CN110443203A

CN110443203A - 基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法

Info

Publication number: CN110443203A
Application number: CN201910723573.XA
Authority: CN
Inventors: 蔡楚鑫; 胡永健; 王宇飞; 刘琲贝
Original assignee: Sino Singapore International Joint Research Institute
Current assignee: Sino Singapore International Joint Research Institute
Priority date: 2019-08-07
Filing date: 2019-08-07
Publication date: 2019-11-12
Anticipated expiration: 2039-08-07
Also published as: CN110443203B

Abstract

本发明公开了一种基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，通过应用对抗生成网络技术，能够根据原始样本图像大批量快速生成对抗样本；同时利用眼镜形状掩模，使添加的对抗扰动限制于眼镜形状的范围之中，便于后续实际制作出来进行现实物理攻击，使对抗样本更具实用价值。另一方面，本发明通过将不同的人脸欺骗检测网络或传统方法接入整体训练框架，可以便捷地生成针对不同检测方法的对抗样本。本发明有效解决了人脸欺骗检测系统在训练过程中缺乏足够对抗样本的问题，能够自动大规模地生成人脸欺骗检测方法的对抗样本，降低了大量获取用于网络训练的对抗样本的难度，有利于提高人脸欺骗检测方法及人脸识别系统的安全可靠性。

Description

基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法

技术领域

本发明涉及计算机视觉和人工智能技术领域，具体涉及一种基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法。

背景技术

人脸识别技术具有身份非侵入性和可交互性等特点，在用户身份认证中的应用越来越广泛，与人脸识别相关联的技术也成为了计算机视觉领域的热门研究方向。但与此同时，随着技术的发展，人脸识别系统受到欺骗攻击的风险日益提高。为保证人脸检测系统的可靠性，人脸欺骗检测技术也越来越受到重视。近年来随着人工智能技术的发展，针对人脸欺骗检测技术的对抗攻击已显示出威力，成为人脸识别系统安全性的重大威胁。为了应对针对人脸欺骗检测的对抗攻击，一个重要的手段是利用大量对抗攻击样本来对系统进行训练。因此，生成高质量的人脸欺骗检测系统对抗样本，将可以为提高人脸检测系统安全性提供基础训练数据，具有重要的研究意义与迫切的实际需求。

人脸欺骗检测在近年开始越发受到学术界及工业界的重视，众多资源被投入到该领域，诞生了多项成果。特别是随着深度学习技术的发展，不少基于深度学习的方法取得了较好的检测效果。例如，Xu等人在2015年的Asian Conference on Pattern Recognition会议上发表了论文《Learning temporal features using LSTM-CNN architecture forface anti-spoofing》，结合长短时记忆网络和卷积神经网络，对人脸欺骗攻击视频进行检测。Feng等人在2016年Journal of Visual Communication and Image Representation期刊上发表了论文《Integration of image quality and motion cues for face anti-spoofing:A neural network approach》，提出基于分层神经网络的多线索集成框架，利用自动编码器自动学习基于动作的面部活性特征，从而进行人脸欺骗检测。Lucena等人在2017年的International Conference Image Analysis and Recognition会议上发表了论文《Transfer learning using convolutional neural networks for face anti-spoofing》，将在大规模数据库上训练得到的卷积网络模型，使用迁移学习方法扩展到人脸欺骗检测应用当中。上述基于深度学习的人脸欺骗检测方法已取得了较好的检测效果，能够对人脸欺骗攻击进行较为准确的分辨。

然而，深度学习技术很容易受到对抗攻击。Szegedy等人在2013年就发表了论文《Intriguing properties of neural networks》，提出深度神经网络易受对抗样本攻击的特性，即通过对输入进行人眼不可察觉的细微的扰动，可以使深度神经网络以较高的置信度输出任意想要的分类。Goodfellow等人在2015年发表论文《Explaining and HarnessingAdversarial Examples》，解释了对抗样本的生成原因，并通过在熊猫图片中添加微小噪声，在人眼无法察觉的情况下使神经网络以高置信度将图片分类为长臂猿的例子，展示了对抗样本对于深度学习系统的严重威胁。他们在2016年进一步发表了论文《Adversarialexamples in the physical world》，介绍了根据所需的深度网络输出结果，利用梯度上升的方法向输入图像添加微弱扰动，进而生成能够有效误导深度网络分类结果的对抗样本的方法，进一步展示了深度学习网络在对抗样本攻击下的脆弱性。

在本发明技术方案的研究过程中得出：为提高人脸欺骗检测方法的检测性能，避免对抗样本危害人脸识别系统的安全性，最为有效的方法是利用大量的对抗样本来进行训练，提高系统的鲁棒性。然而，在实际应用当中，获取大量对抗训练样本是较为困难的。Goodfellow等人提出的方法运算复杂度较高，并且需要针对特定一副图像生成特定的扰动，难以大规模应用。为了大规模生成对抗样本用于训练，Sharif等人在2017年发表论文《Adversarial Generative Nets:Neural Network Attacks on State-of-the-Art FaceRecognition》，提出利用对抗生成网络来大量生成能使人脸识别系统错认人脸的对抗样本。然而，对于人脸欺骗检测，目前尚无大规模生成对抗样本的方法见诸报道。这使得针对人类欺骗检测方法难以获得大量对抗样本来进行训练，无法有效抵御该类对抗样本攻击。

发明内容

本发明的目的是为了解决现有技术中的上述缺陷，提供一种基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，该方法能够自动大规模地生成人脸欺骗检测方法的对抗样本，降低了大量获取用于网络训练的对抗样本的难度，具有重要的现实应用价值。

本发明通过应用对抗生成网络技术，能够根据原始样本图像大批量快速生成对抗样本。同时利用眼镜形状掩模，使添加的对抗扰动限制于眼镜形状的范围之中，便于后续实际制作出来进行现实物理攻击，使对抗样本更具实用价值。另一方面，通过将不同的人脸欺骗检测网络或传统方法接入整体训练框架，可以便捷地生成针对不同检测方法的对抗样本。本发明有效解决了人脸欺骗检测系统在训练过程中缺乏足够对抗样本的问题，有利于提高人脸欺骗检测方法及人脸识别系统的安全可靠性。

本发明的目的可以通过采取如下技术方案达到：

一种基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，该对抗样本生成方法包括以下步骤：

S1、构建用于判断人脸是否真实的判别器D：判别器D输入为分辨率112×112，具有RGB三个颜色通道的彩色图像，接着依次通过stride为2的32通道输出5×5卷积层、LeakyReLU激活函数、stride为2的64通道输出5×5卷积层、Leaky ReLU激活函数、BN层、stride为2的128通道输出5×5卷积层、Leaky ReLU激活函数、BN层、stride为2的64通道输出5×5卷积层、Leaky ReLU激活函数、BN层、1单元的全连接层、sigmoid激活函数，输出待测图像是否来自真实人脸的二分类结果；

S2、构建用于生成对抗样本扰动的生成器G：生成器G输入为100维的高斯白噪声序列，其后通过14592单元的全连接层、BN层，再将14592维特征转换为分辨率6×19、通道数128的特征图，特征图其后依次通过stride为2的128通道输出5×5反卷积层、BN层、stride为2的64通道输出5×5反卷积层、BN层、stride为2的32通道输出5×5反卷积层、BN层、stride为2的3通道输出5×5反卷积层、tanh激活函数，输出分辨率为24×76×3，取值为[-1，1]的对抗扰动矩阵；

S3、对训练样本进行预处理：利用人脸检测方法，获取图像中的人脸位置，并将人脸位置裁剪出来，利用Lanczos插值算法，转换为分辨率112×112的图像进行保存，作为输入网络的样本；同时利用人脸关键点检测算法，获取输入样本中人双眼位置的关键点；

S4、构建眼镜形状的对抗扰动掩模：根据人眼关键点位置，生成矩形内框，使得内框距离内眼角关键点、外眼角关键点、上眼皮较高关键点、下眼皮较低关键点均为3个像素，将内框向外扩展5个像素，得到矩形外框，将内外框之间的区域作为眼镜框掩模，将双眼眼镜框掩模水平中点用直线相连，并将直线宽度设定为5个像素，得到眼镜横梁掩模，眼镜框与眼镜横梁共同组成眼睛形状的对抗扰动掩模；

S5、将生成器G生成的对抗扰动矩阵左上角像素置于输入样本图像的(35,16)坐标位置，将眼镜形状掩模置于其上，将扰动矩阵在掩模内的元素值乘以255，将在掩模外的元素置为0，将所得结果与输入样本图像相加，将相加后的像素进行四舍五入的取整，并进行[0,255]范围的截断，得到对抗样本；

S6、将实际样本及对抗样本输入到判别器D以及需要进行对抗攻击的人脸欺骗检测网络F当中，构建整体的训练网络，并使用参数初始化方法对网络参数进行初始化对网络参数进行初始化；

使用任意用于人脸欺骗检测的深度网络或传统方法作为攻击对象，接入整体训练框架

S7、构建网络训练的损失函数：

将判别器D的损失函数设置为：

L_D＝E[logD(x)]+E[log(1-D(M(x,G(z)))]

其中x为未添加扰动的样本，z为高斯白噪声序列，G(·)为生成器G的输出，M(x,G(z))为生成器输出经过掩模操作并添加到原始样本后生成的对抗样本，D(·)表示判别器的输出；

将生成器G的损失函数设置为：

L_G＝E[log(1-D(M(x,G(z)))]-0.25×L_F

其中L_F为需要对抗攻击的人脸欺骗检测网络F的损失函数，定义为：

其中y为训练样本是否为人脸欺骗样本的实际标签，为训练样本的预测值，n为一批同时送入网络进行训练的样本数量；

S8、设置模型优化算法，采用Adam参数优化算法进行参数优化，分别设置学习率、一阶平滑参数β₁、二阶平滑参数β₂和避免运算过程中分母为0的常数e；

S9、冻结生成器G和检测网络F参数，解冻判别器D参数，获取一定数量的原始图像样本，同时获取同样数量的高斯白噪声序列样本，利用生成器G及掩模过程获取对抗攻击样本，将原始图像样本及对抗攻击样本送入判别器D进行训练，以损失函数L_D最大化为目标调整判别器D参数；

S10、冻结判别器D和检测网络F参数，解冻生成器G参数，获取一定数量的原始图像样本，同时获取同样数量的高斯白噪声序列样本，利用生成器G及掩模过程送获取对抗攻击样本，将原始图像样本及对抗攻击样本送入判别器D及检测网络F，以损失函数L_G最小化为目标调整生成器G参数；

S11、重复进行步骤S9和S10的操作，直至网络参数稳定；

S12、对实际应用数据进行预处理，按照步骤S3获取112×112分辨率图像及双眼关键点，按步骤S4获取眼镜形状掩模；

S13、将100维高斯白噪声序列送入训练好的生成器G，再将其输出结合眼睛形状掩模及原始样本图像，按照步骤S5获得对抗样本。

进一步地，在上述方法的步骤S3中，使用基于SSD(Single Shot MultiBoxDetector，单步多框检测器)网络的人脸检测算法获取图像中的人脸位置，将图像输入SSD网络，从网络的输出中获得人脸区域的坐标。

进一步地，在上述方法的步骤S3中，使用基于2DFAN(2D Face AlignmentNetwork，二维人脸对齐网络)网络的人脸关键点检测算法获取输入样本中人双眼位置的关键点，将图像输入2DFAN网络，从网络的输出中获得人双眼位置关键点的坐标。

进一步地，在上述方法的步骤S6中，使用He方法对网络参数进行初始化。

进一步地，在上述方法的步骤S6中，使用任意用于人脸欺骗检测的深度网络或传统方法作为攻击对象，接入整体训练框架。

进一步地，在上述方法的步骤S8中，采用Adam算法对网络参数进行调整，设置学习率为5×10^-5，一阶平滑参数β₁＝0.5,二阶平滑参数β₂＝0.999，防止分母为0的常数e＝10^-8。

本发明相对于现有技术具有如下的优点及效果：

1、本发明提供了一种基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，通过深度学习的相关技术，可以大批量快速地生成对抗样本，为人脸欺骗检测系统的训练提供了大量高质量的对抗训练样本，有利于提高人脸欺骗检测方法的鲁棒性，提高人脸识别系统抵御对抗样本攻击的安全性；

2、本发明利用人脸眼部关键点位置生成眼镜形状掩模，通过掩模使添加的对抗扰动限制于眼镜形状的范围之中，便于后续实际制作出来进行现实物理攻击，这使得本发明生成的对抗样本更具实用价值；

3、本发明所构建的对抗扰动生成器结构简单，有效限制了模型规模，提高了模型训练效率，同时在实际应用时也有利于节约计算资源，提高对抗样本的生成效率。

4、本发明可以将任意用于人脸欺骗检测的深度网络或传统方法作为攻击对象，接入整体训练框架，训练针对该方法的对抗扰动生成器，进而大量生成针对特定人脸欺骗检测方法的对抗样本，应用起来灵活便捷。

附图说明

图1是本发明中公开的基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法的流程步骤图；

图2是本发明方法中判别器结构图；

图3是本发明方法中生成器结构图；

图4是本发明方法中训练网络整体结构图；

图5是本发明方法中测试网络整体结构图；

图6是本发明方法所生成对抗样本的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

本实施例公开了一种基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，包括模型训练和模型应用两部分。

下面以REPLAY-ATTACK数据库为例详细介绍本实施例中对抗样本生成方法的实施过程。该数据库由1300段视频组成，视频分辨率均为320×240。利用数据库中的训练集数据来对对抗扰动生成器进行训练，然后利用测试集数据进行测试。实验在Win10系统上进行的，使用3.6.7版本的Python，2.2.4版本的Keras，Keras的后端为1.12.0版本的TensorFlow，CUDA版本为9.0.0，cudnn版本为7.1.4。整体的实施流程如图1所示，具体的实施步骤如下：

第一步，构建用于判断人脸是否真实的判别器D。

判别器的网络结构如图2所示，其输入为分辨率112×112，具有RGB三个颜色通道的彩色图像，输出为待测图像是否来自真实人脸的二分类结果。

第二步，构建用于生成对抗样本扰动的生成器G。

生成器的网络结构如图3所示，其输入为100维的高斯白噪声序列，输出分辨率为24×76×3，取值为[-1，1]的对抗扰动矩阵。

第三步，对训练样本进行预处理。

利用基于SSD(Single Shot MultiBox Detector，单步多框检测器)网络的人脸检测方法，获取REPLAY-ATTACK数据库训练集图像中的人脸位置，并将人脸位置裁剪出来，利用Lanczos插值算法，转换为分辨率112×112的图像进行保存，作为输入网络的样本。同时利用基于2DFAN(2D Face Alignment Network，二维人脸对齐网络)网络的人脸关键点检测算法，获取输入样本中人双眼位置的关键点。

第四步，构建眼镜形状的对抗扰动掩模。

根据人眼关键点位置，生成矩形内框，使得内框距离内眼角关键点、外眼角关键点、上眼皮较高关键点、下眼皮较低关键点均为3个像素。将内框向外扩展5个像素，得到矩形外框，将内外框之间的区域作为眼镜框掩模。将双眼眼镜框掩模水平中点用直线相连，并将直线宽度设定为5个像素，得到眼镜横梁掩模。眼镜框与眼镜横梁共同组成眼睛形状的对抗扰动掩模。

第五步，生成训练用的对抗样本。

将生成器G生成的对抗扰动矩阵左上角像素置于输入样本图像的(35,16)坐标位置，将眼镜形状掩模置于其上，将扰动矩阵在掩模内的元素值乘以255，将在掩模外的元素置为0。将所得结果与输入样本图像相加，将相加后的像素进行四舍五入的取整，并进行[0,255]范围的截断，得到对抗样本。

第六步，构建整体的训练网络。

将实际样本及对抗样本输入到判别器D以及需要进行对抗攻击的人脸欺骗检测网络F当中，构建整体的训练网络，如图4所示，并使用He方法对网络参数进行初始化。本实施例中人脸欺骗检测网络F选择FASNet，网络参数已训练好，并在训练过程中保持冻结不变。

第七步，构建网络训练的损失函数。

将判别器D的损失函数设置为：

L_D＝E[logD(x)]+E[log(1-D(M(x,G(z)))]

其中x为未添加扰动的样本，z为高斯白噪声序列，G(·)为生成器G的输出，M(x,G(z))为生成器输出经过掩模操作并添加到原始样本后生成的对抗样本，D(·)表示判别器的输出。

将生成器G的损失函数设置为：

L_G＝E[log(1-D(M(x,G(z)))]-0.25×L_F

其中y为训练样本是否为人脸欺骗样本的实际标签，为训练样本的预测值，n为一批同时送入网络进行训练的样本数量，在本实施例中n＝40。

第八步，设置模型优化算法。

本实施例采用Adam算法进行参数优化，设置学习率为5×10^-5，一阶平滑参数β₁＝0.5,二阶平滑参数β₂＝0.999，e＝10^-8。

第九步，训练判别器。

冻结生成器G和检测网络F参数，解冻判别器D参数，获取20张原始图像样本，同时获取20个高斯白噪声序列样本，将高斯白噪声序列送入生成器G并利用掩模过程获取20张对抗攻击样本图像，将原始图像样本及对抗攻击样本共40个样本送入判别器D进行训练，以损失函数L_D最大化为目标调整判别器D参数。

第十步、训练生成器。

冻结判别器D和检测网络F参数，解冻生成器G参数，获取20张原始图像样本，同时获取20个高斯白噪声序列样本，将高斯白噪声序列送入生成器G并利用掩模过程获取20张对抗攻击样本图像，将原始图像样本及对抗攻击样本共40个样本送入判别器D及检测网络F，以损失函数L_G最小化为目标调整生成器G参数。

第十一步、迭代调整参数。

重复进行第九步和第十步的操作，直至网络参数稳定。

第十二步，对实际应用数据进行预处理。

按照第三步处理REPLAY-ATTACK数据库测试集中的图像样本，获取112×112分辨率图像及双眼关键点，按第四步获取眼镜形状掩模。

第十三步，组成应用网络进行对抗样本生成。

将训练好的生成器G和眼睛形状扰动掩模组合构成应用网络，如图5所示。将100维高斯白噪声序列送入训练好的生成器G，再将其输出结合眼睛形状掩模及原始样本图像，按照第五步获得对抗样本。

本实施分别对REPLAY-ATTACK数据库中的real样本和attack样本进行对抗样本的生成，其后用FASNet人脸欺骗检测网络检测对抗样本。将FASNet错误分类的样本数与样本总数的比率定义为欺骗率，实验结果如下表1所示：

表1.实验结果表

针对样本	欺骗率
		real	45％
attack	100％

从上述实验结果可见，本发明方法所生成的对抗样本具有较高的质量，能使FASNet人脸欺骗检测网络较大几率地输出错误的分类结果，证明了本发明方法的有效性。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims

1.一种基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，其特征在于，所述的对抗样本生成方法包括以下步骤：

S1、构建用于判断人脸是否真实的判别器D：判别器D输入为分辨率112×112，具有RGB三个颜色通道的彩色图像，输出为待测图像是否来自真实人脸的二分类结果；

S2、构建用于生成对抗样本扰动的生成器G：生成器G输入为100维的高斯白噪声序列，输出分辨率为24×76×3，取值为[-1，1]的对抗扰动矩阵；

S7、构建网络训练的损失函数：

将判别器D的损失函数设置为：

L_D＝E[logD(x)]+E[log(1-D(M(x,G(z)))]

将生成器G的损失函数设置为：

L_G＝E[log(1-D(M(x,G(z)))]-0.25×L_F

S8、设置模型优化算法，采用参数优化算法进行参数优化，分别设置学习率、一阶平滑参数β₁、二阶平滑参数β₂和避免运算过程中分母为0的常数e；

S11、重复进行步骤S9和S10的操作，直至网络参数稳定；

2.根据权利要求1所述的基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，其特征在于，所述的判别器D输入为分辨率112×112，具有RGB三个颜色通道的彩色图像，接着依次通过stride为2的32通道输出5×5卷积层、Leaky ReLU激活函数、stride为2的64通道输出5×5卷积层、Leaky ReLU激活函数、BN层、stride为2的128通道输出5×5卷积层、Leaky ReLU激活函数、BN层、stride为2的64通道输出5×5卷积层、Leaky ReLU激活函数、BN层、1单元的全连接层、sigmoid激活函数，输出为待测图像是否来自真实人脸的二分类结果。

3.根据权利要求1所述的基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，其特征在于，所述的生成器G输入为100维的高斯白噪声序列，其后通过14592单元的全连接层、BN层，再将14592维特征转换为分辨率6×19、通道数128的特征图，特征图其后依次通过stride为2的128通道输出5×5反卷积层、BN层、stride为2的64通道输出5×5反卷积层、BN层、stride为2的32通道输出5×5反卷积层、BN层、stride为2的3通道输出5×5反卷积层、tanh激活函数，输出分辨率为24×76×3，取值为[-1，1]的对抗扰动矩阵。

4.根据权利要求1所述的基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，其特征在于，所述的步骤S3中，使用基于SSD网络的人脸检测算法获取图像中的人脸位置。

5.根据权利要求1所述的基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，其特征在于，所述的步骤S3中，使用基于2DFAN网络的人脸关键点检测算法获取输入样本中人双眼位置的关键点。

6.根据权利要求1所述的基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，其特征在于，所述的步骤S6中，使用He方法对网络参数进行初始化。

7.根据权利要求1所述的基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，其特征在于，所述的步骤S6中，使用任意用于人脸欺骗检测的深度网络或传统方法作为攻击对象，接入整体训练框架。

8.根据权利要求1所述的基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法，其特征在于，所述的步骤S8中，采用Adam算法对网络参数进行调整，设置学习率为5×10^-5，一阶平滑参数β₁＝0.5,二阶平滑参数β₂＝0.999，防止分母为0的常数e＝10^-8。