零基础边缘端智慧交通训练营 | Lesson 4

5个课时实现车辆检测+安全算法，玩转智慧交通AI应用！

欢迎大家来到AidLux零基础边缘端智慧交通训练营~

在第三节课中，我们学习了在云服务器上使用Yolov5算法，训练了一个车辆检测模型并进行优化。

我们在前面说过，会构建一个车辆检测+AI安全的算法功能，也在前面学习了解了车辆检测模型的训练测试以及部署。

本节课，我们来学习智慧交通AI安全功能中非常重要的一个分支——对抗攻击&对抗防御的相关知识与应用。内容框架如下：

1 常用AI对抗攻击算法讲解

2 常用AI对抗防御算法讲解

3 PC端AI对抗攻击算法效果验证

4 AidLux端分类模型的部署与效果验证

5 课堂内容总结

lesson4

1. 常用AI对抗攻击算法讲解

对抗攻击（adversarial attack）是AI安全方向的重要分支，其核心逻辑是在数据中增加一些微小扰动，在人类视觉系统无法察觉的情况下，使得算法模型对这些数据产生误判。其中被增加扰动的数据也称为对抗样本。

下面是一些直观的通过增加对抗噪声来让算法模型误判的例子：

在上图的熊猫图片中加入微小的对抗噪声，就能让AI模型将其误判为长臂猿。

下图是之前第一节课和第二节课带大家认识的不同对抗攻击逻辑，大家可以看图温习一下，也可以对照着之前的课件回顾一下：

我们该怎么去理解对抗样本呢？总的来说，我把它当作生成噪声的艺术，其攻击价值的底层依托是算法模型的过拟合问题。

1.1 对抗攻击算法的场景应用

在智慧交通场景中，由于通常来说场景多样复杂（卡口、出入口、十字路口、停车场等），环境多样复杂（白天、夜晚、雨天、大雾天、反光等），场景目标复杂多样（机动车种类多、非机动车种类多、行人流量大、交通事件种类繁杂等），让对抗攻击有了很广泛的应用价值。

对于攻击者来说，上述场景、环境、场景目标都可能是其攻击对象，这些在前三节课中都已经涉及，这里就不再展开。

对于防御者来说，对抗攻击作为AI安全方向中的一个分支，其能让算法解决方案提供方对攻击者知己知彼，促进算法模型去提升其鲁棒性与防御性。

接下来，我们讲讲对于防御者，该如何应用对抗攻击技术。

对抗攻击技术可以作为智慧交通AI业务的鲁棒性与安全性检查工具，用于算法解决方案的测试短，对算法解决方案可能存在的安全风险，早发现、早解决、早完善。

通过研究对抗攻击，来增强对实际场景中受到的攻击种类与情形的判断力，从而能够更好的设计相应的对抗防御方法。

使用对抗攻击对敏感信息进行隐藏，比如在交通场景的敏感数据进行对抗攻击，防止数据被非法分子破解和利用。

再比如对抗攻击与验证码相结合，对原始验证码有针对性的加入干扰，使得人眼识别不受影响，但会显著降低人工智能模型的识别率，从而防范打码平台的破解，同时保持用户体验。

而防御者最直接了当的使用对抗攻击的形式是对抗训练。

使用对抗样本在模型训练过程中进行对抗训练，我们在训练时将对抗样本加入训练集一起训练，即为对抗训练。

进行对抗训练能扩充训练集的可能性，使得数据集逼近我们想要的数据分布，训练后的模型鲁棒性和泛化性能也大大增强。

1.2 常用AI对抗攻击算法划分

上面我们了解了对抗攻击对AI项目带来的安全风险与场景应用，接下来我们再了解一下目前主流对抗攻击算法的总体分支与逻辑：

其中，当算法模型参数和训练数据等信息被攻击者所掌握，并且攻击者在此基础上进行的针对性攻击称为白盒攻击。白盒攻击主要分为基于梯度的攻击，基于优化的攻击以及基