1.一種自動駕駛汽車視覺感知系統漏洞檢測的對抗樣本生成方法，

步驟一、信息采集：自動駕駛車輛在行駛過程中，車載攝像頭將實況視頻信息傳遞給感知系統；

其特征在于：

步驟二、建立對抗目標模型：建立一個對抗目標模型代替感知系統目標檢測深度模型生成對抗樣本，且該對抗樣本對于感知系統目標檢測深度模型同樣有效；將對抗樣本將要進行干擾的目標檢測深度模型中用于提取周圍環境信息的卷積層截出，與三層全連接層和一層softmax層拼接成一個分類深度網絡model_target(x)，稱為對抗樣本的對抗目標模型，且由于目標檢測深度模型與model_target(x)共用相同的卷積層作為模型的輸入端，故兩個模型的輸入維度都為D；model_target(x)中的x為對抗目標模型的D維輸入數據，現使model_target(x)中屬于目標檢測深度模型的卷積部分的參數不變，隨后將構成的模型model_target(x)在步驟一收集到的交通場景的訓練集上進行訓練，在訓練過程中僅更新全連接層與sotfmax層的參數，當模型可以在測試集上取得較好的分類結果時，此時的模型便是最終的對抗目標模型model_target(x)；

步驟三、建立對抗擾動的數學模型：對抗樣本是在未施加對抗擾動的A類數字化圖片上施加人眼難以察覺的對抗擾動，然而卻被原本正確識別圖片類別的對抗目標模型識別為指定類別B類；

步驟3.1對抗擾動約束的數學模型：對抗樣本的生成，是在未施加任何對抗擾動的圖片x上施加一些肉眼無法識別的D維像素對抗擾動新生成的對抗樣本即為為了達到對抗樣本與圖片x的差異難以用肉眼分辨，需要對施加一定的約束；

步驟3.1.1建立二范數約束的數學模型：

第一種對的約束是無窮范數約束是二范數約束，其目的轉化模型為：

其中s_i代表對抗擾動當中的每個像素值；τ代表一個二范數約束的閾值，τ越小，對抗樣本越難以被人眼識別；

步驟3.1.2建立無窮范數約束的模型：

另一種的約束是無窮范數約束，其目的轉化模型為：

ε代表一個二范數約束的閾值，ε越小，對抗樣本越難以被人眼識別；

步驟3.2建立對抗擾動攻擊性模型：

在對抗目標模型model_target(x)的訓練過程中，利用損失函數對深度模型當中的參數的梯度，利用優化算法不斷地去更新深度模型參數，使得模型在訓練數據集X上的輸出和對應真實分類標簽集合Y之間的損失函數最小化，從而在訓練數據集X上產生一個符合訓練數據到訓練數據標簽的映射；

首先訓練集X當中的一個樣本輸入x經過model_target(x)后會被模型當中的最后一層sotfmax層輸出為一個離散分布p：

其中j代表第j種類,且j∈C；C代表模型可分類類別全體；a_j代表對應第j類的softmax層神經元的輸入值，p_j代表x為第j類標簽的概率；然后，利用輸入x進入model_target(x)后softmax層每個單元的輸出p_j和x的真實標簽y，利用交叉熵函數構造損失函數：

CrossEntroptLoss(model_target(X),Y)＝-∑_x∈X∑_j∈Cq_jln(p_j) (4)

其中X代表整個訓練數據集；Y代表X的真實分類標簽集合；x代表X中一個樣本；

步驟3.2.1建立干擾性對抗擾動攻擊模型：

將目的轉化為損失函數基礎上的數學描述，即干擾性損失函數：

步驟3.2.2建立誤導性對抗擾動攻擊模型：

將目的轉化為損失函數的數學建模，即誤導性損失函數：

其中為y_t的ONEHOT編碼q^t向量的第j個分量的值；

步驟四、對抗擾動生成的優化

根據步驟三確定的數學對抗樣本的數學描述，確定對抗擾動生成的優化目標，最終期望的對抗擾動應該滿足：

首先對采用任意方式的隨機初始化賦予初值，之后對(7)式的優化分為兩個部分進行；

步驟4.1基于梯度信息的優化

以誤導性損失函數為例下寫出如何利用Momentum Gradient Descent在干擾性損失函數進行的更新：

其中σ控制動量影響因子，即向量方向對的影響程度，β控制梯度影響因子，即梯度向量反方向方向對的影響程度；

步驟4.2優化中對對抗擾動的范數約束

在的更新過程中，為了滿足式(7)確定的約束，需要在式(8)過后對進一步約束處理，定義函數其功能為當中某個像素超過ε就將該像素的值重新賦值為ε，即每次(8)式得到的再經過CLIP函數的處理：

步驟4.3確定循環停止條件

對于干擾性對抗樣本，要求滿足以下條件時停止更新

其中α為一負數，代表與原類別y的相似程度；

對于誤導性樣本，要求滿足以下條件時停止更新

其中β越小，對抗樣本越容易分類為y_t。