CN110163163B - 一种针对单张人脸查询次数受限攻击的防御方法及防御装置 - Google Patents

Abstract

本发明公开了一种针对单张人脸查询次数受限攻击的防御方法及防御装置，包括：首先，利用已知黑盒攻击对单张初始人脸图像进行模拟攻击，记录反问分类器次数。然后，用相同黑盒攻击再现次数受限攻击，并完成不段优化，直至攻击成功。最后通过计算比较相应的损失以及对抗人脸的攻击强弱，达到对有效攻击程度不同的特征进行针对性优化防御的效果。该防御方法及防御装置提高人脸分类器对次数受限攻击产生的对抗样本的防御能力。

Description

一种针对单张人脸查询次数受限攻击的防御方法及防御装置

技术领域

本发明属于深度学习安全技术领域，具体涉及一种针对单张人脸查询次数受限攻击的防御方法及防御装置。

背景技术

深度学习受神经科学启发而来，可以通过学习和计算大量数据的潜在联系，获得比一般算法更准确的分类结果，具有强大的特征学习能力和特征表达能力。而随着深度学习在视觉辨析、语音识别、金融欺诈检测、身份鉴定以及恶意软件检测等的各种领域的深入应用，深度学习的安全问题越来越受到人们的关注。

虽然深度学习在计算机视觉领域表现出很强大的分类能力，但是szegedy等人发现，深度模型很容易对某些细微的扰动出现错误的判断。这些细小的扰动对于人类视觉系统来说是几乎无法察觉的，但却可以使得深度模型分类错误，甚至对错误的分类结果表现出很高的置信度。这种现象便会容易导致身份鉴定系统识别错误，从而使罪犯逃脱：以及发生无人驾驶系统无法识别标示，从而发生车祸等情况。特别是，因为人脸识别领域关系到重要数据，深度学习应用在人脸识别领域时，更加应该提高对模型的安全问题的重视。

对于一些实现人脸分类的黑箱模型而言，虽然内部结构的不可见已经大大增加了攻击的困难性，但是目前已经存在了多种攻击方法对黑盒展现出强大的攻击能力。此时，除了添加某些防御攻击的方法，能够有效抵抗攻击以后，还有模型对单张人脸查询次数的限制能够对黑盒攻击起到警示效果。因此，已有的大部分防御技术，忽略了增强模型，对某些访问次数要求过高的黑盒攻击的鲁棒性。但是，在次数受限攻击下，对抗样板不仅能够糅合各种黑盒攻击特性，而且能有效地降低单张人脸对模型的访问次数，不仅绕过了模型本身的警示效果，还能有效提高，那些因为访问次数被防御方法忽略，却有着非比寻常危害能力的黑盒攻击的攻击成功率。所以，为了预防在次数受限情况下，对单张人脸的不同特征进行转移攻击，需要分析不同特征的危险性，并且酌情采取针对性防御。

同时，通过对次数受限攻击的再现，评估不同特征的危险性，也是我们防御效果好坏的一个重要决定因素。

综上所述，如何对次数受限攻击完成再现，得到效果更好的对抗样本，并采取相应的防御方法，在提升图像分类黑盒模型对次数受限攻击防御效果方面上有着极其重要的理论与实践意义。

发明内容

为了提高人脸分类器对次数受限攻击产生的对抗样本的防御能力，本发明提供了一种针对单张人脸查询次数受限攻击的防御方法及防御装置。

为实现上述发明目的，本发明提供了一种针对单张人脸查询次数受限攻击的防御方法，包括以下步骤：

(1)将初始人脸图像输入至人脸分类器中，采用黑盒攻击方法对初始人脸图像进行全局攻击，得到对抗人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗人脸图像的置信度；

(2)采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域，根据分割区域特征与初始人脸图像的差异确定初始扰动；

(3)选择与分割区域个数相同的不同人脸图像，采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上，形成合成人脸图像；

(4)将合成人脸图像输入至人脸分类器中，采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击，得到对抗合成人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗合成人脸图像的置信度；

(5)根据对抗合成人脸图像和初始人脸图像的差异确定新扰动；

(6)将新扰动添加到初始人脸图像中，得到新人脸图像，并将新人脸图像输入至人脸分类器中，得到检测结果；

(7)在次数受限攻击不成功时，根据对抗合成人脸图像与初始人脸图像确定损失函数，根据损失函数值和检测结果的大小关系确定最大受限攻击次数，在最大受限攻击次数约束下，重复执行步骤(4)～步骤(7)，进行优选黑盒攻击；

(8)在次数受限攻击成功时，根据初始扰动和新扰动确定分割区域特征被次数受限攻击的风险程度，根据风险程度的大小对分割区域特征进行针对性防御。

本发明还提供了一种针对单张人脸查询次数受限攻击的防御装置，包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序，所述计算机处理器执行所述计算机程序时实现上述针对单张人脸查询次数受限攻击的防御方法。

本发明提供的针对单张人脸查询次数受限攻击的防御方法和防御装置，通过次数受限攻击的重现，获得不同分割区域的特征，然后评判不同分割区域特征的危险程度，根据危险程度的大小对不同分割区域进行有效地针对性防御，提升了人脸分类器对次数受限攻击产生的对抗样本的防御能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1是本发明提供的一种针对单张人脸查询次数受限攻击的防御方法实施例的实现框图；

图2是本发明提供的一种针对单张人脸查询次数受限攻击的防御方法实施例中的人脸图像，其中，(a)为初始人脸图像，(b)为初始扰动，(c)为人脸攻击图像；

图3是本发明提供的一种针对单张人脸查询次数受限攻击的防御方法实施例中次数受限攻击的实现框图。

具体实施方式

本发明的核心是提供一种针对单张人脸查询次数受限攻击的防御方法和防御装置，以提高提高人脸分类器对次数受限攻击产生的对抗样本的防御能力。

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

下面对本发明提供的一种针对单张人脸查询次数受限攻击的防御方法实施例进行介绍，参见图1和图3，实施例包括：

S101，将如图2(a)所示的初始人脸图像A输入至人脸分类器中，采用黑盒攻击方法对初始人脸图像A进行全局攻击，得到如图2(b)所示的对抗人脸图像A'，攻击成功时，记录人脸分类器被访问次数C₀和对抗人脸图像A'的置信度F(A'₀)。

黑盒攻击方法是指在不知道模型内部结构的情况下，仅通过获得一部分模型反馈例如置信度，类标，就可以完成对模型的攻击。具体包含boundary攻击，zoo攻击等，其中，boundary攻击是利用对模型反馈的类标信息，对样本决策边界进行估计探索，完成攻击效果实现；zoo攻击是利用模型反馈的类标信息，以及置信度，模拟样本梯度，完成攻击效果实现。

人脸分类器主要由特征提取单元和分类器组成，具体的，特征提取单元主要用于提取人脸图像的语义特征，分类器主要用于对人脸图像所属类型进行分类。

S102，采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域，根据分割区域特征与初始人脸图像的差异确定初始扰动。

本步骤中，根据人脸分布特征对人脸图像进行区域分割，

将初始人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域，即为分割区域A₁,A₂,A₃,A₄；

将对抗人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域，即为分割区域A'₁,A'₂,A'₃,A'₄；

根据分割区域A₁,A₂,A₃,A₄与分割区域A'₁,A'₂,A'₃,A'₄的差异，确定初始扰动p(A'_j0),j∈[1,4]如图2(c)所示。

S103，选择与分割区域个数相同的不同人脸图像，采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上，形成合成人脸图像。

本实施例中，选择4张不同人脸图像X_j,j∈[1,4]；

将分割区域A₁添加到人脸图像X₁中，将分割区域A₂添加到人脸图像X₂中，将分割区域A₃添加到人脸图像X₃中，将分割区域A₄添加到人脸图像X₄中，得到合成人脸图像X_j(A_j),j∈[1,4]。

S104，将合成人脸图像输入至人脸分类器中，采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击，得到对抗合成人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗合成人脸图像的置信度。

在限制攻击范围只能存在于特征分割区域部分，并且控制最大访问次数不超过C₀/2情况下，采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击，其中，C₀表示步骤(1)中记录的人脸分类器被访问次数。

在攻击访问次数达到上限，或攻击成功时，取得对抗合成人脸图像X'_j1,j∈[1,4]，并记录相应访问次数C_j1,j∈[1,4]。

S105，根据对抗合成人脸图像和初始人脸图像的差异确定新扰动。

具体地，据对抗合成人脸图像和初始人脸图像的差异确定新扰动包括：

从对抗合成人脸图像X'_j1,j∈[1,4]中提取攻击后的对抗样本特征A'_j1,j∈[1,4]，根据对抗样本特征A'_j1,j∈[1,4]与初始人脸图像A的差异，得到新扰动p(A'_j1),j∈[1,4]。

S106，将新扰动p(A'_j1),j∈[1,4]添加到初始人脸图像A中，得到新人脸图像A″，并将新人脸图像A″输入至人脸分类器中，得到检测结果F(A′₁)。

S107，在次数受限攻击不成功时，根据对抗合成人脸图像与初始人脸图像确定损失函数，根据损失函数值和检测结果的大小关系确定最大受限攻击次数，在最大受限攻击次数约束下，重复执行步骤(4)～步骤(7)，进行优选黑盒攻击。

具体地，构建的损失函数g(x)为：

其中，

表示对抗合成人脸图像x和初始人脸图像x₀之间的欧几里德距离，用来约束初始人脸图像x₀与对抗合成人脸图像x的相似性；c为常数，F(x)表示对抗合成人脸图像x输入人脸分类器得到的对各个类标的置信度反馈，c·f(x,t)是用来表示人脸分类器对对抗合成人脸图像x判断结果与预期得到结果的差异程度，能够有效约束，攻击朝着设想的方向前进；另外，k为一个非常小的正数，表示攻击成功时，对抗合成人脸图像与初始人脸图像置信度差值的最小限度。i表示除了真实类标以外的其他任意类标，t0表示初始人脸图像的真实类标。

在获得损失函数的基础上，同时比较两组数据{g(A'_j),g(A'_xj)},{F(A'_j),F(A'_xj)}:对抗性合成人脸图像x和初始人脸图像x₀之间在欧几里德距离上的差距与g(x)呈线性关系，而F(x)同样与对抗合成人脸图像x的置信度成线性关系。所以，g(x)越小就表示攻击后的对抗性图片与原图欧几里得距离越接近，而F(x)越接近F(t)表示攻击结果越接近预期的结果。比较后，依据结果,根据以下公式确定最大受限攻击次数C_n[max]：

其中，g(A'_j0)表示通过正常黑盒攻击产生的对抗人脸图像中分割区域特征的损失，g(A'_j1)表示通过次数受限攻击产生的对抗合成人脸图像中分割区域特征的损失，F(A'₀)表示通过正常黑盒攻击产生的对抗人脸图像的置信度，F(A′₁)表示通过次数受限攻击产生的对抗合成人脸图像的置信度。

S108，在次数受限攻击成功时，根据初始扰动和新扰动确定分割区域特征被次数受限攻击的风险程度，根据风险程度的大小对分割区域特征进行针对性防御。

具体地，根据以下公式确定被次数受限攻击的风险程度

其中，

表示各个特征部位的扰动，h表示一个非常小的正数，用来模拟x周围的梯度。

利用上述攻击，分别通过对p(A'_j1)，p(A'_j0),j∈[1,4]完成风险程度

的估计。通过对某一特征部位的扰动与相同攻击方法下不同特征部位的扰动的比较，可以得出在此种攻击方法下，每个分割区域特征的风险程度。同时通过对某一特征部位的扰动与不同攻击方法下相同特征部位的扰动的比较，我们可以得出在不同攻击方法下，每个分割区域特征的风险程度变化情况。

在获得每个分割区域特征的风险程度后，根据风险程度的大小有针对性的对易受攻击区域进行防御。

通过分析不同对抗性特征的损失，及其危险性梯度，判断初始人脸图像的各个部分特征随意暴露在黑盒攻击扰动下的危险程度，区别于全局防御，更加快速且有针对性的对不同特征添加防御措施。从而达到在不知道且不改动黑盒模型内部结构的基础上，实现对次数受限攻击以及其他已知攻击和部分未知攻击进行防御。

上述针对单张人脸查询次数受限攻击的防御方法，将人脸攻击时，访问分类器次数受到限制的问题得到了解决，并且这种思想不受攻击方法的限制，完全取决于原攻击效果的强弱。将人脸各个部分特征隐藏在不同人脸当中，更没有要求隐藏特征的人脸属不属于真实的人脸，因此能够使得相关人脸特征上的攻击效果仍能对原图产生影响。同时对各个对抗特征下的损失进行比较计算，不仅能够对次数受限攻击产生了强大的抵抗，而且可以节省一些不必要的全局防御，以及能够提高花费相同计算成本下得到的防御效果，从而达到在不知道且不改动黑盒模型内部结构的基础上，实现对次数受限攻击以及其他已知攻击和部分未知攻击进行防御。

本发明还提供了一种针对单张人脸查询次数受限攻击的防御装置的实施例，包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序，其特征在于，所述计算机处理器执行所述计算机程序时实现上述针对单张人脸查询次数受限攻击的防御方法。

由于实施例的一种针对单张人脸查询次数受限攻击的防御装置主要用于实现前述的针对单张人脸查询次数受限攻击的防御方法，因此其作用与上述方法的作用相对应，这里不再赘述。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种针对单张人脸查询次数受限攻击的防御方法，包括以下步骤：

(1)将初始人脸图像输入至人脸分类器中，采用黑盒攻击方法对初始人脸图像进行全局攻击，得到对抗人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗人脸图像的置信度；

(2)采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域，根据分割区域特征与初始人脸图像的差异确定初始扰动；

(3)选择与分割区域个数相同的不同人脸图像，采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上，形成合成人脸图像；

(4)将合成人脸图像输入至人脸分类器中，采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击，得到对抗合成人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗合成人脸图像的置信度；

(5)根据对抗合成人脸图像和初始人脸图像的差异确定新扰动；

(6)将新扰动添加到初始人脸图像中，得到新人脸图像，并将新人脸图像输入至人脸分类器中，得到检测结果；

(7)在次数受限攻击不成功时，根据对抗合成人脸图像与初始人脸图像确定损失函数，根据损失函数值和检测结果的大小关系确定最大受限攻击次数，在最大受限攻击次数约束下，重复执行步骤(4)～步骤(7)，进行优选黑盒攻击；

(8)在次数受限攻击成功时，根据初始扰动和新扰动确定分割区域特征被次数受限攻击的风险程度，根据风险程度的大小对分割区域特征进行针对性防御。

2.如权利要求1所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(2)中，根据人脸分布特征对人脸图像进行区域分割，

将初始人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域，即为分割区域A₁,A₂,A₃,A₄；

将对抗人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域，即为分割区域A'₁,A'₂,A'₃,A'₄；

根据分割区域A₁,A₂,A₃,A₄与分割区域A'₁,A'₂,A'₃,A'₄的差异，确定初始扰动p(A'_j0),j∈[1,4]。

3.如权利要求2所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(3)中，选择4张不同人脸图像X_j,j∈[1,4]；

将分割区域A₁添加到人脸图像X₁中，将分割区域A₂添加到人脸图像X₂中，将分割区域A₃添加到人脸图像X₃中，将分割区域A₄添加到人脸图像X₄中，得到合成人脸图像X_j(A_j),j∈[1,4]。

4.如权利要求3所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(4)中，在限制攻击范围只能存在于特征分割区域部分，并且控制最大访问次数不超过C₀/2情况下，采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击，其中，C₀表示步骤(1)中记录的人脸分类器被访问次数。

5.如权利要求4所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(5)中，根据对抗合成人脸图像和初始人脸图像的差异确定新扰动包括：

从对抗合成人脸图像X'_j1,j∈[1,4]中提取攻击后的对抗样本特征A'_j1,j∈[1,4]，根据对抗样本特征A'_j1,j∈[1,4]与初始人脸图像A的差异，得到新扰动p(A'_j1),j∈[1,4]。

6.如权利要求5所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(7)中，构建的损失函数g(x)为：

其中，

表示对抗合成人脸图像x和初始人脸图像x₀之间的欧几里德距离，用来约束初始人脸图像x₀与对抗合成人脸图像x的相似性；c为常数，F(x)表示对抗合成人脸图像x输入人脸分类器得到的对各个类标的置信度反馈，c·f(x)是用来表示人脸分类器对对抗合成人脸图像x判断结果与预期得到结果的差异程度，能够有效约束，攻击朝着设想的方向前进；另外，k为一个非常小的正数，表示攻击成功时，对抗合成人脸图像与初始人脸图像置信度差值的最小限度，i表示除了真实类标以外的其他任意类标，t₀表示初始人脸图像的真实类标。

7.如权利要求6所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(7)中，根据以下公式确定最大受限攻击次数C_n[max]：

其中，g(A'_j0)表示通过正常黑盒攻击产生的对抗人脸图像中分割区域特征的损失，g(A'_j1)表示通过次数受限攻击产生的对抗合成人脸图像中分割区域特征的损失，F(A'₀)表示通过正常黑盒攻击产生的对抗人脸图像的置信度，F(A'₁)表示通过次数受限攻击产生的对抗合成人脸图像的置信度。

8.如权利要求7所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(8)中，根据以下公式确定被次数受限攻击的风险程度

其中，

表示各个分割区域特征部位的扰动，h表示一个非常小的正数，用来模拟人脸图像x周围的梯度。

9.一种针对单张人脸查询次数受限攻击的防御装置，包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序，其特征在于，所述计算机处理器执行所述计算机程序时实现如权利要求1～8任一项所述的针对单张人脸查询次数受限攻击的防御方法。

Images