一种基于黑盒攻击的人脸对抗样本生成方法技术

一种基于黑盒攻击的人脸对抗样本生成方法，属于人脸识别算法领域。现有的黑盒攻击存在查询次数多、初始敏感点难选择的问题。一种基于黑盒攻击的人脸对抗样本生成方法，修改一小部分的图像像素来产生高效的对抗样本，对初始化样本做改进，使用基于图像的差分进化方法对输入的图像进行预处理，搜索易于攻击的像素点的同时降低解空间的维度，然后再选出的敏感像素点上加入随机噪声作为优化方法的初始输入；优化更新迭代过程：使用图像放缩技术再计算出较小扰动向量后放大噪声分布，且噪声数值不增大，做到将最小扰动的影响最大化，降低解空间维度。本发明专利技术在保证攻击成功率的同时，使得添加扰动尽量小并且减少黑盒攻击算法访问网络的次数。网络的次数。网络的次数。

【技术实现步骤摘要】
一种基于黑盒攻击的人脸对抗样本生成方法


[0001]本专利技术涉及一种样本生成方法，特别涉及一种基于黑盒攻击的人脸对抗样本生成方法。

技术介绍

[0002]随着人工智能技术的日益成熟，人和机器的界限开始变得模糊。尤其是深度神经网络在机器学习领域的许多任务中取得了巨大的成功，像人脸识别、图像识别及分类、语音识别、自动驾驶等。目前深度神经网络模型成为了解决视觉识别、监视、无人机和机器人这些任务的首要方案，但这些技术往往会产生一些安全问题，所以深度神经网络模型是否健壮在这些领域至关重要。
[0003]目前在该领域的研究可分为针对神经网络的攻击和防御两方面。攻击即研究如何构造或生成对抗样本来欺骗神经网络，防御即采取某些手段将对抗样本恢复为可被正确识别的输人数据或者训练不受对抗样本干扰的具有更加鲁棒性的神经网络。对于神经网络的攻击通常可根据威胁模型的不同分为白盒攻击和黑盒攻击。白盒攻击需要攻击者完全掌握目标模型的所有的内部结构和训练参数等，黑盒攻击则对目标模型的内部结构一无所知，只能通过观察模型的输入输出来生成对抗样本。如今白盒攻击算法很多且成功率极高，人们却很少去关注更贴近现实场景的黑盒攻击算法。可现实生活中很多系统的保密程度非常很可靠，几乎没有模型信息完全泄露的情况，因此白盒攻击的适用情况要远远少于黑盒攻击。
[0004]由于黑盒攻击算法对模型信息一无所知或了解甚少，通常需要大量的查询来收敛，或者在有限的查询预算下获得相对较大的扰动，在某种意义上，它们缺乏效率。因此，本课题旨在对现有的黑盒攻击算法进行改进。克服现有算法的不足，考虑通过用更少的查询对每个样本进行更小的扰动，减小搜索空间的维数，从而进一步提高搜索效率，有效地生成基于决策的黑盒攻击的对抗性样本。
[0005]这不仅可以促进更加有效的防御算法的产生，而且在个人隐私保护方面也做出了贡献。现在存在很多恶意软件利用人工智能系统对用户上传到网络上的图像数据进行采集并分析，实施违法犯罪行为。此时可以通过对抗样本技术对图像数据进行伪装或隐藏，欺骗基于神经网络的图像识别系统，从而达到保护用户隐私，防止信息泄露的目的。对抗样本还可应用于验证码的生成，目前使用神经网络对验证码进行快速高效的识别，这使得网站面临着被恶意破解密码、恶意大规模注册等威胁，针对验证码识别系统生成对抗样本来构建安全的验证码，具有积极的理论研究意义和重要的应用价值。
[0006]黑盒攻击是攻击者只能获取目标模型的输入输出信息，目前主要实现方法有基于迁移的攻击、基于分数的攻击和基于访问的攻击。基于迁移的攻击不依赖于模型信息，而是需要关于训练数据的信息，该数据用于训练一个完全可观察的替代模型，而该模型可以合成对抗干扰，它们依赖于经验观察，即对抗样本经常在模型之间迁移，且实用性不强。基于分数的攻击需要获得一个连续的预测分数，但这在大多数现实场景中并不适用。而基于决
策的攻击大都以高访问量的代价来提升个体攻击的成功率，虽然它更适合攻击物理世界，但普遍存在查询次数多、初始敏感点难选择的问题。因此，本专利技术提出新的算法来解决黑盒攻击出现的问题，在保证攻击成功率的同时，使得添加扰动尽量小并且减少黑盒攻击算法访问网络的次数。

技术实现思路

[0007]本专利技术的目的是为了解决现有的黑盒攻击存在查询次数多、初始敏感点难选择的问题，而提出一种基于黑盒攻击的人脸对抗样本生成方法。
[0008]一种基于黑盒攻击的人脸对抗样本生成方法，所述方法通过以下步骤实现：
[0009]步骤一、修改一小部分的图像像素来产生高效的对抗样本，对初始化样本做改进，使用基于图像的差分进化方法对输入的图像进行预处理，搜索易于攻击的像素点的同时降低解空间的维度，然后再选出的敏感像素点上加入随机噪声作为优化方法的初始输入；
[0010]步骤二、优化更新迭代过程：
[0011]在基于协方差矩阵自适应进化策略的基础上，对局部几何结构的建模确定搜索方向时，通过多种方法生成多个候选解，保证当前解和候选解中选出最优的解为下一次迭代选择更好的解；
[0012]步骤三、使用图像放缩技术再计算出较小扰动向量后放大噪声分布，且噪声数值不增大，做到将最小扰动的影响最大化，降低解空间维度。
[0013]优选地，步骤一还包括初始对抗样本的选择的步骤，即：对于目标攻击直接使用目标图像当做对抗样本。
[0014]优选地，步骤二所述的在基于协方差矩阵自适应进化策略的基础上，对局部几何结构的建模确定搜索方向时，通过多种方法生成多个候选解，保证当前解和候选解中选出最优的解为下一次迭代选择更好的解的步骤，具体为：
[0015]在基于进化攻击算法中更新迭代的基础上，在父代(当前解)生成新的后代(候选解)时，改变噪声并生成多个后代，放在一起评估这些解的目标，选取最优的解。
[0016]优选地，步骤三所述的使用图像放缩技术再计算出较小扰动向量后放大噪声分布，且噪声数值不增大，做到将最小扰动的影响最大化，降低解空间维度的步骤为：
[0017]在对初始对抗样本时进行预处理时进行第一步降维，之后再在随机坐标采样和维度降采样中进一步降维，即均匀间隔地选取一部分像素作为搜索的子空间；在子空间中找到一个候选解时，根据像素的空间坐标进行双线性插值，得到一个全空间的候选解。
[0018]优选地，步骤一所述的修改一小部分的图像像素来产生高效的对抗样本，对初始化样本做改进的步骤，具体为：
[0019]针对人脸比对模型的攻击问题建模；攻击任务是在目标人脸图像的基础上构造一个对抗人脸图像，使得其与参考人脸图像的比对结果发生改变；对于人脸验证来说，该模型依靠另一张人脸图像来识别这对图像是否属于同一身份，并输出一个二进制标签。对于人脸识别，模型将输入图像与人脸图像图库集进行比较，然后将输入图像分类为特定身份，这的过程看作是多类分类任务；给定一个真实的人脸图像，攻击的目标是在原图像附近生成一个敌对的人脸图像，但是被模型错误分类，通过求解一个约束优化问题来解决
[0020]本专利技术的有益效果为：
[0021]本专利技术通过对黑盒攻击算法进化攻击算法、遗传算法进行学习，理解空间降维实现的手段，对协方差矩阵自适应进化策略进行深入研究。提出改进的基于决策的黑盒攻击产生样本的算法，用更少的查询对每个样本引入更小的扰动来有效地生成基于决策的黑盒攻击的对抗样本，限制访问模型的次数，提高搜索的效率，在人眼无法察觉到对抗样本与原始图像之间的差异的情况下，使得深度神经网络分类错误。最后选取合适的人脸数据集采用改进后的算法进。
[0022]具体地，
[0023]本专利技术在设计初始对抗样本时，考虑差分进化算法的变异、交叉、选择时的各种参数，选择最优的参数保证生成的样本具有对抗性。
[0024]父代解生成子代解时噪声的选取，能够快速高效的生成多个子代解并从中选择最优的。
附图说明
[0025]图1为本专利技术的方法流程图；
[0026]图2为本专利技术涉及的基于决策的黑盒攻击模型；
[0027本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于黑盒攻击的人脸对抗样本生成方法，其特征在于：所述方法通过以下步骤实现：步骤一、修改一小部分的图像像素来产生高效的对抗样本，对初始化样本做改进，使用基于图像的差分进化方法对输入的图像进行预处理，搜索易于攻击的像素点的同时降低解空间的维度，然后再选出的敏感像素点上加入随机噪声作为优化方法的初始输入；步骤二、优化更新迭代过程：在基于协方差矩阵自适应进化策略的基础上，对局部几何结构的建模确定搜索方向时，通过多种方法生成多个候选解，保证当前解和候选解中选出最优的解为下一次迭代选择更好的解；步骤三、使用图像放缩技术再计算出较小扰动向量后放大噪声分布，且噪声数值不增大，做到将最小扰动的影响最大化，降低解空间维度。2.根据权利要求1所述的一种基于黑盒攻击的人脸对抗样本生成方法，其特征在于：步骤一还包括初始对抗样本的选择的步骤，即：对于目标攻击直接使用目标图像当做对抗样本。3.根据权利要求1或2所述的一种基于黑盒攻击的人脸对抗样本生成方法，其特征在于：步骤二所述的在基于协方差矩阵自适应进化策略的基础上，对局部几何结构的建模确定搜索方向时，通过多种方法生成多个候选解，保证当前解和候选解中选出最优的解为下一次迭代选择更好的解的步骤，具体为：在基于进化攻击算法中更新迭代的基础上，在父代(当前解)生成新的后代(候选解)时，改变...

【专利技术属性】
技术研发人员：陈宝远，李玉娇，
申请(专利权)人：哈尔滨理工大学，
类型：发明
国别省市：