【技术实现步骤摘要】
本专利技术属于深度对抗攻防、信息安全、人脸伪造、人脸识别与深度学习,具体涉及一种面向黑盒攻击的人脸识别对抗样本生成方法及装置。
技术介绍
1、近年来,随着深度学习技术的发展,基于深度学习技术的人脸识别算法得到了空前的发展及应用,为人们日常的生产生活的带来的极大的便利。然而,深度学习算法容易受到对抗样本的攻击,尤其是基于深度学习技术生成的对抗样本这给人脸识别的安全应用带来了巨大挑战。因此,人脸识别模型安全亦成为人脸识别算法领域的一个研究热点。
2、人脸识别模型安全领域可以简单分为对抗攻击与对抗防御。人脸识别对抗攻击用于发现人脸识别算法的潜在的漏洞与风险,用于验证人脸识别模型的安全性;而人脸识别对抗防御一般用于人脸识别算法的潜在漏洞与风险的防御。,两者的对抗增强共同促进人脸识别模型安全领域与人脸识别应用的发展。其中,根据是否已知人脸识别模型参数又可将人脸识别对抗攻击算法分为两类,未知模型参数的为黑盒人脸识别对抗攻击,反之为白盒人脸识别对抗攻击,真实应用场景下的攻击一般为黑盒攻击,本专利技术公开的亦为一种面向黑盒攻击的人脸识别对抗样本生成算法。
3、人脸算法属于图像识别算法领域,则黑盒人脸识别模型攻击归属于黑盒图像识别对抗攻击领域,所以普通图像识别对抗攻击算法再经过一定的修改与适配也可应用于人脸识别对抗攻击,此处以研究较多的普通图像识别对抗攻击领域的研究进行背景介绍。对于图像识别对抗攻击,学术界与工业界先后推出了各种各样的算法,主要为基于梯度优化的攻击算法,代表性算法有fgsm(fast gradient si
技术实现思路
1、鉴于上述的分析,本专利技术实施例旨在提供一种面向黑盒攻击的人脸识别对抗样本生成方法及装置,用于提升现有技术中人脸识别对抗样本生成算法收敛速度,提升人脸识别对抗样本攻击鲁棒性。
2、为解决上述技术问题,本专利技术采用的主要技术方案包括:
3、本说明书提供一种面向黑盒攻击的人脸识别对抗样本生成方法,其特征在于,基于迭代训练,当达到最大迭代训练次数,输出对抗训练后的对抗样本人脸图像;其中,每次迭代训练过程包括:
4、基于上次迭代训练得到的对抗样本人脸图像和攻击目标人脸图像,进行多模型集成迁移攻击,得到对抗样本人脸多模型联合梯度;
5、基于所述对抗样本多模型联合梯度集合,计算得到动量优化后的累加梯度;
6、基于所述动量优化后的累加梯度,得到人脸扰动信息;
7、基于所述人脸扰动信息和攻击区域掩码,进行掩码区域限定攻击,得到本次对抗训练的对抗样本人脸图像。
8、可选地,迭代训练前,还包括攻击区域拷贝初始化,输出初始化对抗样本人脸图像;所述攻击区域拷贝初始化包括:
9、攻击区域掩码与对抗样本人脸进行反掩码处理,得到对抗样本人脸掩码背景;
10、所述攻击区域掩码与攻击目标人脸进行掩码处理,得到目标样本人脸掩码前景;
11、所述对抗样本人脸掩码背景与所述目标样本人脸掩码前景加和,得到初始化对抗样本人脸图像。
12、可选地,所述多模型集成迁移攻击,包括:
13、选择多个人脸识别模型进行多模型集成,计算所述攻击目标人脸图像对应的嵌入特征向量集合和所述对抗样本人脸图像对应的嵌入特征向量集合;
14、计算所述攻击目标人脸图像对应的嵌入特征向量集合和所述对抗样本人脸图像对应的嵌入特征向量集合的损失,得到优化目标损失集合;
15、基于所述优化目标损失集合,计算对抗样本人脸多模型联合梯度。
16、可选地,基于所述攻击目标人脸图像,计算所述攻击目标人脸图像对应的嵌入特征向量集合,公式为:
17、
18、其中,为攻击目标人脸图像对应的嵌入特征向量集合,mn(y)为攻击目标人脸图像在第n个人脸识别模型中的嵌入特征向量,nm为用于集成训练的人脸识别模型数量;
19、基于所述对抗样本人脸图像,计算所述对抗样本人脸图像对应的嵌入特征向量,公式为:
20、
21、其中,为对抗样本人脸图像对应的嵌入特征向量集合,为对抗样本人脸图像在第n个人脸识别模型中的嵌入特征向量,t为迭代次数,t=0时为初始化对抗样本人脸图像x*。
22、可选地,计算所述攻击目标人脸图像对应的嵌入特征向量集合和所述对抗样本人脸图像对应的嵌入特征向量集合损失,得到对抗样本优化目标损失集合,公式为:
23、
24、其中,l为对抗攻击算法的损失函数,lnt为训练优化目标损失集合,攻击目标人脸图像对应的嵌入特征向量集合,为对抗样本人脸图像对应的嵌入特征向量集合,nm为用于集成训练的人脸模型数量,t为迭代次数。
25、可选地,基于所述对抗样本优化目标损失集合,计算所述对抗样本人脸多模型联合梯度,公式为:
26、
27、其中,gn0为对抗样本人脸的梯度集合,gn(t+1)为t次迭代的的梯度集合,nm为用于集成训练的人脸模型数量,t为迭代次数。
28、可选地,基于所述对抗样本人脸多模型联合梯度,计算所述动量优化后的累加梯度,公式为:
29、
30、其中,表示t=0时对抗样本人脸图像动量优化后的累加梯度,gt+1为多模型联合梯度集合,||gt+1||1表示为gt+1的l1范数,μ为动量衰减因子,为动量优化后的累加梯度。
31、可选地,基于所述动量优化后的累加梯度,计算所述人脸扰动信息,公式为:
32、
33、其中,为对抗样本人脸图像上的扰动信息,α为学习率,为累加梯度,为stepsign激活函数针对不同的梯度值范围映射的阶梯值,t为迭代次数。
34、可选地,基于所述人脸扰动信息和所述攻击区域掩码,进行掩码区域限定攻击,得到本次对抗训练的对抗样本人脸图像
35、
36、其中,a,b为图像灰度值的下限和上限,为预定值,madv为攻击区域掩码,为对抗样本人脸图像上的扰动信息,为本文档来自技高网...
【技术保护点】
1.一种面向黑盒攻击的人脸识别对抗样本生成方法,其特征在于,基于迭代训练,当达到最大迭代训练次数,输出对抗训练后的对抗样本人脸图像;其中,每次迭代训练过程包括:
2.根据权利要求1所述的人脸识别对抗样本生成方法,其特征在于,迭代训练前,还包括攻击区域拷贝初始化,输出初始化对抗样本人脸图像;所述攻击区域拷贝初始化包括:
3.根据权利要求1所述的人脸识别对抗样本生成方法,其特征在于,所述多模型集成迁移攻击,包括:
4.根据权利要求3所述的人脸识别对抗样本生成方法,其特征在于,
5.根据权利要求4所述的人脸识别对抗样本生成方法,其特征在于,
6.根据权利要求5所述的人脸识别对抗样本生成方法,其特征在于,
7.根据权利要求1-6任一项所述的人脸识别对抗样本生成方法,其特征在于,
8.根据权利要求7所述的人脸识别对抗样本生成方法,其特征在于,基于所述动量优化后的累加梯度,计算所述人脸扰动信息,公式为:
9.根据权利要求8所述的人脸识别对抗样本生成方法,其特征在于,基于所述人脸扰动信息和所述攻击区
10.一种基于面向黑盒攻击的人脸识别对抗样本生成装置,其特征在于,包括:
...【技术特征摘要】
1.一种面向黑盒攻击的人脸识别对抗样本生成方法,其特征在于,基于迭代训练,当达到最大迭代训练次数,输出对抗训练后的对抗样本人脸图像;其中,每次迭代训练过程包括:
2.根据权利要求1所述的人脸识别对抗样本生成方法,其特征在于,迭代训练前,还包括攻击区域拷贝初始化,输出初始化对抗样本人脸图像;所述攻击区域拷贝初始化包括:
3.根据权利要求1所述的人脸识别对抗样本生成方法,其特征在于,所述多模型集成迁移攻击,包括:
4.根据权利要求3所述的人脸识别对抗样本生成方法,其特征在于,
5.根据权利要求4所述的人脸识别对抗样本生成方...
【专利技术属性】
技术研发人员:张祥祥,韩天舒,李秋艳,张晶晶,刘硕,蔡子凡,
申请(专利权)人:兴唐通信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。