【技术实现步骤摘要】
本专利技术属于人工智能安全,具体涉及一种针对智能人脸识别模型的随机对抗训练方法。
技术介绍
1、近年来,随着人工智能技术的快速发展,智能化的人脸识别系统已经广泛应用于安全监控、身份认证、社交媒体等领域。然而,有研究表明,基于机器学习尤其是深度学习的人脸识别模型容易受到对抗样本攻击的干扰,在输入图像中添加人为精心构造的对抗噪声就能误导人脸识别模型产生错误识别结果。目前已有一些对抗训练方法用于提升智能模型的鲁棒性。然而,现有方法往往设置固定的对抗攻击策略和固定的训练参数,没有充分考虑到现实场景中多样化的攻击方式和数据分布,还可能降低模型在原始干净数据上的识别准确率。因此,需要提出一种新的方法来增强人脸识别模型在对抗攻击场景下的鲁棒性。
2、五邑大学在其申请的专利文献“一种用于鲁棒人脸识别的数据增强方法”(专利申请号:201710279715.9,公开号:cn107153816a)中提出了一种增强人脸识别模型鲁棒性的方法。该方法首先针对人脸图像可能存在的遮挡问题,选择相应的遮挡掩膜进行重建;然后人为添加噪声,对图像进行噪声增强处理,采用模糊集图像增强技术,对图像进行模糊处理;采用hsv均衡的同态滤波方法,对图像进行频谱分析,最后,生成具有多种姿态的人脸图像样本并加入模型训练,从而提升模型的泛化能力。但是,该方法依然存在的不足之处在于:提高了自然干扰场景下的人脸识别模型鲁棒性,但是无法防御人为精心构造的对抗攻击。
3、武汉大学在其申请的专利文献“一种目标分类模型对抗训练方法及系统”(专利申请号:202311455
技术实现思路
1、(一)要解决的技术问题
2、本专利技术要解决的技术问题是:提供一种增强人脸识别模型鲁棒性的对抗训练方法,同时抵御人脸伪装攻击和人脸逃逸攻击,并且在增强人脸识别模型抵御攻击的同时保证干净人脸样本的识别准确率,增强模型的鲁棒性和泛化能力。
3、(二)技术方案
4、为了解决上述技术问题,本专利技术提供了一种针对智能人脸识别模型的随机对抗训练方法,包括以下步骤:
5、(1)初始化算法参数并构造人脸图片训练集:
6、(1a)初始化算法参数,包括:学习率η,训练轮次epoch,批大小batchsize以及对抗训练最大步长eps。其中对抗训练最大步长eps是训练子集在进行对抗攻击时生成随机扰动的最大值,用于限制训练子集进行对抗攻击时随机添加扰动的范围;
7、(1b)搭建一种适合用于人脸识别的神经网络模型,其中包括输入层、卷积层、通道转换层、输出层,并对构建的人脸识别模型的参数进行初始化;初始化模型参数是指对构建的人脸识别模型的每一层参数进行初始化。
8、(1c)构造人脸识别训练集,其中识别训练集中包含多个文件夹,每个文件夹代表一个人,每个文件夹中包含同一个人的多张人脸图片,构造的识别训练集中共包含n张人脸图片;
9、(2)将人脸图片训练集随机划分为个互不相交的训练子集,代表向上取整;
10、(3)利用划分后的训练子集生成对抗训练子集:
11、(3a)对每个训练子集以一定概率添加随机噪声n,首先生成一个与原始人脸图片相同形状的随机噪声矩阵作为该随机噪声n,其中的值由公式nijk~n(0,1)得到,表示随机噪声矩阵n第i个通道的第j行第k列的值从正态分布n(0,1)中随机取样得到,然后通过常数c调整随机噪声矩阵n的幅度,从而控制随机噪声矩阵n的大小,最后将生成的随机噪声矩阵n叠加到原始人脸图片中,生成数据增强后的人脸图片,对每个训练子集中的所有人脸图片执行该操作,生成数据增强后的训练子集;
12、(3b)对每个训练子集进行对抗攻击生成两类对抗样本,包括人脸伪装对抗样本和人脸逃逸对抗样本。首先从数据增强后的训练子集中选择一张图像作为原始人脸图像i,将i输入到所搭建人脸识别模型中得到原始人脸图片特征向量a,并生成一个与原始人脸图片特征向量a相同形状的随机目标人脸特征向量b,其中b~n(0,1);然后再生成一个随机掩码m,m的值由公式m=(sign(x-0.5)+1)/2计算得到,其中x~u(0,1),sign为符号函数,公式表示为当值大于0时取1,当值小于0时取-1;其次通过原始人脸图片特征向量a、随机目标人脸特征向量b和随机掩码m构造生成两类对抗样本的目标向量d,公式表示为d=m*a+(1-m)*b,并构造对抗攻击损失advloss=(a·d)/(||a||·||d||),即原始人脸图片特征向量a与目标向量d的余弦距离;接着计算得到随机步长ε,其中ε~u(0,1);最后通过随机步长ε和人脸识别神经网络返回的梯度值得到两类对抗样本:m取0时,表示人脸伪装对抗样本,m取值为1时,表示人脸逃逸对抗样本。对训练子集中的所有人脸图片执行上述操作,得到对抗攻击后的训练子集;
13、(3c)将(3a)中得到的数据增强后的训练子集和(3b)中得到的对抗攻击后的训练子集进行合并,作为对抗训练子集;
14、(4)构造加权损失函数,利用(3)中得到的对抗训练子集和构造的加权损失函数对所搭建的人脸识别模型,以学习率η进行反向传播训练;其中,加权损失函数是指以一定的权重α将数据增强后的训练子集的损失函数和对抗攻击后的训练子集的损失函数相加,作为反向传播训练时的损失函数,公式可表示为loss=α*noiloss+(1-α)*advloss,其中noiloss表示数据增强后的训练子集在进行反向传播训练时的损失函数,对抗攻击损失advloss表示对抗攻击后的训练子集在进行反向传播训练时的损失函数,α取值范围是(0,1);
15、(5)重复步骤(3)到(4)次,直至所有训练子集遍历完成;
16、(6)重复步骤(2)到(5)epoch次,得到鲁棒性更强的人脸识别模型。
17、本专利技术还提供了一种用于实现所述方法的系统。
18、本专利技术还提供了一种基于所述方法实现的针对人脸识别模型的安全防护方法。
19、本专利技术还提供了一种基于所述系统实现的针对人脸识别模型的安全防护系统。
20、(三)有益效果
21、一、人脸识别模型在进行对抗训练时,将数据增强后生成的训练集和进行对抗攻击后生成的训练集合并作为对抗训练集,在增强人脸识别模型抵御对抗攻击的同时,能够保证在干净人脸样本上的识别准确率;
22、二、人脸识别模型在进行对抗攻击时,生成两类对抗样本,使得对抗训练得到的人本文档来自技高网...
【技术保护点】
1.一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(1a)中所述对抗训练最大步长eps是指训练子集在进行对抗攻击时生成随机扰动的最大值,用于限制训练子集进行对抗攻击时随机添加扰动的范围。
3.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(1b)中所述搭建人脸识别模型是指搭建一种适合用于人脸识别的神经网络模型,其中包括输入层、卷积层、通道转换层、输出层,初始化模型参数是指对搭建的人脸识别模型的每一层参数进行初始化。
4.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(1c)构造的人脸图片训练集中包含多个文件夹,其中每个文件夹代表一个人,每个文件夹中包含同一个人的多张人脸图片,因此人脸图片训练集中共包含N张人脸图片。
5.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(3a)中,生成一个与原始人脸图片相同形状的随机噪声矩阵作为
6.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(3b)中进行对抗攻击生成两类对抗样本指生成人脸伪装对抗样本和人脸逃逸对抗样本,步骤(3b)具体是:首先,从数据增强后的训练子集中选择一张图像作为原始人脸图像I,将I输入到所搭建人脸识别模型中得到原始人脸图片特征向量A,并生成一个与原始人脸图片特征向量A相同形状的随机目标人脸特征向量B,其中B~N(0,1);然后再生成一个随机掩码M,M的值由公式M=(sign(x-0.5)+1)/2计算得到,其中x~U(0,1),sign为符号函数,公式表示为当值大于0时取1,当值小于0时取-1;其次,通过原始人脸图片特征向量A、随机目标人脸特征向量B和掩码M构造生成两类对抗样本的目标向量D,公式表示为D=M*A+(1-M)*B,并构造对抗攻击损失advLoss=(A·D)/(||A||·||D||),即原始人脸图片特征向量A与目标向量D的余弦距离;接着,计算得到随机步长ε,其中ε~U(0,1);最后通过随机步长ε和人脸识别神经网络返回的梯度值得到两类对抗样本:M取0时,表示人脸伪装对抗样本,M取值为1时,表示人脸逃逸对抗样本;对训练子集中的所有人脸图片执行相同的操作,得到对抗攻击后的训练子集。
7.根据权利要求6所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(4)中构造加权损失函数的方法如下:以一定的权重α将数据增强后的训练子集的损失函数和对抗攻击后的训练子集的损失函数相加,作为以学习率η进行反向传播训练时的损失函数,公式表示为Loss=α*noiLoss+(1-α)*advLoss,其中noiLoss表示数据增强后的训练子集在进行反向传播训练时的损失函数,对抗攻击损失advLoss表示对抗攻击后的训练子集在进行反向传播训练时的损失函数,α的取值范围是(0,1)。
8.一种用于实现如权利要求1至7中任一项所述方法的系统。
9.一种基于如权利要求1至7中任一项所述方法实现的针对人脸识别模型的安全防护方法。
10.一种基于如权利要求1至7中任一项所述系统实现的针对人脸识别模型的安全防护系统。
...【技术特征摘要】
1.一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(1a)中所述对抗训练最大步长eps是指训练子集在进行对抗攻击时生成随机扰动的最大值,用于限制训练子集进行对抗攻击时随机添加扰动的范围。
3.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(1b)中所述搭建人脸识别模型是指搭建一种适合用于人脸识别的神经网络模型,其中包括输入层、卷积层、通道转换层、输出层,初始化模型参数是指对搭建的人脸识别模型的每一层参数进行初始化。
4.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(1c)构造的人脸图片训练集中包含多个文件夹,其中每个文件夹代表一个人,每个文件夹中包含同一个人的多张人脸图片,因此人脸图片训练集中共包含n张人脸图片。
5.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(3a)中,生成一个与原始人脸图片相同形状的随机噪声矩阵作为该随机噪声n,随机噪声矩阵中的值由公式nijk~n(0,1)得到,表示随机噪声矩阵n第i个通道的第j行第k列的值从正态分布n(0,1)中随机取样得到,通过预设常数c调整随机噪声矩阵n的幅度,从而控制随机噪声矩阵n的取值范围,最后将生成的随机噪声矩阵n叠加到原始人脸图片中,生成数据增强后的人脸图片,对训练子集中的所有人脸图片执行相同的操作,生成数据增强后的训练子集。
6.根据权利要求1所述的一种针对智能人脸识别模型的随机对抗训练方法,其特征在于,步骤(3b)中进行对抗攻击生成两类对抗样本指生成人脸伪装对抗样本和人脸逃逸对抗样本,步骤(3b)具体是:首先,从数据增强后的训练子集中选择一张图像作为原始人脸图...
【专利技术属性】
技术研发人员:方永强,靳咏雷,郭敏,桓琦,张箐蓓,田少山,曾颖明,李宁,薛晓萱,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。