一种自动驾驶控制方法和系统、存储介质与流程

阅读：评论：0

1.本发明涉及自动驾驶控制技术领域，具体涉及一种自动驾驶控制方法和系统、存储介质。

背景技术：

2.对抗样本攻击算法，是在原始数据上生成人类难以通过感官辨识出细微改变的对抗样本，让机器学习模型接受并做出错误的分类决定，深度神经网络(deep neural networks,简称dnn)模型易受对抗样本的挑战，基于人类无法察觉的细微噪声生成的对抗样本会使dnn模型输出不准确的预测。
3.对抗样本防御算法，是将生成的对抗样本加入原始数据中以扩充原始训练数据来提高各种dnn模型的鲁棒性与泛化性；同时dnn模型能正确判别输入dnn模型是原始样本还是对抗样本，以实现防御为目的，阻止对抗样本攻击成功。
4.目前对抗样本攻击和防御的研究都集中在白盒攻击算法上，在自动驾驶场景的应用比较少，同时在自动驾驶场景中将攻击算法和防御手段相结合的方法更是非常少见。而在自动驾驶中，系统的安全性是非常重要的，比如攻击自动驾驶场景中的交通标志和交通灯，将会导致自动驾驶模型出现严重的识别错误，碰撞其他车辆或行人；由于dnn模型易受人类无法察觉的对抗性扰动攻击，对自动驾驶汽车的安全非常不利。因此，有必要提出一种在自动驾驶场景中将攻击算法与防御算法相结合的方法/系统，来提高自动驾驶汽车的安全性。

技术实现要素：

5.本发明的目的在于提出一种自动驾驶控制方法和系统、存储介质，其应用于自动驾驶场景，以提高自动驾驶汽车的安全性。
6.为实现上述目的，本发明的实施例提出一种自动驾驶控制方法，包括如下步骤：
7.接收车辆前方图像；
8.将所述车辆前方图像输入预先训练好的图像处理模型进行处理，输出图像梯度信息；
9.根据所述图像梯度信息对所述车辆前方图像叠加扰动量获得攻击样本，并利用所述攻击样本攻击车辆自动驾驶模型；若攻击成功，则输出所述攻击样本作为对抗样本；
10.利用所述车辆前方图像和所述对抗样本对所述车辆自动驾驶模型进行对抗训练；
11.将所述对抗样本输入进行对抗训练后的车辆自动驾驶模型，并利用预先训练好的判别模型判别输入上述对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果；
12.根据所述判别结果确定是否防御成功；若所述判别结果为是对抗样本，则防御成功，将上述对抗训练后的车辆自动驾驶模型对车辆前方图像进行图像识别输出识别结果，所述识别结果用于车辆的自动驾驶决策。
13.所述步骤s60还包括：
14.若所述判别结果为不是对抗样本，则防御失败，返回步骤s40。
15.优选地，所述图像处理模型的训练方式如下：
16.获取一个与所述车辆自动驾驶模型具有相同输入和输出的替代模型，并对该替代模型进行训练，使其能够对输入该替代模型的车辆前方图像进行处理输出图像梯度信息，从而获得所述图像处理模型。
17.优选地，所述根据所述图像梯度信息对所述车辆前方图像叠加扰动量获得攻击样本，并利用所述攻击样本攻击车辆自动驾驶模型，具体包括：
18.步骤s301、根据所述图像梯度信息确定查询方向q；其中，所述查询方向q为所述车辆前方图像中视觉显著性区域的方向；
19.步骤s302、令扰动量δ为扰动量初始值，并基于所述查询方向q在所述车辆前方图像上叠加扰动量δ生成攻击样本；
20.步骤s303、利用所述攻击样本攻击车辆自动驾驶模型，若攻击成功，则进入步骤s304，若攻击失败，则进入步骤s305；
21.步骤s304、输出所述攻击样本作为对抗样本；
22.步骤s305、对扰动量δ进行调整，并基于所述查询方向q在所述车辆前方图像上叠加调整后的扰动量δ生成新的攻击样本，并返回循环执行步骤s303。
23.优选地，所述对扰动量δ进行调整，包括：
24.当第i次生成攻击样本si时，判断第i-1次生成的攻击样本s
i-1
相对于第i-2次生成的攻击样本s
i-2
在攻击车辆自动驾驶模型时，车辆自动驾驶模型对攻击样本进行识别输出攻击样本为预设类别的置信度变大或变小；
25.若变大，则第i次生成攻击样本si时，对扰动量δ的调整操作与第i-1次生成攻击样本si时扰动量δ的调整操作相同；
26.若变小，则第i次生成攻击样本si时，对扰动量δ的调整操作与第i-1次生成攻击样本si时扰动量δ的调整操作不同；
27.其中，扰动量δ的调整操作包括令δ＝δ+εq或者令δ＝δ-εq；i》2。
28.优选地，所述车辆自动驾驶模型包括用于进行图像特征提取的特征提取网络以及对提取的图像特征进行分类识别的特征处理网络；
29.所述判别模型的输入与所述特征提取网络的输出连接，所述判别模型的输出为输入所述车辆自动驾驶模型的样本是否为对抗样本的判别结果。
30.优选地，所述判别模型在训练过程中所使用的损失函数如下：
[0031][0032]
其中，y为训练过程中判别模型的输出预测值，为判别模型的输出真实值。
[0033]
优选地，所述方法还包括：
[0034]
若防御失败，则返回步骤s50重新执行步骤s50～步骤s60，直至防御成功；防御成功后，将进行对抗训练后的车辆自动驾驶模型用于车辆自动驾驶的决策控制。
[0035]
本发明的实施例还提出一种自动驾驶控制系统，用于实现上述的实施例所述的方法，所述系统包括：
[0036]
图像接收单元，用于接收车辆前方图像；
[0037]
图像处理单元，用于将所述车辆前方图像输入预先训练好的图像处理模型进行处理，输出图像梯度信息；
[0038]
黑盒攻击单元，用于根据所述图像梯度信息对所述车辆前方图像叠加扰动量获得攻击样本，并利用所述攻击样本攻击车辆自动驾驶模型；若攻击成功，则输出所述攻击样本作为对抗样本；
[0039]
对抗训练单元，用于利用所述车辆前方图像和所述对抗样本对所述车辆自动驾驶模型进行对抗训练；
[0040]
判别单元，用于将所述对抗样本输入进行对抗训练后的车辆自动驾驶模型，并利用预先训练好的判别模型判别输入进行对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果；以及
[0041]
确定单元，用于根据所述判别结果确定是否防御成功；若所述判别结果为是对抗样本，则防御成功，将上述对抗训练后的车辆自动驾驶模型对车辆前方图像进行图像识别输出识别结果，所述识别结果用于车辆的自动驾驶决策。
[0042]
优选地，当所述确定单元确定防御失败时，所述对抗训练单元利用所述车辆前方图像和所述对抗样本重新对车辆自动驾驶模型进行对抗训练；所述判别单元将所述对抗样本输入重新进行对抗训练后的车辆自动驾驶模型，并利用所述判别模型判别输入重新进行对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果；所述确定单元根据该判别结果重新确定是否防御成功。
[0043]
本发明的实施例还提出一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的实施例所述的自动驾驶控制方法的步骤。
[0044]
本发明的实施例至少具有以下有益效果：
[0045]
本发明的实施例根据车辆驾驶过程中车辆图像传感设备所采集的车辆前方图像获得图像梯度信息，以所述图像梯度信息指导扰动采样，对所述车辆前方图像叠加扰动量获得攻击样本，提高攻击样本的攻击成功率，从而提高对抗样本的生成效率；进一步地，利用所述车辆前方图像和所述对抗样本对所述车辆自动驾驶模型进行对抗训练，提高车辆自动驾驶模型的泛化性与鲁棒性；同时，利用一个判别模型对对抗训练后的车辆自动驾驶模型进行防御判别，将所述对抗样本输入进行对抗训练后的车辆自动驾驶模型，并利用预先训练好的判别模型判别输入上述对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果，若所述判别结果为是对抗样本，则防御成功；若所述判别结果为不是对抗样本，则防御失败；从而进一步提高自动驾驶系统的防御能力。
[0046]
本发明的其它特征和优点将在随后的说明书中阐述。
附图说明
[0047]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0048]
图1为本发明一实施例中一种自动驾驶控制方法的流程图。
[0049]
图2为本发明一实施例中步骤s30的具体流程图。
[0050]
图3为本发明一实施例中车辆自动驾驶模型及判别模型的框架示意图。
[0051]
图4为本发明一实施例中一种自动驾驶控制系统的框架图。
具体实施方式
[0052]
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。另外，为了更好的说明本发明，在下文的具体实施例中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本发明同样可以实施。在一些实例中，对于本领域技术人员熟知的手段未作详细描述，以便于凸显本发明的主旨。
[0053]
参阅图1，本发明的实施例提出一种自动驾驶控制方法，包括如下步骤：
[0054]
步骤s10、接收车辆前方图像；
[0055]
具体而言，本实施例中，车辆驾驶过程中车辆图像传感设备采集车辆前方图像，并发送给本实施例方法的执行主体；
[0056]
步骤s20、将所述车辆前方图像输入预先训练好的图像处理模型进行处理，输出图像梯度信息；
[0057]
具体而言，所述执行主体在接收到车辆图像传感设备发送的车辆前方图像后，将车辆前方图像输入所述图像处理模型；
[0058]
步骤s30、根据所述图像梯度信息对所述车辆前方图像叠加扰动量获得攻击样本，并利用所述攻击样本攻击车辆自动驾驶模型；若攻击成功，则输出所述攻击样本作为对抗样本；
[0059]
具体而言，所述执行主体在获得图像梯度信息后，以所述图像梯度信息作为扰动指导，对所述车辆前方图像进行叠加一定的扰动量，使得图像发送轻微的变化，获得一个用于攻击车辆自动驾驶模型的攻击样本；其中，利用所述攻击样本攻击车辆自动驾驶模型是指将所述攻击样本输入车辆自动驾驶模型，如果车辆自动驾驶模型能够对所述攻击样本正确识别，识别出其是一个错误图像，则表示攻击失败；反之，如果车辆自动驾驶模型不能够对所述攻击样本正确识别，即将其识别为某一种类型，则达到欺骗车辆自动驾驶模型的目的，表示攻击成功；
[0060]
更具体地，在自动驾驶中，系统的安全性是非常重要的，比如攻击自动驾驶场景中的交通标志和交通灯，将会导致自动驾驶模型出现严重的识别错误，碰撞其他车辆或行人；本实施例中车辆自动驾驶模型的一个主要功能是识别自动驾驶场景中的各类对象，例如交通标志、交通灯、车辆、行人等等，车辆自动驾驶模型在对图像中的目标对象进行识别时，会识别目标对象的类型，并输出目标对象属于该某一类型的概率，或者说置信度；采用百分比来表示，举例而言，设定一个阈值90％，例如，目标对象为行人，如果车辆自动驾驶模型识别出目标对象属于行人的概率/置信度大于或等于90％，则表示车辆自动驾驶模型识别正确；如果车辆自动驾驶模型识别出目标对象属于狗的概率/置信度大于或等于90％，则表示车辆自动驾驶模型识别错误；
[0061]
步骤s40、利用所述车辆前方图像和所述对抗样本对所述车辆自动驾驶模型进行对抗训练；
[0062]
具体而言，对抗训练指的是将对抗样本和车辆前方图像(即原始样本)一起加入到
样本训练集中，且对抗样本和车辆前方图像赋予同样的标签，其目的在于使得模型相信对抗样本为真实样本，从而提高模型的泛化性与鲁棒性，利用更新后的样本训练集对车辆自动驾驶模型进行训练，车辆自动驾驶模型为深度学习模型，其具有学习能力，基于输入的训练样本，深度学习模型可以自动训练学习，调整其模型参数，改善模型的性能。
[0063]
步骤s50、将所述对抗样本输入进行对抗训练后的车辆自动驾驶模型，并利用预先训练好的判别模型判别输入上述对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果；
[0064]
步骤s60、根据所述判别结果确定是否防御成功；若所述判别结果为是对抗样本，则防御成功，将上述对抗训练后的车辆自动驾驶模型对车辆前方图像进行图像识别输出识别结果，所述识别结果用于车辆的自动驾驶决策。
[0065]
本发明的实施例根据车辆驾驶过程中车辆图像传感设备所采集的车辆前方图像获得图像梯度信息，以所述图像梯度信息指导扰动采样，对所述车辆前方图像叠加扰动量获得攻击样本，提高攻击样本的攻击成功率，从而提高对抗样本的生成效率；进一步地，利用所述车辆前方图像和所述对抗样本对所述车辆自动驾驶模型进行对抗训练，提高车辆自动驾驶模型的泛化性与鲁棒性；同时，利用一个判别模型对对抗训练后的车辆自动驾驶模型进行防御判别，将所述对抗样本输入进行对抗训练后的车辆自动驾驶模型，并利用预先训练好的判别模型判别输入上述对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果，若所述判别结果为是对抗样本，则防御成功，并将上述对抗训练后的车辆自动驾驶模型对车辆前方图像进行图像识别输出识别结果，所述识别结果用于车辆的自动驾驶决策，所述识别结果例如是对车辆前方目标的识别，比如前方车辆、行人、交通灯等，以便于车辆自动驾驶决策系统根据该识别结果输出对应的决策/控制指令，控制车辆进行自动驾驶；若所述判别结果为不是对抗样本，则防御失败；从而进一步提高自动驾驶系统的防御能力。
[0066]
具体地，所述步骤s60还包括：
[0067]
若所述判别结果为不是对抗样本，则防御失败，返回步骤s40。
[0068]
在一些实施例中，所述图像处理模型的训练方式如下：
[0069]
获取一个与所述车辆自动驾驶模型具有相同输入和输出的替代模型，并对该替代模型进行训练，使其能够对输入该替代模型的车辆前方图像进行处理输出图像梯度信息，从而获得所述图像处理模型。
[0070]
具体而言，由于不同网络结构的模型在视觉显著性上有着高度的一致性，视觉显著性可以通过梯度信息来体现，因此，本实施例中寻一个与车辆自动驾驶模型有相同的输入、输出功能的替代模型，替代模型的模型结构与所述车辆自动驾驶模型不同，通过所述替代模型对驾驶过程中采集的车辆前方图像进行处理，获得图像梯度信息；所述图像梯度信息用于指导对抗样本的快速生成，即所述图像梯度信息作为先验提高黑盒攻击(ba)的查询(query)效率。
[0071]
具体地，参阅图2，所述步骤s30包括：
[0072]
步骤s301、根据所述图像梯度信息确定查询方向q；其中，所述查询方向q为所述车辆前方图像中视觉显著性区域的方向；
[0073]
步骤s302、令扰动量δ为扰动量初始值，并基于所述查询方向q在所述车辆前方图像上叠加扰动量δ生成攻击样本；
[0074]
步骤s303、利用所述攻击样本攻击车辆自动驾驶模型，若攻击成功，则进入步骤s304，若攻击失败，则进入步骤s305；
[0075]
步骤s304、输出所述攻击样本作为对抗样本；
[0076]
步骤s305、对扰动量δ进行调整，并基于所述查询方向q在所述车辆前方图像上叠加调整后的扰动量δ生成新的攻击样本，并返回循环执行步骤s303。
[0077]
具体地，所述对扰动量δ进行调整，包括：
[0078]
当第i次生成攻击样本si时，判断第i-1次生成的攻击样本s
i-1
相对于第i-2次生成的攻击样本s
i-2
在攻击车辆自动驾驶模型时，车辆自动驾驶模型对攻击样本进行识别输出攻击样本为预设类别的置信度变大或变小；具体而言，所述预设类别为“最困扰的类别”，即在神经网络误分类的错误种类中，置信度最高的那一类；
[0079]
若变大，则第i次生成攻击样本si时，对扰动量δ的调整操作与第i-1次生成攻击样本si时扰动量δ的调整操作相同；
[0080]
若变小，则第i次生成攻击样本si时，对扰动量δ的调整操作与第i-1次生成攻击样本si时扰动量δ的调整操作不同；
[0081]
其中，扰动量δ的调整操作包括令δ＝δ+εq或者令δ＝δ-εq；i》2。
[0082]
具体而言，本实施例方法提出了一种m-simba+算法，其相对于传统的simba(简单黑盒攻击)算法而言，存在实质性的区别；传统的simba算法如下：
[0083]
以目标图像标签对(x，y)、一组正交候选向量q和步长ε》0作为输入；在正交搜索子空间中随机选取一个方向，进行“加”操作；如果p(y|x)变小，则继续进行“加”操作；如果p(y|x)变大，则进行“减”操作；重复上述过程，直至攻击成功。其中，x为图像，y为分类结果，p(y|x)表示x分类为y的置信度。基于以上描述可知，传统simba在查询和攻击过程中，是最小化p(y|x)；
[0084]
而在本实施例中，是根据替代模型输出的图像梯度信息，以更快速度寻当前梯度的一个合适方向以最小化“最困扰的类别”的损失函数，即最大化“最困扰的类别”的置信度p(y’|x’)。m-simba+算法的目标就是尽可能地降低对这一类的损失函数，即可理解为让车辆自动驾驶模型越来越相信这个“误分类”其实是正确的标签；本实施例的m-simba+算法如下：
[0085]
在指定的一组正交搜索方向中，选择一合适的查询坐标方向q，利用置信度p(y’|x’)，即“最困扰的种类”的概率，来检查它是否指向或远离决策边界，并通过对图像进行加或减向量ε来扰动图像，δ为最小波动，每次更新都会使图像远离原始图像，并朝决策边界移动；
[0086]
以目标图像标签对(x’,y’)、一组正交候选向量q和步长ε＞0作为输入；x’为车辆前方图像，y’为“最困扰的种类”，在正交搜索子空间中，根据替代模型的图像梯度信息选取合适的方向，即车辆前方图像中视觉显著性区域的方向；进行“加”操作,如果p(x’,y’)变大，则继续进行“加”操作即δ＝δ+εq；如果p(x’,y’)变小，则进行“减”操作即δ＝δ-εq。
[0087]
在一些实施例中，参阅图3，所述车辆自动驾驶模型包括用于进行图像特征提取的特征提取网络以及对提取的图像特征进行分类识别的特征处理网络；
[0088]
所述判别模型的输入与所述特征提取网络的输出连接，所述判别模型的输出为输入所述车辆自动驾驶模型的样本是否为对抗样本的判别结果。
[0089]
在一些实施例中，所述判别模型在训练过程中所使用的损失函数如下：
[0090][0091]
其中，y为训练过程中判别模型的输出预测值，为判别模型的输出真实值；
[0092]
具体而言，所述判别模型例如是cnn+fc的网络结构；判别模型在训练过程中，将原始样本和对抗样本分别设置为不同的标签，例如是0和1，若判别模型输出0，则表示输入车辆自动驾驶模型的样本为原始样本，若判别模型输出1，则表示输入车辆自动驾驶模型的样本为对抗样本。
[0093]
本发明实施例中防御部分包括车辆自动驾驶模型的对抗训练和所述判别模型的判别，设loss
adv
是自动驾驶对抗模型的损失函数，则总损失函数如下：
[0094]
loss
total
＝ω1loss
adv
+ω2loss
recog
[0095]
其中，参数ω1与ω2用来调节两个模型的loss之间的比例，其为经验值。
[0096]
在一些实施例中，所述方法还包括：
[0097]
若防御失败，则返回步骤s50重新执行步骤s50～步骤s60，直至防御成功；防御成功后，将进行对抗训练后的车辆自动驾驶模型用于车辆自动驾驶的决策控制。
[0098]
本发明实施例具有以下优点：
[0099]
(1)设计了一种基于自动驾驶场景的m-simba+算法，利用了不同网络模型之间在视觉显著性上有着高度的一致性，模型之间具备可迁移性，采用替代模型的梯度作为扰动采样指导，而不是在像素空间均匀地采样，引入了一个替代模型来指导查询坐标的选择，提高了攻击黑盒攻击算法的查询效率与攻击成功率；
[0100]
(2)设计了一种双管齐下的防御手段，在对抗模型训练的基础上增加了所述判别模型，采用双管齐下技术，既可以通过对抗训练来提高车辆自动驾驶模型的泛化性和鲁棒性；又可以通过所述判别模型来判别输入车辆自动驾驶模型的是原始样本还是对抗样本，用于进一步提高自动驾驶模型的防御能力与自动驾驶汽车的安全性。
[0101]
参阅图4，本发明的实施例还提出一种自动驾驶控制系统，用于实现上述的实施例所述的方法，所述系统包括：
[0102]
图像接收单元1，用于接收车辆前方图像；
[0103]
图像处理单元2，用于将所述车辆前方图像输入预先训练好的图像处理模型进行处理，输出图像梯度信息；
[0104]
黑盒攻击单元3，用于根据所述图像梯度信息对所述车辆前方图像叠加扰动量获得攻击样本，并利用所述攻击样本攻击车辆自动驾驶模型；若攻击成功，则输出所述攻击样本作为对抗样本；
[0105]
对抗训练单元4，用于利用所述车辆前方图像和所述对抗样本对所述车辆自动驾驶模型进行对抗训练；
[0106]
判别单元5，用于将所述对抗样本输入进行对抗训练后的车辆自动驾驶模型，并利用预先训练好的判别模型判别输入进行对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果；以及
[0107]
确定单元6，用于根据所述判别结果确定是否防御成功；若所述判别结果为是对抗样本，则防御成功，将上述对抗训练后的车辆自动驾驶模型对车辆前方图像进行图像识别
输出识别结果，所述识别结果用于车辆的自动驾驶决策。
[0108]
具体地，当所述确定单元6确定防御失败时，所述对抗训练单元4利用所述车辆前方图像和所述对抗样本重新对车辆自动驾驶模型进行对抗训练；所述判别单元5将所述对抗样本输入重新进行对抗训练后的车辆自动驾驶模型，并利用所述判别模型判别输入重新进行对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果；所述确定单元6根据该判别结果重新确定是否防御成功。
[0109]
具体地，所述黑盒攻击单元3对扰动量δ进行调整，包括：
[0110]
当第i次生成攻击样本si时，黑盒攻击单元3判断第i-1次生成的攻击样本s
i-1
相对于第i-2次生成的攻击样本s
i-2
在攻击车辆自动驾驶模型时，车辆自动驾驶模型对攻击样本进行识别输出攻击样本为预设类别的置信度变大或变小；
[0111]
若变大，则第i次生成攻击样本si时，黑盒攻击单元3对扰动量δ的调整操作与第i-1次生成攻击样本si时扰动量δ的调整操作相同；
[0112]
若变小，则第i次生成攻击样本si时，黑盒攻击单元3对扰动量δ的调整操作与第i-1次生成攻击样本si时扰动量δ的调整操作不同；
[0113]
其中，扰动量δ的调整操作包括令δ＝δ+εq或者令δ＝δ-εq；i》2。
[0114]
具体地，所述车辆自动驾驶模型包括用于进行图像特征提取的特征提取网络以及对提取的图像特征进行分类识别的特征处理网络；
[0115]
所述判别模型的输入与所述特征提取网络的输出连接，所述判别模型的输出为输入所述车辆自动驾驶模型的样本是否为对抗样本的判别结果。
[0116]
具体地，所述判别模型在训练过程中所使用的损失函数如下：
[0117][0118]
其中，y为训练过程中判别模型的输出预测值，为判别模型的输出真实值。
[0119]
以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
[0120]
需说明的是，上述实施例所述系统与上述实施例所述方法对应，因此，上述实施例所述系统未详述部分可以参阅上述实施例所述方法的内容得到，即上述实施例方法记载的具体步骤内容可以理解为本实施例系统的所能够实现的功能，此处不再赘述。
[0121]
并且，上述实施例所述的自动驾驶控制系统若以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。
[0122]
本发明的另一实施例还提出一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述实施例所述的自动驾驶控制方法的步骤。
[0123]
具体而言，所述计算机可读存储介质可以包括：能够携带所述计算机程序指令的任何实体或记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。
[0124]
以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也
不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

技术特征：

1.一种自动驾驶控制方法，其特征在于，包括如下步骤：步骤s10、接收车辆前方图像；步骤s20、将所述车辆前方图像输入预先训练好的图像处理模型进行处理，输出图像梯度信息；步骤s30、根据所述图像梯度信息对所述车辆前方图像叠加扰动量获得攻击样本，并利用所述攻击样本攻击车辆自动驾驶模型；若攻击成功，则输出所述攻击样本作为对抗样本；步骤s40、利用所述车辆前方图像和所述对抗样本对所述车辆自动驾驶模型进行对抗训练；步骤s50、将所述对抗样本输入进行对抗训练后的车辆自动驾驶模型；并利用预先训练好的判别模型判别输入上述对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果；步骤s60、根据所述判别结果确定是否防御成功；若所述判别结果为是对抗样本，则防御成功，将上述对抗训练后的车辆自动驾驶模型对车辆前方图像进行图像识别输出识别结果，所述识别结果用于车辆的自动驾驶决策，所述识别结果用于车辆的自动驾驶决策。2.根据权利要求1所述的自动驾驶控制方法，其特征在于，所述步骤s60还包括：若所述判别结果为不是对抗样本，则防御失败，返回步骤s40。3.根据权利要求1所述的自动驾驶控制方法，其特征在于，所述图像处理模型的训练方式如下：获取一个与所述车辆自动驾驶模型具有相同输入和输出的替代模型，并对该替代模型进行训练，使其能够对输入该替代模型的车辆前方图像进行处理输出图像梯度信息，从而获得所述图像处理模型。4.根据权利要求3所述的自动驾驶控制方法，其特征在于，所述根据所述图像梯度信息对所述车辆前方图像叠加扰动量获得攻击样本，并利用所述攻击样本攻击车辆自动驾驶模型，具体包括：步骤s301、根据所述图像梯度信息确定查询方向q；其中，所述查询方向q为所述车辆前方图像中视觉显著性区域的方向；步骤s302、令扰动量δ为扰动量初始值，并基于所述查询方向q在所述车辆前方图像上叠加扰动量δ生成攻击样本；步骤s303、利用所述攻击样本攻击车辆自动驾驶模型，若攻击成功，则进入步骤s304，若攻击失败，则进入步骤s305；步骤s304、输出所述攻击样本作为对抗样本；步骤s305、对扰动量δ进行调整，并基于所述查询方向q在所述车辆前方图像上叠加调整后的扰动量δ生成新的攻击样本，并返回循环执行步骤s303。5.根据权利要求1所述的自动驾驶控制方法，其特征在于，所述对扰动量δ进行调整，包括：当第i次生成攻击样本s
i
时，判断第i-1次生成的攻击样本s
i-1
相对于第i-2次生成的攻击样本s
i-2
在攻击车辆自动驾驶模型时，车辆自动驾驶模型对攻击样本进行识别输出攻击样本为预设类别的置信度变大或变小；若变大，则第i次生成攻击样本s
i
时，对扰动量δ的调整操作与第i-1次生成攻击样本s
i
时扰动量δ的调整操作相同；若变小，则第i次生成攻击样本s
i
时，对扰动量δ的调整操作与第i-1次生成攻击样本s
i
时扰动量δ的调整操作不同；其中，扰动量δ的调整操作包括令δ＝δ+εq或者令δ＝δ-εq；i>2。6.根据权利要求1所述的自动驾驶控制方法，其特征在于，所述车辆自动驾驶模型包括用于进行图像特征提取的特征提取网络以及对提取的图像特征进行分类识别的特征处理网络；所述判别模型的输入与所述特征提取网络的输出连接，所述判别模型的输出为输入所述车辆自动驾驶模型的样本是否为对抗样本的判别结果。7.根据权利要求6所述的自动驾驶控制方法，其特征在于，所述判别模型在训练过程中所使用的损失函数如下：其中，y为训练过程中判别模型的输出预测值，为判别模型的输出真实值。8.一种自动驾驶控制系统，其特征在于，用于实现权利要求1～7任一项所述的方法，所述系统包括：图像接收单元，用于接收车辆前方图像；图像处理单元，用于将所述车辆前方图像输入预先训练好的图像处理模型进行处理，输出图像梯度信息；黑盒攻击单元，用于根据所述图像梯度信息对所述车辆前方图像叠加扰动量获得攻击样本，并利用所述攻击样本攻击车辆自动驾驶模型；若攻击成功，则输出所述攻击样本作为对抗样本；对抗训练单元，用于利用所述车辆前方图像和所述对抗样本对所述车辆自动驾驶模型进行对抗训练；判别单元，用于将所述对抗样本输入进行对抗训练后的车辆自动驾驶模型，并利用预先训练好的判别模型判别输入进行对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果；以及确定单元，用于根据所述判别结果确定是否防御成功；若所述判别结果为是对抗样本，则防御成功，将上述对抗训练后的车辆自动驾驶模型对车辆前方图像进行图像识别输出识别结果，所述识别结果用于车辆的自动驾驶决策。9.根据权利要求8所述的自动驾驶控制系统，其特征在于，当所述确定单元确定防御失败时，所述对抗训练单元利用所述车辆前方图像和所述对抗样本重新对车辆自动驾驶模型进行对抗训练；所述判别单元将所述对抗样本输入重新进行对抗训练后的车辆自动驾驶模型，并利用所述判别模型判别输入重新进行对抗训练后的自动驾驶模型的样本是否为对抗样本，输出判别结果；所述确定单元根据该判别结果重新确定是否防御成功。10.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述权利要求1～7中任一项所述的自动驾驶控制方法的步骤。

技术总结

本发明涉及一种自动驾驶控制方法和系统、存储介质，包括如下步骤：将车辆前方图像输入预先训练好的图像处理模型进行处理，输出图像梯度信息；根据所述图像梯度信息对所述车辆前方图像叠加扰动量获得攻击样本，并利用所述攻击样本攻击车辆自动驾驶模型；若攻击成功，则输出该攻击样本作为对抗样本；利用所述车辆前方图像和所述对抗样本对所述车辆自动驾驶模型进行对抗训练；将所述对抗样本输入进行对抗训练后的车辆自动驾驶模型，并利用预先训练好的判别模型判别输入对抗训练后的自动驾驶模型的样本是否为对抗样本，若是，则防御成功，将对抗训练后的车辆自动驾驶模型用于对车辆前方图像进行图像识别输出识别结果，从而提高自动驾驶汽车的安全性。动驾驶汽车的安全性。动驾驶汽车的安全性。