1.一种基于对抗攻击的车牌攻击生成方法,其特征在于:所述方法包括如下步骤:S1:选择车牌底板尺寸和颜色以及标准车牌的字符字体和大小;
S2:确定字符间隔,生成随机字符的车牌;
S3:对标准车牌进行数字图像处理;
S4:训练一个生成对抗扰动的分类器模型;
S5:判断生成的对抗样本是否被分类器误分类:即判断添加扰动的车牌是否被判断为其他车牌,是则结束车牌攻击,否则继续生成扰动;最后测试对抗样本的攻击效果。
2.如权利要求1所述的一种基于对抗攻击的车牌攻击生成方法,其特征在于:所述步骤S1包括以下步骤:S1.1:确定车牌底板的规格:采用全固定蓝色车牌,车牌大小为实际大小的1/68;
S1.2:确定标准车牌的字符以黑体为基本字体。
3.如权利要求1或2所述的一种基于对抗攻击的车牌攻击生成方法,其特征在于:所述步骤S2包括以下步骤:S2.1:以现实标准车牌字符间隔为例,确定生成车牌的字符间距;
S2.2:分配第一个字符为省级缩写字符,第二个字符为市级代号,后续字符和数字与字母混编;
S2.3:给予每个字符随机性,之后生成一系列不重复的标准车牌数据集。
4.如权利要求1或2所述的一种基于对抗攻击的车牌攻击生成方法,其特征在于:所述步骤S3包括以下步骤:S3.1:对标准车牌进行阈值操作、取轮廓和字符分割,从而获取车牌中所有字符的二进制黑白小图块;
S3.2:将分割后的七个字符保存为对应的训练数据集。
5.如权利要求1或2所述的一种基于对抗攻击的车牌攻击生成方法,其特征在于:所述步骤S4包括以下步骤:S4.1:设计一种包含对抗攻击方法的Lenet-5的神经网络分类器;
S4.2:在训练过程中判断生成的对抗样本是否被分类器误分类,若是,则结束车牌攻击;若否,则继续生成扰动;最后测试对抗样本的攻击效果。
6.如权利要求5所述的一种基于对抗攻击的车牌攻击生成方法,其特征在于:所述步骤
4.1中,定义车牌分割图块中的显著图为一组像素点[p,q],并令:上式中t为最终误分类的target类别,Z(x)为LeNet-5最终层softmax之前一层logits的输出值;所以上式中αpq表示改变像素点[p,q]值的大小使分类器评估类别为t,βpq表示改变像素点[p,q]值的大小使分类器评估类别为除了t之外的所有其他类别;所以最终选择像素点,根据:其中αpq>0表示分类结果与目标类别越接近,βpq<0表示其他类别与目标类别相差越远,-αpq·βpq即为所需优化目标;
所述步骤4.2中,每次迭代过程中修改显著图,并移除已修改过的显著图像素,避免下次迭代仍然更改该像素点,最终直至使分类器发生对车牌的误分类即生成了对抗样本。