物理域对抗贴纸攻击实现人脸识别系统安全评估的方法技术方案

技术编号：42439871 阅读：17 留言：0更新日期：2024-08-16 16:48

本发明专利技术属于人工智能信息安全技术领域，公开了一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，包括采集用户人脸图像和目标人脸图像，并根据采集到的图像制作对抗贴纸，并建模物理环境(光照、对比度)、人脸图像自身变化(旋转、缩放等)以及贴纸的变化，将建模后的对抗人脸与目标人脸一并输入到预训练的人脸识别模型中进行对抗优化得到最终的对抗补丁，最后打印并粘贴在人脸特定位置攻击人脸识别系统进行安全性评估。本发明专利技术还涉及一种对抗贴纸攻击验证人脸识别系统安全的评估系统。采用了本发明专利技术的一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，极大地简化了攻击和评估的操作过程，对于人脸识别安全领域有积极的指导意义。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于人工智能信息安全，尤其涉及一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法与系统。

技术介绍

1、目前，随着信息时代的快速发展，人脸识别技术广泛应用在各种关键领域，例如闸门身份核验、打卡考勤、视频监控等等。然而人脸识别提供方便的同时还带来了巨大的安全隐患，越来越多的研究表明人脸识别系统(fr)易受到人脸对抗样本的影响，即人脸对抗样本的输入使fr系统以高置信度识别错误，这对fr造成了极大的安全隐患。研究人脸识别对抗样本攻击能够更好的评估部署在现实环境下人脸识别系统的安全性，但目前人脸识别对抗样本攻击大多数是在数字化层面的，只能有效的攻击白盒状态下的人脸识别系统，但在现实情况下人脸识别系统大多数是黑盒的且数字化的攻击基本无法进行输入，少数的物理人脸对抗样本攻击在复杂环境下攻击鲁棒性较低，且过度依赖设备，这就导致了很难评估真实环境下人脸识别系统的安全性。

2、综上所述，现有技术存在的问题是：

3、(1)现有大多数人脸识别对抗攻击基于数字化攻击且只能进行白盒攻击。

4、(2)物理域人脸识别对抗攻击在复杂环境下攻击鲁棒性低且过度依赖设备。

5、解决上述技术问题的难度和意义：

6、解决上述问题主要难点首先在于怎么在真实环境的黑盒状态下有效的攻击人脸识别系统，其次怎么克服现实复杂环境下的攻击鲁棒性问题。本专利技术的意义在于能够在黑盒环境下有效的攻击人脸识别系统，并在各种复杂环境下仍能够保证一个有效的攻击率，以便能更好的评估真实环境下部署的人脸识别系统安全级别、更快速

技术实现思路

1、针对现有技术存在的问题，本专利技术提供了一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法与系统。

2、本专利技术是这样实现的，一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法包括：

3、s1，采集待攻击人脸x和目标人脸xt注入到待评估人脸识别系统，保证正常情况下待攻击人脸能正常识别，且不能攻击目标人脸；

4、s2，选择对抗补丁δ的形式，利用掩膜算法生成数字域人脸对抗样本xadv1；

5、s3，将xadv1经过光照、缩放、旋转等物理世界变化得到第二阶段的人脸对抗样本xadv2；

6、s4，使用全变分损失以及不可打印分数损失减小数字域转化为物理域过程的对抗性损失；最后利用改进的期望转换算法(eot)结合余弦相似度损失进行迭代梯度优化，得到最终人脸对抗样本图像xadv以及对抗贴纸δ；

7、s5，将优化得到的对抗贴纸打印出来并裁剪，最后贴在真实人脸对应位置上，然后使用该人脸去攻击目标人脸识别系统，根据攻击成功率判断当前人脸识别系统的安全等级。

8、进一步，所述的步骤s2，s3中，采取掩膜算法以及相应的物理变换模块得到第一、二阶段的人脸对抗样本：

9、xadv1＝(1-m)οx+mοta(δ+v)，

10、xadv2＝tb(xadv1)，

11、其中“ο”表示对应矩阵元素相乘，ta为贴纸变换模块，包含：1)贴纸粘贴在真实世界表面时的变形，包括离面弯曲和3d旋转；其中采用抛物线变换算子来模拟离面弯曲，采用三维仿射变换来模拟3d旋转；2)位置扰动，难以精确粘贴在设计位置，如随机旋转和平移。

12、进一步，所述tb为人脸变换模块：攻击者还经历了一系列不同仿射变换及光照对比度等物理世界变化；包括随机生成旋转，缩放，平移，对比度和亮度的对抗性人脸图像。

13、进一步，所述m为对抗贴纸的掩膜，采取0-1二进制编码的形式；v～n(μ,σ)是均值为μ，标准差为σ的随机高斯噪声。

14、进一步，所述的步骤s4中，对抗样本优化阶段的总对抗损失为：ladv＝lcos+αltv+βlnps；

15、其中lcos、ltv、lnps分别为余弦相似度损失、全变分损失、不可打印分数损失，α和β为损失权重。

16、进一步，所述的步骤s5中，当目标人脸识别系统将人脸对抗样本识别成其他人或是识别错误(余弦相似度低于阈值)即判定攻击成功，计算攻击率采取公式far＝na/n*100％，其中na表示攻击成功的次数，n表示攻击的总次数；

17、且far>90％，far>85％，far>80％，far>70％，far>60％，far>50％的攻击成功率表示安全等级依次为f级、e级、d级、c级、b级、a级。

18、本专利技术的另一目的在于提供一种物理域对抗贴纸攻击实现人脸识别系统安全评估的系统包括：

19、人脸采集模块：用于采集用户的人脸图像，采集的图像会先进行人脸检测，去掉无人脸、质量不佳的人脸图像，随后用预训练的提取特征模型，提取每个人脸的特征向量并存入人脸数据库中；

20、对抗样本生成模块：初始化对抗贴纸以及对应的掩膜，随后从人脸数据中中随机选择一张人脸图像作为攻击人脸，选择对抗补丁的形式，通过掩膜算法及其相应的物理变换模块生成人脸对抗样本，将其输入预先训练好的人脸识别模型进行对抗优化，优化完成得到最终人脸对抗样本以及对抗贴纸；

21、攻击评估模块：将对抗样本优化模块生成的对抗贴纸打印并裁剪，随后将贴纸粘贴在人脸的特定部位，最后去攻击目标人脸识别模型或系统，通过比对人脸数据库中攻击人脸与目标人脸的余弦相似度计算攻击成功率，并输出对应目标人脸识别模型或系统的安全级别；

22、所述的对抗贴纸攻击验证人脸识别系统安全的评估系统根据人脸图片数据构建鲁棒性的人脸对抗样本，并有效的在各种物理环境下保持良好的攻击率，最后计算攻击成功率并得出待测人脸识别系统安全评估等级。

23、本专利技术的另一目的在于提供一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述物理域对抗贴纸攻击实现人脸识别系统安全评估的方法的步骤。

24、本专利技术的另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述物理域对抗贴纸攻击实现人脸识别系统安全评估的方法的步骤。

25、本专利技术的另一目的在于提供一种信息数据处理终端，所述信息数据处理终端用于实现所述物理域对抗贴纸攻击实现人脸识别系统安全评估的系统。

26、结合上述的技术方案和解决的技术问题，本专利技术所要保护的技术方案所具备的优点及积极效果为：

27、第一、人脸识别系统一旦识别错误甚至误识别，将带来不可估量的经济损失，因此研究者在提升人脸识别模型识别精度的同时，还应关注模型自身抗攻击的能力。为了更好的评估人脸识别模型的安全性和抗攻击性，针对人脸识别的对抗样本攻击被广泛研究。根据攻击领域的不同，对抗样本攻击可分为数字域攻击和物理域攻击。数字域攻击的前提是能直接访问人脸识别系统的数字输入，但人脸识别系本文档来自技高网...

【技术保护点】

1.一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，所述的步骤S2，S3中，采取掩膜算法以及相应的物理变换模块得到第一、二阶段的人脸对抗样本：

3.根据权利要求2所述的基于一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，所述TB为人脸变换模块：攻击者还经历了一系列不同仿射变换及光照对比度等物理世界变化；包括随机生成旋转，缩放，平移，对比度和亮度的对抗性人脸图像。

4.根据权利要求2所述的基于一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，所述M为对抗贴纸的掩膜，采取0-1二进制编码的形式；v～N(μ，σ)是均值为μ，标准差为σ的随机高斯噪声。

5.根据权利要求1所述的基于一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，所述的步骤S4中，对抗样本优化阶段的总对抗损失为：Ladv＝Lcos+αLTV+βLNPS；

6.根据权利要求1所述的基于一种

7.一种实施如权利要求1-6任意一项所述物理域对抗贴纸攻击实现人脸识别系统安全评估的方法的物理域对抗贴纸攻击实现人脸识别系统安全评估的系统，其特征在于，所述物理域对抗贴纸攻击实现人脸识别系统安全评估的系统包括：

8.一种计算机设备，其特征在于，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如权利要求1-6任意一项所述物理域对抗贴纸攻击实现人脸识别系统安全评估的方法的步骤。

9.一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如权利要求1-6任意一项所述物理域对抗贴纸攻击实现人脸识别系统安全评估的方法的步骤。

10.一种信息数据处理终端，其特征在于，所述信息数据处理终端用于实现如权利要求7所述物理域对抗贴纸攻击实现人脸识别系统安全评估的系统。

...

【技术特征摘要】

1.一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，所述的步骤s2，s3中，采取掩膜算法以及相应的物理变换模块得到第一、二阶段的人脸对抗样本：

3.根据权利要求2所述的基于一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，所述tb为人脸变换模块：攻击者还经历了一系列不同仿射变换及光照对比度等物理世界变化；包括随机生成旋转，缩放，平移，对比度和亮度的对抗性人脸图像。

4.根据权利要求2所述的基于一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，所述m为对抗贴纸的掩膜，采取0-1二进制编码的形式；v～n(μ，σ)是均值为μ，标准差为σ的随机高斯噪声。

5.根据权利要求1所述的基于一种物理域对抗贴纸攻击实现人脸识别系统安全评估的方法，其特征在于，所述的步骤s4中，对抗样本优化阶段的总对抗损失为：ladv＝lcos+αltv+βlnps；

6.根据权利要求1所述的基于一种物理域对抗贴纸攻击实现人脸识别系统安全评估...

【专利技术属性】
技术研发人员：王建东，刘灿，卢笛，李昌令，祝幸辉，马鑫迪，葛瑞蓥，葛玉虎，张日琪，姚福浩，
申请(专利权)人：西安电子科技大学青岛计算技术研究院，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人