的训练样本， k是索引的增量步骤， k＝1,2, …， 以便模型每 次学习一组新的类， Mk(Xn[c])反映了类别c的评价分数， Sk‑1是以前学过的所有类别的结合。 9.根据权利要求8所述的一种基于增量式学习的对抗样本攻击模型的评估方法， 其特 征在于： 其中， 所述步骤S5还包括对所述基于增量式学习的模型进行对抗训练以提升该模型的 鲁棒性， 所述对抗训练为： 采用对抗样本算法针对被攻击的所述基于增量式学习的模型生成对抗样本， 将所述对 抗样本以及所述样本数据输入至所述基于增量式学习的模型进行训练， 并采取有监督学习 方式进行 学习。权　利　要　求　书 2/2 页 3 CN 113936140 A 3