一种基于噪声灭活的生物特征识别对抗防御方法技术

本发明专利技术提供通用的一种基于噪声灭活的生物特征识别对抗防御方法，包括：采用主成分分析算法在输入图像训练集上计算所述输入图像训练集的M个特征向量组成的特征向量库F；子空间估计器训练，所述子空间估计器的输出为m个概率向量，所述m个概率向量p的每一分量均对应所述特征向量库F中的一个特征向量；根据所述子空间估计器输出的m个概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，选出特征向量构成所述子空间；将输入图像x’投影至选出的特征向量张成的所述子空间进行图像重建。

【技术实现步骤摘要】
一种基于噪声灭活的生物特征识别对抗防御方法
本申请涉及模式识别领域，尤其涉及一种基于噪声灭活的生物特征识别对抗防御方法。
技术介绍
近年来，生物特征识别技术有了突破性进展，包括人脸识别、虹膜识别、指纹识别、掌纹识别、静脉识别、行人再识别等。生物特征识别技术在各个领域得到了广泛应用，其中大多数应用场景都具有较高的安全性要求，例如金融、安防、边境管控等。然而，当前主流的生物特征识别方法在对抗攻击下却十分脆弱，通过在物理上或输入图像中添加对抗噪声，对抗攻击产生的对抗样本能够轻易攻破生物特征识别系统，改变识别结果。这给生物特征识别系统带来了巨大的安全隐患。为了应对对抗攻击带来的威胁，现有的生物特征识别对抗防御方法都采用了对抗训练的思路，即将对抗攻击产生的对抗样本引入识别模型的训练过程，以增强识别模型对于对抗样本的鲁棒性。其中主要包括两类实现方案：1）直接将对抗样本加入训练数据集。此类方案首先用某种或某几种对抗攻击方法产生对抗样本，而后用产生的对抗样本对识别模型进行训练。训练的方式可以是将预训练好的识别模型在对抗样本上进行微调，也可以是将对抗样本与普通样本进行混合后进行训练，以增强识别模型对于对抗样本的鲁棒性。2）通过训练策略或训练的损失函数将对抗样本引入训练过程。此类方案不显式地产生对抗样本，而是依据某种对抗攻击方法，设计对抗训练的策略或者改变训练的损失函数，在训练过程中迭代优化识别模型和输入样本，以增强识别模型对于对抗样本的鲁棒性。由于针对生物特征识别的攻击方法层出不穷，部署在开放环境中的生物特征识别系统会面对事先无法预知的对抗攻击方法的威胁，因此对未曾出现在训练过程中的对抗攻击方法的泛化性能对于对抗防御方法是十分关键的。而现有的基于对抗训练的方法，不论是直接将对抗样本加入训练数据集还是通过训练策略或训练的损失函数将对抗样本引入训练过程，由于其识别模型的训练都依赖于特定的对抗攻击方法产生的对抗样本，因此其得到的识别模型对于出现在训练过程中的对抗攻击方法具有较好的鲁棒性，而对于那些未曾出现在训练过程中的对抗攻击方法，往往鲁棒性较差，也就是说不具备较好的泛化性。同时，基于对抗训练的对抗防御方法需要对识别模型进行重新训练，因此其实际部署成本较高。申请公布号CN111753275A提了一种基于图像的用户隐私保护方法、装置、设备和存储介质，其中方法包括：获取待进行隐私保护的用户生物特征图像。该用户生物特征图像中包括特定类别的用户生物特征。该用户生物特征图像通过该特定类别的用户生物特征对应的生物特征识别模型识别后，能够得到用户个人信息。获取该特定类别的用户生物特征对应的对抗噪声模板。该对抗噪声模板基于该特定类别的用户生物特征对应的对抗样本图像、该特定类别的用户生物特征对应的生物特征识别模型和预设的对抗噪声模板生成算法生成。将上述用户生物特征图像与上述对抗噪声模板进行叠加，叠加后的用户生物特征图像含有对抗噪声，用于干扰用户生物特征识别，防止个人信息泄露。专利号CN103440504B公开了一种基于结构先验知识的鲁棒生物特征识别方法，该方法包括：收集图像数据形成训练样本集和测试样本集；提取所述训练样本集中每个训练样本的特征向量，并将提取得到的特征向量组成字典矩阵X；基于所述字典矩阵X，通过优化算法计算得到与所述测试样本集中的每一测试样本对应的重构系数向量；基于所述字典矩阵X，使用与所述测试样本集中的每一测试样本对应的重构系数向量进行样本重构，得到与每一测试样本对应的分属于不同类别的重构测试样本，与相应测试样本最为接近的重构训练样本的类别即为所述测试样本的类别。本专利技术可以用在人脸识别等生物特征识别领域，能够有效处理存在遮挡噪声情况下的识别分类问题。
技术实现思路
有鉴于此，本专利技术提供一种基于噪声灭活的生物特征识别对抗防御方法，采用卷积神经网络为每个输入图像估计一个合适的子空间，将所述输入图像投影至估计出的子空间中进行所述输入图像重建，具体方法包括：S100：采用主成分分析算法在输入图像训练集上计算所述输入图像训练集的M个特征向量组成的特征向量库F；S200：子空间估计器训练，所述子空间估计器的输出为m个概率向量p，所述m个概率向量p的每一分量均对应所述特征向量库F中的一个特征向量；S300：根据所述子空间估计器输出的m个概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，选出特征向量构成所述子空间；S400：将输入图像x’投影至选出的特征向量张成的所述子空间进行图像重建。优选的，所述计算所述输入图像训练集的M个特征向量组成的特征向量库F的具体方法为：S101：将所述输入图像训练集中的样本组成样本矩阵；所述输入图像训练集中的样本组成的样本矩阵为X，其维度为d*n，d为每个样本的维度，即像素数，n为样本数量；S102：计算样本均值，即样本矩阵X所有列的均值向量xm；S103：将所述样本矩阵X中心化：Xm=X-xmS104：计算Xm的协方差矩阵C：C=XmXmTS105：对C进行特征值分解：C=QAQ-1其中Q即为特征向量构成的矩阵，A为特征值；；S106：截取特征值最大的M个特征向量组成所述特征向量库F。优选的，所述M为2500。优选的，所述子空间估计器为卷积神经网络，训练方法为：S201：随机初始化卷积神经网络Nθ的参数θ；S202：将训练数据x送入所述网络，得到输出的所述概率向量p，p=Nθ(x)；S203：根据所述概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，决定是否选择该分量对应的特征向量；S204：将选择出来的特征向量组成矩阵Fp，Fp的维度为d*m，m为被选择的特征向量的个数，m的数值是由对概率向量p的采样决定的；S205：计算Fp的损失值l；S206：根据所述概率向量p和特征向量组成矩阵Fp，计算Fp的概率q；S207：计算q关于网络参数θ的导数▽θq；S208：计算网络参数的更新方向s；S209：重复步骤S203-S207N次，并计算N次得到的N个所述更新方向的均值sm,其中N为20-50；S210：更新卷积神经网络Nθ的参数θ：θ=θ–r•sm，其中r为学习率，由人为设置为0.001-0.01；S211：重复步骤S201-S210，直至所述卷积神经网络收敛。优选的，所述损失值l的具体计算公式为：l=||FpFpT(x-xm)–(x-xm)||2+αm，其中，α为损失平衡参数，由人为设置为0.001-0.005。优选的，所述Fp的概率q的具体计算公式为：其中pi为p的第i个分量，fi为F中的第i个特征向量；所述q关于网络参数θ的导数▽θq具体为：▽θq=∂q(Fp,Nθ(x))/∂θ。优选的，所述更新方向s的具体计算公式为：s=l•▽θq。<本文档来自技高网...

【技术保护点】
1.一种基于噪声灭活的生物特征识别对抗防御方法，其特征在于，采用卷积神经网络为每个输入图像估计一个合适的子空间，将所述输入图像投影至估计出的子空间中进行所述输入图像重建，具体方法包括：/nS100：采用主成分分析算法在输入图像训练集上计算所述输入图像训练集的M个特征向量组成的特征向量库F；/nS200：子空间估计器训练，所述子空间估计器的输出为m个概率向量p，所述m个概率向量p的每一分量均对应所述特征向量库F中的一个特征向量；/nS300：根据所述子空间估计器输出的m个概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，选出特征向量构成所述子空间；/nS400：将输入图像x’投影至选出的特征向量张成的所述子空间进行图像重建。/n

【技术特征摘要】
1.一种基于噪声灭活的生物特征识别对抗防御方法，其特征在于，采用卷积神经网络为每个输入图像估计一个合适的子空间，将所述输入图像投影至估计出的子空间中进行所述输入图像重建，具体方法包括：
S100：采用主成分分析算法在输入图像训练集上计算所述输入图像训练集的M个特征向量组成的特征向量库F；
S200：子空间估计器训练，所述子空间估计器的输出为m个概率向量p，所述m个概率向量p的每一分量均对应所述特征向量库F中的一个特征向量；
S300：根据所述子空间估计器输出的m个概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，选出特征向量构成所述子空间；
S400：将输入图像x’投影至选出的特征向量张成的所述子空间进行图像重建。


2.根据权利要求1所述的基于噪声灭活的生物特征识别对抗防御方法，其特征在于，所述计算所述输入图像训练集的M个特征向量组成的特征向量库F的具体方法为：
S101：将所述输入图像训练集中的样本组成样本矩阵；所述输入图像训练集中的样本组成的样本矩阵为X，其维度为d*n，d为每个样本的维度，即像素数，n为样本数量；
S102：计算样本均值，即样本矩阵X所有列的均值向量xm；
S103：将所述样本矩阵X中心化：
Xm=X-xm
S104：计算Xm的协方差矩阵C：
C=XmXmT
S105：对C进行特征值分解：
C=QAQ-1
其中Q即为特征向量构成的矩阵；A为特征值；
S106：截取特征值最大的M个特征向量组成所述特征向量库F。


3.根据权利要求2所述的基于噪声灭活的生物特征识别对抗防御方法，其特征在于，所述M为2500。


4.根据权利要求1所述的基于噪声灭活的生物特征识别对抗防御方法，其特征在于，所述子空间估计器为卷积神经网络，训练方法为：
S201：随机初始化卷积神经网络Nθ的参数θ；
S202：将训练数据x送入所述网络，得到输出的所述概率向量p，p=Nθ(x)；
S203：根据所述概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，决定是否选择该分量对应的特征向量；
S204：将选择出来的特征向量组成矩阵Fp，Fp的维度为d*m，m为被选择的特征向量的个数，m的数值是由对概率向量p的采样决定的；
S205：计算Fp的损失值...

【专利技术属性】
技术研发人员：孙哲南，任民，王云龙，朱宇豪，
申请(专利权)人：中国科学院自动化研究所，
类型：发明
国别省市：北京;11