一种高鲁棒性人脸识别对抗样本生成方法技术

技术编号：41535931 阅读：6 留言：0更新日期：2024-06-03 23:14

本发明专利技术公开了一种高鲁棒性人脸识别对抗样本生成方法，属于人工智能安全领域。主要技术方案包括：1.初始化算法参数与图像预处理得到当前对抗样本；2.计算输出多样性初始化梯度；3.输出多样性初始化对抗样本；4.针对真实物理世界数据增强；5.计算物理世界下数据增强累积梯度平均；6.当前对抗样本更新，并判断是否满足迭代终止条件；7.对最终对抗样本进行测试，观察不同类别对抗样本实际效果。本发明专利技术生成的对抗样本通过同时使用输出多样性初始化及模拟真实物理环境对图像增加对抗扰动，应用梯度高斯平滑、动量梯度及噪声抑制对生成的对抗样本图像进行更新，能够保证生成的对抗扰动隐藏在真实物理环境噪声之中，对抗样本在物理世界下较高鲁棒性。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于人工智能安全，具体涉及一种高鲁棒性人脸识别对抗样本生成方法。

技术介绍

1、当前，针对计算机视觉、语音识别等相关算法的诸多对抗样本生成方法被陆续提出，但现有研究以数字领域对抗样本生成为主，一是对抗样本迁移性弱；二是受物理因素影响，具备较低的鲁棒性。

2、北京智源人工智能研究院在其申请的专利文献“基于代理模型的对抗样本生成方法和装置”(专利申请号：cn202110000718.0，公开号(授权)：cn112329929b)中提出了基于代理模型的对抗样本生成方法，包括：s1，输入原始图像；s2，使用预设白盒模型及对抗算法生成对抗样本；s3，获取上一轮次迭代生成对抗样本时，白盒模型中各批归一化层的斜率系数；s4，将各批归一化层斜率系数作为对应批归一化层之前设置的非批归一化层的重要性分数；s5，根据预设规则及上述重要性分数裁减白盒模型部分层级；s6：更新裁减后的白盒模型；s7，重复执行s2-s6进行多轮迭代，最终得到基于代理模型的对抗样本。该方法相对于原白盒模型生成的对抗样本，具备更强的迁移性，且不需要对目标模型进行大量的访问。但是，该方法仍然存在的不足之处在于：该方法仅对白盒模型进行裁剪，未对图像数据进行增强，易导致模型对原始样本数据集过拟合，造成迁移成功率低。

3、武汉大学在其申请的专利文献“一种基于微生物遗传算法的黑盒对抗样本生成方法”(专利申请号：cn202010585924.8，公开号(授权)：cn111797975b)中提出了基于微生物遗传算法的黑盒对抗样本生成方法，包括：s1，加载正常

技术实现思路

1、(一)要解决的技术问题

2、本专利技术要解决的技术问题是：提供一种高鲁棒性人脸识别对抗样本生成方法，使生成的对抗样本具有较强的鲁棒性。

3、(二)技术方案

4、为了解决上述技术问题，本专利技术提供了一种高鲁棒性人脸识别对抗样本生成方法，包括以下步骤：

5、(1)初始化算法参数与图像预处理：

6、(1a)初始化算法参数，包括输出多样性初始化迭代次数nodi，fgsm迭代次数nfgsm，物理世界数据增强梯度累积迭代次数ngrad，输出多样性初始化迭代步长β，fgsm迭代步长eps，扰动大小阈值τ，代理模型特征维度featurenum，随机扰动向量α，代理模型f，其中随机扰动向量α为featurenum维向量，元素范围-1到1之间；

7、(1b)读取目标图像并转化为张量，将0-255像素值转化到0-1之间，加速模型计算，得到预处理后的目标图像，并以预处理后的图像作为当前对抗样本x；

8、(2)计算输出多样性初始化(odi)梯度：

9、(2a)对当前对抗样本x进行池化操作，尺寸放缩至size×size，得到xsize×size；

10、(2b)利用代理模型f对xsize×size进行正向推理，获取当前对抗样本特征向量f(xsize×size)；

11、(2c)使用随机扰动向量α与当前对抗样本特征向量f(xsize×size)计算odi损失l，odi损失由公式l＝α·f(xsize×size)/||α||计算得到；

12、(2d)根据odi损失l计算odi梯度gradodi，odi梯度由公式计算得到；

13、(2e)设计尺寸为n×n的高斯核，高斯核的尺寸小于对抗样本的尺寸；利用高斯核对odi梯度进行高斯平滑，得到高斯平滑后的odi梯度gradodi；

14、(3)输出多样性初始化对抗样本：

15、(3a)按照输出多样性初始化迭代步长β与odi梯度gradodi来更新当前对抗样本，更新公式为xnew＝xold+β·sign(gradodi)，xnew和xold分别为更新之后和更新之前的当前对抗样本，β为输出多样性初始化迭代步长，sign为符号函数，gradodi为odi梯度；

16、(3b)对当前对抗样本噪声进行削峰，噪声由公式noise＝xnew-xodd计算得到，削峰操作由公式noise＝clamp(noise,max＝τ,min＝-τ)计算得到，clamp为裁剪函数，将输入值超出最大值的部分用最大值代替，超出最小值的部分用最小值代替，τ为对抗扰动大小阈值；

17、(3c)对当前对抗样本进行削峰，削峰操作由公式xnew＝clamp(xold,max＝1,min＝-1)计算得到，xnew和xold分别为更新之后和更新之前的当前对抗样本，clamp为裁剪函数，将输入值超出最大值的部分用最大值代替，超出最小值的部分用最小值代替；

18、(3d)判断是否达到输出多样性初始化迭代次数nodi，达到迭代次数执行(4)，否则执行步骤(2)；

19、(4)针对真实物理世界数据增强：

20、(4a)当前对抗样本进行随机水平翻转，由公式xnew'＝horizontalflip(xold',p＝0.5)计算得到，xnew'和xold'分别为随机翻转之后和随机翻转之前的当前对抗样本，horizontalflip为翻转函数，p为翻转概率，即对抗样本有50％可能性进行水平翻转，模拟真实物理环境下图像镜像等情况；

21、(4b)生成与当前对抗样本同尺寸的随机噪声矩阵mnoise；

22、(4c)当前对抗样本增加随机噪声，由公式xnew'＝xold'+ε·mnoise计算得到，ε为噪声系数，mnoise为随机噪声矩阵，模拟真实物理环境下图像存在噪点等情况；

23、(4d)对当前对抗样本进行随机亮度抖动，由公式xnew”＝brightnesschange(xold”,offsetbrightness)计算得到，xnew”和xold”分别为随机亮度抖动之后和随机亮度抖动之前的当前对抗样本，brightnesschange为亮度抖动函数，offsetbrightness为随机亮度抖动偏移量，模拟真实物理环境下图像明暗变化等情况；

24、(4e)设计尺寸为n×n的高斯核，高斯核的尺寸小于对抗样本的尺寸；利用高斯核对当前对抗样本进行高斯滤波，模拟真实物理环境下本文档来自技高网...

【技术保护点】

1.一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(1a)中所述代理模型特征维度featureNum是指代理模型骨干网络输出特征维度数；随机扰动向量α是指featureNum维向量，元素范围-1到1之间；代理模型f是指可用于人脸识别智能系统的图像识别网络。

3.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(1b)中所述预处理是指对输入的图像转化为张量，将0-255像素值转化到0-1之间。

4.根据权利要求2所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(2c)中使用公式L＝α·f(X)/||α||计算ODI损失，f即为步骤1a中所指的代理模型。

5.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(2d)中使用公式计算ODI梯度。

6.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(2e)、(6b)中所述高斯平滑是指利用生成的高

7.根据权利要求5所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(3a)中使用公式Xnew＝Xold+β·sign(gradODI)更新当前对抗样本，Xnew和Xold分别为更新之后和更新之前的对抗样本，sign为符号函数。

8.根据权利要求7所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(3b)中使用公式noise＝Xnew-Xodd计算当前对抗样本噪声；使用公式noise＝clamp(noise,max＝τ,min＝-τ)进行噪声削峰操作，clamp为裁剪函数，裁剪函数将输入值超出最大值的部分用最大值max代替，超出最小值的部分用最小值min代替，τ为预设对抗扰动大小阈值，步骤(6d)中使用(3b)中相同的方法进行削峰。

9.根据权利要求7所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(3c)中使用公式Xnew＝clamp(Xold,max＝1,min＝-1)进行对抗样本削峰操作，clamp为裁剪函数，裁剪函数将输入值超出最大值的部分用最大值max代替，超出最小值的部分用最小值min代替，步骤(6e)中使用与步骤(3c)中相同的方法进行削峰。

10.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(4a)中使用公式Xnew'＝HorizontalFlip(Xold',p＝0.5)进行对抗样本随机水平翻转，其中Xnew'和Xold'分别为随机翻转之后和随机翻转之前的当前对抗样本，HorizontalFlip为翻转函数，p为翻转概率，即对抗样本有50％可能性进行水平翻转，模拟真实物理环境下的图像镜像情况。

11.根据权利要求10所述的一种在物理世界下具有旋转鲁棒性的图像对抗样本生成方法，其特征在于，步骤(4b)中生成的随机噪声矩阵Mnoise是一个由标准正态分布中随机取值的矩阵。

12.根据权利要求11所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(4c)中使用公式Xnew'＝Xold'+ε·Mnoise为对抗样本增加随机噪声，模拟真实物理环境下图像存在噪点的情况，其中，ε为噪声系数。

13.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(4d)中使用公式Xnew”＝brightnessChange(Xold”,offsetbrightness)为对抗样本进行随机亮度抖动，模拟真实物理环境下图像明暗变化情况，其中Xnew”和Xold”分别为随机亮度抖动之后和随机亮度抖动之前的当前对抗样本，brightnessChange为亮度抖动函数，offsetbrightness为随机亮度抖动偏移量。

14.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(4e)中所述高斯滤波是指利用生成的高斯核在对抗样本上滑动，对应位置相乘再求和。

15.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(5b)中所述损失函数值用于衡量对抗效果，损失函数值越小则对抗效果越好。

16.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(5c)中使用公式更新当前对抗样本的真实物理世界下数据增强累积梯度平均值，其中和分别为更新之后和更新之前的累积梯度平均值，ngrad为真实物理世界数据增强梯度累积迭代次数。

17.根据权利要...

【技术特征摘要】

1.一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(1a)中所述代理模型特征维度featurenum是指代理模型骨干网络输出特征维度数；随机扰动向量α是指featurenum维向量，元素范围-1到1之间；代理模型f是指可用于人脸识别智能系统的图像识别网络。

4.根据权利要求2所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(2c)中使用公式l＝α·f(x)/||α||计算odi损失，f即为步骤1a中所指的代理模型。

5.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(2d)中使用公式计算odi梯度。

6.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(2e)、(6b)中所述高斯平滑是指利用生成的高斯核在梯度矩阵上滑动，对应位置相乘再求和。

7.根据权利要求5所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(3a)中使用公式xnew＝xold+β·sign(gradodi)更新当前对抗样本，xnew和xold分别为更新之后和更新之前的对抗样本，sign为符号函数。

8.根据权利要求7所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(3b)中使用公式noise＝xnew-xodd计算当前对抗样本噪声；使用公式noise＝clamp(noise,max＝τ,min＝-τ)进行噪声削峰操作，clamp为裁剪函数，裁剪函数将输入值超出最大值的部分用最大值max代替，超出最小值的部分用最小值min代替，τ为预设对抗扰动大小阈值，步骤(6d)中使用(3b)中相同的方法进行削峰。

9.根据权利要求7所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(3c)中使用公式xnew＝clamp(xold,max＝1,min＝-1)进行对抗样本削峰操作，clamp为裁剪函数，裁剪函数将输入值超出最大值的部分用最大值max代替，超出最小值的部分用最小值min代替，步骤(6e)中使用与步骤(3c)中相同的方法进行削峰。

10.根据权利要求1所述的一种高鲁棒性人脸识别对抗样本生成方法，其特征在于，步骤(4a)中使用公式xnew'＝horizontalflip(xold'...

【专利技术属性】
技术研发人员：郭敏，田少山，方永强，桓琦，张箐蓓，曾颖明，李宁，弓驰，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人