CN112364745A - 一种对抗样本的生成方法、装置及电子设备 - Google Patents
一种对抗样本的生成方法、装置及电子设备 Download PDFInfo
- Publication number
- CN112364745A CN112364745A CN202011214726.7A CN202011214726A CN112364745A CN 112364745 A CN112364745 A CN 112364745A CN 202011214726 A CN202011214726 A CN 202011214726A CN 112364745 A CN112364745 A CN 112364745A
- Authority
- CN
- China
- Prior art keywords
- face image
- patch
- original
- target
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
- G06V40/16—Human faces, e.g. facial parts, sketches or expressions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- General Engineering & Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Biomedical Technology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Oral & Maxillofacial Surgery (AREA)
- Human Computer Interaction (AREA)
- Multimedia (AREA)
- Evolutionary Biology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Image Analysis (AREA)
Abstract
本公开提供了一种对抗样本的生成方法、装置及电子设备,涉及人工智能技术领域,该方法包括:获取攻击对象的第一人脸图像集合;基于目标隐变量和预先训练好的生成式模型,生成目标对抗补丁;将目标对抗补丁添加至第一人脸图像集合的每张图像上,得到对抗样本集合。本公开能够有效提升对抗补丁攻击的隐蔽性和稳定性,并强化对抗补丁的黑盒迁移攻击成功率。
Description
技术领域
本公开涉人工智能技术领域,尤其涉及一种对抗样本的生成方法、装置及电子设备。
背景技术
人脸识别技术已经被广泛应用于多种场合,比如经常在银行开户、手机解锁、线上支付等场合中作为生物特征认证的手段。随着人脸识别技术的普及应用,其安全性问题也日益受到重视。人脸识别系统主要是利用深度学习模型实现人脸识别的,但是在模型运行时,攻击者通过制作对抗样本来攻击模型以使模型犯错,从而进行不法业务。
为了应对人脸识别模型易遭受攻击的问题,利用对抗样本攻击人脸识别模型,是提高模型的人脸识别的安全性的必要环节。在现有大多数对抗样本攻击方法中,用于生成对抗样本的对抗补丁基本上停留在比较理想化的数字世界,其搜索域都是局限在图像的数字空间,通常需要很多其他技术使得对抗性补丁应用到现实场景,而且这些补丁应用到现实场景时,其对抗性信息稳定性和隐蔽性较差,不利于检测人脸识别模型潜在的安全性问题。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种对抗样本的生成方法、装置及电子设备,能够有效提升对抗补丁攻击的隐蔽性和稳定性,以及强化对抗补丁的黑盒攻击成功率。
本公开提供了一种对抗样本的生成方法,包括:获取攻击对象的第一人脸图像集合;基于目标隐变量和预先训练好的生成式模型,生成目标对抗补丁;将所述目标对抗补丁添加至所述第一人脸图像集合的每张图像上,得到对抗样本集合。
进一步,所述方法还包括:获取被攻击对象的第二人脸图像集合;基于原始隐变量和预先训练好的生成式模型,得到添加有原始对抗补丁的第一人脸图像集合;基于所述添加有原始对抗补丁的第一人脸图像集合和所述第二人脸图像集合之间的相似度,对所述原始隐变量进行优化,得到所述目标隐变量。
进一步,所述基于原始隐变量和预先训练好的生成式模型,得到添加有原始对抗补丁的第一人脸图像集合的步骤,包括:将原始隐变量输入至预先训练好的生成式模型,得到生成式人脸图像;根据预设掩码矩阵提取所述生成式人脸图像中的区域图像,将提取到的区域图像作为原始对抗补丁;将所述原始对抗补丁添加至所述第一人脸图像集合中的每张图像上,得到添加有原始对抗补丁的第一人脸图像集合。
进一步,根据预设掩码矩阵提取所述生成式人脸图像中的区域图像,将提取到的区域图像作为原始对抗补丁的步骤,包括:
patch=Mask⊙G(W)
其中,patch表示所述原始对抗补丁,Mask表示所述掩码矩阵,G表示所述生成式模型,W表示所述原始隐变量,G(W)表示所述生成式人脸图像,⊙表示向量逐元素乘积。
进一步,所述基于所述添加有原始对抗补丁的第一人脸图像集合和所述第二人脸图像集合之间的相似度,对所述原始隐变量进行优化的步骤,包括:通过白盒替代模型提取所述添加有原始对抗补丁的第一人脸图像集合中每张图像的第一语义特征向量以及提取所述第二人脸图像集合中目标人脸图像的第二语义特征向量;基于所述第二语义特征向量和各所述第一语义特征向量,确定优化函数;基于所述第一语义特征向量和所述第二语义特征向量,确定优化函数;利用所述优化函数对所述原始隐变量进行优化,得到目标隐变量。
进一步,所述优化函数包括第一优化函数;所述利用所述优化函数对所述原始隐变量进行优化的步骤,包括:在伪装攻击中,利用所述第一优化函数对所述原始隐变量进行优化;其中,所述第一优化函数为:
其中,表示第一人脸图像集合Xsrc中的第j个第一人脸图像,表示通过第i个白盒替代模型提取添加有原始对抗补丁的第一人脸图像的第一语义特征向量,表示通过第i个白盒替代模型提取所述目标人脸图像的第二语义特征向量,L()表示所述第二语义特征向量和各所述第一语义特征向量之间的相似度,E表示数学期望,M表示所述白盒替代模型的数量,W表示所述目标隐含变量。
进一步,所述优化函数包括第二优化函数;所述利用所述优化函数对所述原始隐变量进行优化的步骤,包括:在逃逸攻击中,利用所述第二优化函数对所述原始隐变量进行优化;其中,所述第二优化函数为:
其中,表示第一人脸图像集合Xsrc中的第j个第一人脸图像,表示通过第i个白盒替代模型提取添加有原始对抗补丁的第一人脸图像的第一语义特征向量,表示通过第i个白盒替代模型提取所述目标人脸图像的第二语义特征向量,L()表示所述第二语义特征向量和各所述第一语义特征向量之间的相似度,E表示数学期望,M表示所述白盒替代模型的数量,W表示所述目标隐变量。
进一步,所述生成式模型为StyleGAN或者StyleGAN2。
进一步,所述隐变量空间为W+空间。
进一步,所述第一人脸图像集合中的图像与所述第二人脸图像集合中的图像预先经过对齐操作。
进一步,获取真实人脸样本集合;其中,所述真实人脸样本集合中的人脸样本不包含所述目标对抗补丁;
基于所述对抗样本集合和所述真实人脸样本集合对深度学习模型进行训练,得到检测模型,所述检测模型用于检测人脸图像是否包含目标对抗补丁。
本公开提供了一种对抗样本的生成装置,包括:图像获取模块,用于获取攻击对象的第一人脸图像和被攻击对象的目标人脸图像;图像生成模块,用于基于原始隐变量和预先训练好的生成式模型,得到添加有原始对抗补丁的第一人脸图像;其中,所述原始隐变量为隐变量空间中随机初始化的隐变量;隐变量优化模块,用于基于所述添加有原始对抗补丁的第一人脸图像和所述目标人脸图像之间的相似度,对所述原始隐变量进行优化,得到目标隐变量;补丁生成模块,用于基于所述目标隐变量生成目标对抗补丁。
本公开提供了一种电子设备,包括:处理器和存储装置;所述存储装置上存储有计算机程序,所述计算机程序在被所述处理器运行时执行上述的方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例提供了一种对抗样本的生成方法、装置及电子设备,包括:首先获取攻击对象的第一人脸图像集合;然后基于目标隐变量和预先训练好的生成式模型,生成目标对抗补丁;最后将目标对抗补丁添加至第一人脸图像集合的每张图像上,得到对抗样本集合。本公开提供的上述对抗样本的生成方式,通过隐变量空间中的目标隐变量能够使对抗补丁具有攻击的隐蔽性和稳定性;生成式模型为预先训练好的模型,具有良好的性能,将该模型和目标隐变量相结合,能够使生成的目标对抗补丁具有明显的语义信息;从而利用上述方式生成目标对抗补丁,能够有效强化对抗补丁的黑盒迁移攻击成功率,并由此得到的对抗样本集合,有利于准确检测人脸识别模型潜在的安全性问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例所述对抗样本的生成方法流程图;
图2为本公开实施例提供的一种不同对抗补丁的效果比对图;
图3为本公开实施例提供的不同对抗补丁的曲线比对图;
图4为本公开实施例提供的另一种不同对抗补丁的效果比对图;
图5为本公开实施例所述对抗样本的生成装置结构框图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
现有生成对抗样本的技术主要有如下四种:像素级别的语义对抗样本生成技术、语义级别的对抗样本生成技术、基于生成式模型的对抗样本以及基于对抗性补丁技术生成的对抗样本。
其中,像素级别的语义对抗样本生成技术,实际上还停留在比较理想化的数字世界,所生成对抗样本中的扰动是完全不带有任何语义信息,且杂乱无章很容易被排除掉的扰动。
语义级别的对抗样本生成技术,现在并没有有效的方法来获得更高的黑盒迁移攻击成功率。
基于生成式模型的对抗样本生成技术,虽然对抗样本看起来具有语义信息,例如微笑程度的变化,但是在攻击的鲁棒性方面却更加脆弱,无法在物理世界实现。
基于对抗性补丁技术生成的对抗样本,其添加的补丁大部分都是不具有语义信息且杂乱无章的补丁,应用到现实场景时稳定性较差,而且比较引人注目,隐蔽性较差。
由此可见,现有对抗样本攻击方法中,用于生成对抗样本的对抗补丁(或扰动)大多存在对抗性信息稳定性、隐蔽性较差和黑盒迁移攻击成功率低的问题,导致对抗样本不利于检测人脸识别模型潜在的安全性;基于此,本公开实施例提供一种对抗样本的生成方法、装置及电子设备,能够有效提升对抗补丁攻击的隐蔽性和稳定性,以及强化对抗补丁的语义信息和黑盒攻击成功率;该技术可应用于检测模型的安全性隐患、人脸识别等多种场合,以下对本公开实施例进行详细介绍。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种对抗样本的生成方法进行详细介绍。
实施例一:
参照图1所示的对抗样本的生成方法流程图,该方法主要包括如下步骤S102至步骤S106:
步骤S102,获取攻击对象的第一人脸图像集合。
在本实施例中,可以获取攻击对象的多张人脸图像,构成第一人脸图像集合;第一人脸图像集合中的人脸图像可称为第一人脸图像。多张第一人脸图像可以为攻击对象不同角度、不同图像质量、不同拍摄场景下的图像。
攻击对象的第一人脸图像,诸如可以为通过摄像头拍摄的攻击对象的人脸图像,或者,直接从视频流中基于人脸识别技术抓取的攻击对象的人脸图像,当然也可以是通过其他方式获取的人脸图像,在此不作限制。攻击对象的第一人脸图像集合可表示为其中,nsrc表示该集合中第一人脸图像的数量。
步骤S104,基于目标隐变量和预先训练好的生成式模型,生成目标对抗补丁。
本实施例中的目标隐变量,可以为隐变量空间中随机初始化的隐变量;还可以为基于被攻击对象的人脸图像和/或攻击对象的人脸图像,在隐变量空间中的逆向重构的隐变量(也即优化的隐变量);还可以为从预设概率分布中随机采样得到的隐变量;或者还可以为用户自定义的隐变量空间中的任意隐变量。
生成式模型(可表示为G)用于生成人脸图像,由于生成式模型为预先训练好的机器学习模型,用于由此生成的人脸图像在真实度、自然度、语义信息、鲁棒性等方面具有较好的效果。基于生成式模型生成的人脸图像中,可以提取目标对抗补丁。在一种实际应用中,生成式模型可以为StyleGAN或者StyleGAN2生成器,基于该生成式模型,上述隐变量空间可以采用W+空间。
步骤S106,将目标对抗补丁添加至第一人脸图像集合的每张图像上,得到对抗样本集合。可以理解,对抗样本集合中的对抗样本与第一人脸图像集合中的第一人脸图像一一对应;针对每张对抗样本,它是一张添加有目标对抗补丁的第一人脸图像。
本公开实施例提供的对抗样本的生成方法,利用目标隐变量和生成式模型生成目标对抗补丁;其中,通过隐变量空间中的目标隐变量能够使对抗补丁具有攻击的隐蔽性和稳定性;生成式模型为预先训练好的模型,具有良好的性能,将该模型和目标隐变量相结合,能够使生成的目标对抗补丁具有明显的语义信息;从而利用上述方式生成目标对抗补丁,并由此得到的对抗样本集合,能够有效强化对抗补丁的黑盒迁移攻击成功率,有利于准确检测人脸识别模型潜在的安全性问题。
为了便于理解,本实施例提供一种目标隐变量的获取方法,参照如下步骤一至步骤三所示:
步骤一,获取被攻击对象的第二人脸图像集合。参照攻击对象的第一人脸图像集合,第二人脸图像集合中的人脸图像可称为第二人脸图像,被攻击对象的第二人脸图像集合可表示为其中,ntar表示该集合中第二人脸图像的数量。
在实际应用中,攻击对象的第一人脸图像集合Xtar中的图像与被攻击对象的第二人脸图像集合Xsrc中的图像预先经过对齐操作,使得第一人脸图像和第二人脸图像的长为h,宽为w,且人脸的关键点处于预设位置。上述对齐操作诸如为:首先通过关键点检测模型提取第一人脸图像的关键点和第二人脸图像的关键点;然后匹配上述图像中的关键点,根据匹配的关键点计算变换矩阵;最后根据变换矩阵,并通过诸如仿射变换或者相似性变换等图像变换操作,将第一人脸图像和第二人脸图像进行对齐。
步骤二,基于原始隐变量和预先训练好的生成式模型,得到添加有原始对抗补丁的第一人脸图像集合。该原始隐变量(可表示为W)为待优化的隐变量,诸如为隐变量空间中随机初始化的隐变量。
在一可选实施方式中,针对攻击对象,可以按照如下步骤1-3得到添加有原始对抗补丁的第一人脸图像集合:
步骤1,将原始隐变量W输入至预先训练好的生成式模型G,得到生成式人脸图像G(W)。在实际应用中,本步骤还可以是基于原始隐变量W和生成式模型G对第一人脸图像进行编辑,得到第一人脸图像对应的生成式人脸图像G(W)。
步骤2,参照如下公式(1),根据预设掩码矩阵Mask提取生成式人脸图像G(W)中的区域图像,将提取到的区域图像作为原始对抗补丁patch;
patch=Mask⊙G(W) (1)
其中,⊙表示向量逐元素乘积。
上述掩码矩阵Mask为预定义好的原始对抗补丁区域的掩码二值矩阵,掩码矩阵用于确定对抗补丁包含人脸的哪些局部区域(如哪些五官)作为语义级别攻击的图像。该掩码矩阵Mask的大小与对齐后的第一人脸图像的大小相同,掩码矩阵Mask中需要添加对抗补丁的区域的矩阵值置为1,其它区域的矩阵值置为0。假如所需对抗补丁为眼睛区域,那么相应的,掩码矩阵中眼睛区域的矩阵值为1,其他区域的矩阵值为0;假如所需对抗补丁为口罩区域,那么相应的,掩码矩阵中嘴部和脸颊区域的矩阵值为1,其他区域的矩阵值为0。
步骤3,将原始对抗补丁添加至所述第一人脸图像集合中的每张图像上,得到添加有原始对抗补丁的第一人脸图像集合。
以第一人脸图像集合上待添加补丁的区域为眼睛区域为例,考虑到针对攻击对象的第一人脸图像集合中的不同第一人脸图像由于人脸偏移角度等因素,其眼睛区域的位置可能略有不同。基于此,本实施例在具体实现时,可以将原始对抗补丁在第一人脸图像上的添加位置进行微调,比如将添加位置向上下左右等方向随机偏移一定的距离;或者,为了进一步提升原始对抗补丁与第一人脸图像之间匹配度,针对第一人脸图像集合中各第一人脸图像还可以预先检测第一人脸图像的眼睛区域,然后将原始对抗补丁添加至第一人脸图像经检测后的眼睛区域,以得到添加有原始对抗补丁的第一人脸图像(xsrc⊙(I-Mask)+patch),其中I表示一个元素全为1的矩阵。
步骤三,基于第二人脸图像集合和添加有原始对抗补丁的第一人脸图像集合之间的相似度,对原始隐变量进行优化,得到目标隐变量。
在得到添加有原始对抗补丁的第一人脸图像集合后,基于其与第二人脸图像集合之间的相似度,对原始隐变量进行全部或部分优化。在本实施例中,可以首先提取添加有原始对抗补丁的第一人脸图像的特征向量和目标人脸图像的特征向量,然后利用特征向量之间的测试距离来表征两张图像之间的相似度,其中,该测试距离可以包括诸如:欧氏距离、曼哈顿距离、夹角余弦距离和相关距离。根据相似度对原始隐变量W进行迭代优化,以得到目标隐变量W*。
在对原始隐变量W进行迭代优化的过程中,当首次迭代优化时,是基于第二人脸图像集合和添加有原始对抗补丁的第一人脸图像集合之间的相似度,对原始隐变量进行优化,得到优化后的新的隐变量。当再次迭代优化时,根据上述步骤二,是利用该新的隐变量和预先训练好的生成式模型,得到添加有新的对抗补丁的第一人脸图像集合,而后再基于第二人脸图像集合和添加有新的对抗补丁的第一人脸图像集合之间的相似度,继续对新的隐变量进行优化。重复上述优化过程,直至得到目标隐变量W*。在此以首次迭代优化为例,对优化原始隐变量W的具体实现方式展开描述,参照如下步骤(i)-(iii)所示:
(i)通过白盒替代模型提取添加有原始对抗补丁的第一人脸图像集合中每张图像的第一语义特征向量以及提取第二人脸图像集合中目标人脸图像的第二语义特征向量。其中,目标人脸图像通常为被攻击对象的第二人脸图像中正面角度、图像质量较高(如清晰、无遮挡)的图像。
在本实施例中,白盒替代模型(表示为M为白盒替代模型的数量)为获取的任意白盒人脸识别模型,将其作为迁移攻击的替代模型。白盒替代模型mi诸如为ArcFace,当然,其他任何具有良好表现的一个或多个人脸神经网络模型都可以作为本实施例中的白盒替代模型。
其中,E表示数学期望。
在伪装攻击的实际应用中,优化函数可以为如公式(4)所示的第一优化函数:
在逃逸攻击的实际应用中,优化函数可以为如公式(5)所示的第二优化函数:
其中,在公式(4)和(5)中,L()为描述人脸相似度的函数,第二语义特征向量和每个第一语义特征向量之间均具有一个相似度,假如第一语义特征向量为n个,则L()可以表示第二语义特征向量和n个第一语义特征向量之间的n个相似度的平均值。
在一种具体的实现方式中,可以利用特征向量之间的欧氏距离或曼哈顿距离等测试距离来表征两张图像之间的相似度,基于此,函数L()可以为如下公式(6)所示的距离函数:
当然,函数L()还可以为其他形式,在此不再一一列举。
(iii)利用优化函数对原始隐变量进行优化,得到新的隐变量。当然,如果只对原始隐变量进行一次优化,那么得到的新的隐变量即为目标隐变量,也即本步骤(iii)为:利用优化函数对原始隐变量进行优化,得到目标隐变量。
具体的,在伪装攻击中,利用上述第一优化函数对原始隐变量进行优化;在逃逸攻击中,利用上述第二优化函数对原始隐变量进行优化。
利用优化函数对原始隐变量进行优化的方式有多种,包括但不仅限于:ADAM优化、随机梯度下降、Tanslation-Invariant Method。为便于理解,在此提供一种采用ADAM优化器来求解优化的方式,参照如下步骤1)至7)所示:
3)按照下式计算动量:
vt←β1vt-1+(1-β1)gt (7)
4)按照下式对梯度做指数加权移动平均:
st←β2st-1+(1-β2)gt⊙gt (8)
5)按照下式进行偏差修正:
6)按照下式重新调整梯度:
7)按照下式更新参数W:
Wt←Wt-1-g′t 1 (11)
在上述公式中,β1、β2分别为Adam中的一阶动量衰减系数与二阶动量衰减系数,ε为数值稳定量,vt和st分别为历史累计的一阶动量和二阶动量,t代表轮数。
通过对于原始隐变量W优化足够的轮数(t)直至收敛,最终得到目标隐变量W*。
在上述目标对抗补丁的生成实施例中,利用目标人脸图像和添加有原始对抗补丁的第一人脸图像之间的相似度,在隐变量空间对原始隐变量进行优化,而后基于优化后的目标隐变量和生成式模型共同生成目标对抗补丁。该方式通过利用优化后的隐变量,进一步提升了目标对抗补丁攻击的隐蔽性和稳定性;同时,将生成式模型和优化后的隐变量相结合,使生成的目标对抗补丁和对抗样本集合具有更加明显的语义信息,在检测人脸识别模型潜在的安全性问题中有效提升了准确性。
基于目标对抗补丁,在此还可以提供一种检测模型训练方法的实施例,训练出的检测模型可用于检测人脸图像中是否包含上述目标对抗补丁。该方法包括:
首先,获取对抗样本集合;其中,所述对抗样本集合中的对抗样本包含目标对抗补丁。
其次,获取真实人脸样本集合;其中,真实人脸样本集合中的人脸样本不包含目标对抗补丁。在一种可能的实现方式中,上述对抗样本集合中的对抗样本可以通过对真实人脸样本集合中的人脸样本添加目标对抗补丁得到。
最后,基于对抗样本集合和真实人脸样本集合对深度学习模型进行训练,得到检测模型,检测模型用于检测人脸图像是否包含目标对抗补丁。
应当注意的是,上述有关流程的描述仅仅是为了示例和说明,而不限定本说明书的适用范围。对于本领域技术人员来说,在本说明书的指导下可以对流程进行各种修正和改变。然而,这些修正和改变仍在本说明书的范围之内。
实施例二:
为了验证上述实施例提供的上述数字世界中对抗补丁生成方法的有效性,在此提供一种将该方法与传统的数字世界的像素级别的补丁生成方法进行对比的实施例。
在本实施例中,从CelebA-HQ数据集中选取出100对人脸图像来进行伪装攻击;其中,一对人脸图像包括一张攻击对象的人脸图像和一张被攻击对象的人脸图像。从中选取一对人脸图像对应的图像集合,分别为被攻击对象的图像集合Xtar和攻击对象的图像集合Xsrc,其中,图像集合Xtar中的目标人脸图像可参照图2中的左图。基于上述图像集合,采用上述实施例提供的对抗样本的生成方法,先生成基于隐空间优化的具有语义信息的第一对抗补丁;然后将该第一对抗补丁添加至攻击对象的图像集合Xsrc中的人脸图像上,得到第一对抗样本,参照图2中的右图。同时,本实施例还采用去除生成式模型的传统的像素级别的补丁生成方法,生成第二对抗补丁,并由此得到添加有第二对抗补丁的第二对抗样本,参照图2中的中间图。通过图2可以看出,利用本实施例提供的方法所生成的对抗补丁的效果更佳平滑与真实,进而对抗样本具有更加真实的效果。
此外,本实施例还将前述根据CelebA-HQ数据集中100对人脸图像生成的每一个第一对抗补丁添加到对应的第一人脸图像上,和需要伪装的目标人脸图像进行比对,比对的模型为若干个黑盒模型和本领域一个现有的人脸比对API。在此情况下,本实施例可以从模型层面做到真正意义上的黑盒。本实施例将语义级别的第一对抗补丁与以及像素空间优化而生成的对抗补丁进行了对比;对比的结果参照如下表1。
表1
cosface | arcface_irse50 | Facenet_vggface2 | Facenet_casia | Face++ | |
像素空间优化 | 0.3096 | 0.4296 | 0.4257 | 0.4534 | 69.2727 |
本实施例 | 0.4105 | 0.5172 | 0.5469 | 0.5841 | 77.9131 |
表1中每一列都对应了从不同被攻击黑盒模型在这个100对人脸图像上的平均相似度结果,可以看出,本实施例不仅在视觉效果上优于基准,同时在黑盒迁移伪装攻击的量化的结果上优于像素空间的结果,能够提升攻击对象和被攻击对象(受害者)的人脸比对相似度。
本公开实施例提供的对抗补丁生成方法,在得到数字世界的对抗补丁后,还可以将对抗补丁打印出来,以制作成可穿戴的攻击实体。在此情况下,可以在真实场景中验证对抗补丁的有效性和优越性。基于此,本实施例在真实场景中搭建一套实验环境,利用逼真的人脸模特作为良好的控制原人脸变量不变的工具,测试了传统的像素级优化和本实施例中利用生成式模型的语义级别对抗补丁的效果。具体地,本实施例测试了人脸相对于对抗补丁的位置水平以及垂直移动时,贴有对抗性补丁的人脸与被攻击者的人脸的相似度变化。为了保持实验的准确性,本实施例对相同的一组实验重复三次。实验结果如附图4所示,曲线图的x轴代表了位移量的大小,y轴代表伪装的逼真度,表示贴有对抗补丁的攻击者的人脸(也即对抗样本)与被攻击者的人脸之间的相似度。图4中每条曲线的分别包含了一个具有上下界的误差区间。实验结果表明,通过本实施例生成的语义级别目标对抗补丁不论是在水平方向还是竖直方向上,对抗补丁的稳定性与伪装的逼真度效果都优于传统像素层面优化的对抗性补丁,由此证明了本公开实施例的有效性与先进性。
在又一实施例中,从CelebA-HQ数据集中选取出100对人脸图像来进行逃逸攻击。从中选取一对人脸图像对应的图像集合,分别为被攻击对象的图像集合Xtar和攻击对象的图像集合Xsrc,其中,图像集Xtar中的目标人脸图像可参照图4中的左图。基于上述图像集合,采用上述实施例提供的对抗样本的生成方法,先生成基于隐空间优化的具有语义信息的第三对抗补丁;然后将该第三对抗补丁添加至攻击对象的图像集Xsrc中的人脸图像上,得到第三对抗样本,参照图4中的右图。同时,本实施例还采用去除生成式模型的传统的像素级别的补丁生成方法,生成第四对抗补丁,并由此得到添加有第四对抗补丁的第四对抗样本,参照图4中的中间图。通过图4可以看出,利用本实施例提供的方法所生成的对抗补丁的效果更佳平滑与真实,进而对抗样本具有更加真实的效果。
此外,本实施例还将前述根据CelebA-HQ数据集中100对人脸图像生成的每一个第三对抗补丁添加到对应的第一人脸图像上,和需要逃逸的目标人脸图像进行比对,比对的模型为若干个黑盒模型和本领域一个现有的人脸比对API。在此情况下,本实施例可以从模型层面做到真正意义上的黑盒。本实施例将语义级别的第一对抗补丁与以及像素空间优化而生成的对抗补丁进行了对比;对比的结果参照如下表2。
表2
cosface | arcface_irse50 | Facenet_vggface2 | Facenet_casia | Face++ | |
像素空间优化 | 0.2073 | 0.1058 | 0.1352 | 0.1517 | 53.1615 |
本实施例 | 0.0667 | -0.1767 | -0.1789 | -0.0903 | 26.3935 |
表2中每一列都对应了从不同被攻击黑盒模型在这个100对人脸图像上的平均相似度结果,可以看出,本实施例不仅在视觉效果上优于基准,同时在黑盒迁移逃逸攻击的量化的结果上优于像素空间的结果,能够降低攻击者和被攻击对象(受害者)的人脸比对相似度。
实施例三:
本实施例提供一种对抗样本的生成装置,用于实现上述实施例中的对抗样本的生成方法。参照图5,该装置包括:
图像集合获取模块502,用于获取攻击对象的第一人脸图像集合;
补丁生成模块504,用于基于目标隐变量和预先训练好的生成式模型,生成目标对抗补丁;
样本生成模块506,用于将所述目标对抗补丁添加至所述第一人脸图像集合的每张图像上,得到对抗样本集合。
本公开实施例提供的对抗样本的生成装置,利用目标隐变量和生成式模型生成目标对抗补丁;其中,通过隐变量空间中的目标隐变量能够使对抗补丁具有攻击的隐蔽性和稳定性;生成式模型为预先训练好的模型,具有良好的性能,将该模型和目标隐变量相结合,能够使生成的目标对抗补丁具有明显的语义信息;从而利用上述方式生成目标对抗补丁,能够有效强化对抗补丁的黑盒迁移攻击成功率,并由此得到的对抗样本集合,有利于准确检测人脸识别模型潜在的安全性问题。
本实施例所提供的装置,其实现原理及产生的技术效果和前述实施例二相同,为简要描述,本实施例部分未提及之处,可参考前述方法实施例一中相应内容。
基于前述实施例,本实施例给出了一种电子设备,其包括:处理器和存储装置;存储装置上存储有计算机程序,计算机程序在被处理器运行时执行上述对抗样本的生成方法。
进一步,本实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理设备运行时执行上述对抗样本的生成方法的步骤。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (13)
1.一种对抗样本的生成方法,其特征在于,包括:
获取攻击对象的第一人脸图像集合;
基于目标隐变量和预先训练好的生成式模型,生成目标对抗补丁;
将所述目标对抗补丁添加至所述第一人脸图像集合的每张图像上,得到对抗样本集合。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取被攻击对象的第二人脸图像集合;
基于原始隐变量和预先训练好的生成式模型,得到添加有原始对抗补丁的第一人脸图像集合;
基于所述第二人脸图像集合和所述添加有原始对抗补丁的第一人脸图像集合之间的相似度,对所述原始隐变量进行优化,得到所述目标隐变量。
3.根据权利要求2所述的方法,其特征在于,所述基于原始隐变量和预先训练好的生成式模型,得到添加有原始对抗补丁的第一人脸图像集合的步骤,包括:
将原始隐变量输入至预先训练好的生成式模型,得到生成式人脸图像;
根据预设掩码矩阵提取所述生成式人脸图像中的区域图像,将提取到的区域图像作为原始对抗补丁;
将所述原始对抗补丁添加至所述第一人脸图像集合中的每张图像上,得到添加有原始对抗补丁的第一人脸图像集合。
4.根据权利要求3所述的方法,其特征在于,根据预设掩码矩阵提取所述生成式人脸图像中的区域图像,将提取到的区域图像作为原始对抗补丁的步骤,包括:
patch=Mask⊙G(W)
其中,patch表示所述原始对抗补丁,Mask表示所述掩码矩阵,G表示所述生成式模型,W表示所述原始隐变量,G(W)表示所述生成式人脸图像,⊙表示向量逐元素乘积。
5.根据权利要求2所述的方法,其特征在于,所述基于所述添加有原始对抗补丁的第一人脸图像集合和所述第二人脸图像集合之间的相似度,对所述原始隐变量进行优化的步骤,包括:
通过白盒替代模型提取所述添加有原始对抗补丁的第一人脸图像集合中每张图像的第一语义特征向量以及提取所述第二人脸图像集合中目标人脸图像的第二语义特征向量;
基于所述第二语义特征向量和各所述第一语义特征向量,确定优化函数;
利用所述优化函数对所述原始隐变量进行优化,得到目标隐变量。
8.根据权利要求1所述的方法,其特征在于,所述生成式模型为StyleGAN或者StyleGAN2。
9.根据权利要求8所述的方法,所述隐变量空间为W+空间。
10.根据权利要求2所述的方法,其特征在于,所述第一人脸图像集合中的图像与所述第二人脸图像集合中的图像预先经过对齐操作。
11.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取对抗样本集合;其中,所述对抗样本集合中的对抗样本包含所述目标对抗补丁;
获取真实人脸样本集合;其中,所述真实人脸样本集合中的人脸样本不包含所述目标对抗补丁;
基于所述对抗样本集合和所述真实人脸样本集合对深度学习模型进行训练,得到检测模型,所述检测模型用于检测人脸图像是否包含目标对抗补丁。
12.一种对抗样本的生成装置,其特征在于,包括:
图像集合获取模块,用于获取攻击对象的第一人脸图像集合;
补丁生成模块,用于基于目标隐变量和预先训练好的生成式模型,生成目标对抗补丁;
样本生成模块,用于将所述目标对抗补丁添加至所述第一人脸图像集合的每张图像上,得到对抗样本集合。
13.一种电子设备,其特征在于,包括:处理器和存储装置;
所述存储装置上存储有计算机程序,所述计算机程序在被所述处理器运行时执行如权利要求1至11任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011214726.7A CN112364745B (zh) | 2020-11-04 | 2020-11-04 | 一种对抗样本的生成方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011214726.7A CN112364745B (zh) | 2020-11-04 | 2020-11-04 | 一种对抗样本的生成方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112364745A true CN112364745A (zh) | 2021-02-12 |
CN112364745B CN112364745B (zh) | 2021-09-14 |
Family
ID=74513603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011214726.7A Active CN112364745B (zh) | 2020-11-04 | 2020-11-04 | 一种对抗样本的生成方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112364745B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113052167A (zh) * | 2021-03-09 | 2021-06-29 | 中国地质大学(武汉) | 一种基于对抗补丁的栅格地图数据保护方法 |
CN113221794A (zh) * | 2021-05-24 | 2021-08-06 | 厦门美图之家科技有限公司 | 一种训练数据集生成方法、装置、设备及存储介质 |
CN114005168A (zh) * | 2021-12-31 | 2022-02-01 | 北京瑞莱智慧科技有限公司 | 物理世界对抗样本生成方法、装置、电子设备及存储介质 |
CN114240732A (zh) * | 2021-06-24 | 2022-03-25 | 中国人民解放军陆军工程大学 | 一种攻击人脸验证模型的对抗贴片生成方法 |
CN114297730A (zh) * | 2021-12-31 | 2022-04-08 | 北京瑞莱智慧科技有限公司 | 对抗图像生成方法、装置及存储介质 |
CN114333029A (zh) * | 2021-12-31 | 2022-04-12 | 北京瑞莱智慧科技有限公司 | 模板图像生成方法、装置及存储介质 |
CN114359672A (zh) * | 2022-01-06 | 2022-04-15 | 云南大学 | 基于Adam的迭代快速梯度下降对抗攻击方法 |
CN115171196A (zh) * | 2022-08-25 | 2022-10-11 | 北京瑞莱智慧科技有限公司 | 人脸图像处理方法、相关装置及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170112857A (ko) * | 2016-03-25 | 2017-10-12 | 한국과학기술원 | 미세 얼굴 다이나믹의 딥 러닝 분석을 통한 미세 표정 인식 방법 및 장치 |
CN108288072A (zh) * | 2018-01-26 | 2018-07-17 | 深圳市唯特视科技有限公司 | 一种基于生成对抗网络的面部表情合成方法 |
US20190171908A1 (en) * | 2017-12-01 | 2019-06-06 | The University Of Chicago | Image Transformation with a Hybrid Autoencoder and Generative Adversarial Network Machine Learning Architecture |
CN110020996A (zh) * | 2019-03-18 | 2019-07-16 | 浙江传媒学院 | 一种基于先验知识约束的图像修复方法、系统以及计算机设备 |
CN110705376A (zh) * | 2019-09-11 | 2020-01-17 | 南京邮电大学 | 一种基于生成式对抗网络的异常行为检测方法 |
US10593023B2 (en) * | 2018-02-13 | 2020-03-17 | Adobe Inc. | Deep-learning-based automatic skin retouching |
CN111027628A (zh) * | 2019-12-12 | 2020-04-17 | 支付宝(杭州)信息技术有限公司 | 一种模型确定方法和系统 |
CN111340008A (zh) * | 2020-05-15 | 2020-06-26 | 支付宝(杭州)信息技术有限公司 | 对抗补丁生成、检测模型训练、对抗补丁防御方法及系统 |
-
2020
- 2020-11-04 CN CN202011214726.7A patent/CN112364745B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170112857A (ko) * | 2016-03-25 | 2017-10-12 | 한국과학기술원 | 미세 얼굴 다이나믹의 딥 러닝 분석을 통한 미세 표정 인식 방법 및 장치 |
US20190171908A1 (en) * | 2017-12-01 | 2019-06-06 | The University Of Chicago | Image Transformation with a Hybrid Autoencoder and Generative Adversarial Network Machine Learning Architecture |
CN108288072A (zh) * | 2018-01-26 | 2018-07-17 | 深圳市唯特视科技有限公司 | 一种基于生成对抗网络的面部表情合成方法 |
US10593023B2 (en) * | 2018-02-13 | 2020-03-17 | Adobe Inc. | Deep-learning-based automatic skin retouching |
CN110020996A (zh) * | 2019-03-18 | 2019-07-16 | 浙江传媒学院 | 一种基于先验知识约束的图像修复方法、系统以及计算机设备 |
CN110705376A (zh) * | 2019-09-11 | 2020-01-17 | 南京邮电大学 | 一种基于生成式对抗网络的异常行为检测方法 |
CN111027628A (zh) * | 2019-12-12 | 2020-04-17 | 支付宝(杭州)信息技术有限公司 | 一种模型确定方法和系统 |
CN111340008A (zh) * | 2020-05-15 | 2020-06-26 | 支付宝(杭州)信息技术有限公司 | 对抗补丁生成、检测模型训练、对抗补丁防御方法及系统 |
Non-Patent Citations (2)
Title |
---|
GUANHONG TAO: "Attacks Meet Interpretability: Attribute-steered Detection of Adversarial Samples", 《HTTPS://ARXIV.ORG/ABS/1810.11580V1》 * |
大鲨鱼冲鸭: "[论文笔记]Curls & Whey: Boosting Black-Box Adversarial Attacks(CVPR 2019 Oral)", 《HTTPS://BLOG.CSDN.NET/INVOKAR/ARTICLE/DETAILS/98942185》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113052167A (zh) * | 2021-03-09 | 2021-06-29 | 中国地质大学(武汉) | 一种基于对抗补丁的栅格地图数据保护方法 |
CN113221794A (zh) * | 2021-05-24 | 2021-08-06 | 厦门美图之家科技有限公司 | 一种训练数据集生成方法、装置、设备及存储介质 |
CN113221794B (zh) * | 2021-05-24 | 2024-05-03 | 厦门美图之家科技有限公司 | 一种训练数据集生成方法、装置、设备及存储介质 |
CN114240732A (zh) * | 2021-06-24 | 2022-03-25 | 中国人民解放军陆军工程大学 | 一种攻击人脸验证模型的对抗贴片生成方法 |
CN114005168A (zh) * | 2021-12-31 | 2022-02-01 | 北京瑞莱智慧科技有限公司 | 物理世界对抗样本生成方法、装置、电子设备及存储介质 |
CN114297730A (zh) * | 2021-12-31 | 2022-04-08 | 北京瑞莱智慧科技有限公司 | 对抗图像生成方法、装置及存储介质 |
CN114333029A (zh) * | 2021-12-31 | 2022-04-12 | 北京瑞莱智慧科技有限公司 | 模板图像生成方法、装置及存储介质 |
CN114297730B (zh) * | 2021-12-31 | 2023-04-07 | 北京瑞莱智慧科技有限公司 | 对抗图像生成方法、装置及存储介质 |
CN114359672A (zh) * | 2022-01-06 | 2022-04-15 | 云南大学 | 基于Adam的迭代快速梯度下降对抗攻击方法 |
CN114359672B (zh) * | 2022-01-06 | 2023-04-07 | 云南大学 | 基于Adam的迭代快速梯度下降对抗攻击方法 |
CN115171196A (zh) * | 2022-08-25 | 2022-10-11 | 北京瑞莱智慧科技有限公司 | 人脸图像处理方法、相关装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112364745B (zh) | 2021-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112364745B (zh) | 一种对抗样本的生成方法、装置及电子设备 | |
Xue et al. | Dp-image: Differential privacy for image data in feature space | |
Li et al. | DeepBlur: A simple and effective method for natural image obfuscation | |
Fang et al. | Encoded feature enhancement in watermarking network for distortion in real scenes | |
Chen et al. | Patch selection denoiser: An effective approach defending against one-pixel attacks | |
CN113435264A (zh) | 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 | |
Jalwana et al. | Attack to explain deep representation | |
Shahreza et al. | Comprehensive vulnerability evaluation of face recognition systems to template inversion attacks via 3d face reconstruction | |
CN111860266B (zh) | 基于深度特征的伪装人脸识别方法 | |
CN113935396A (zh) | 基于流形理论的对抗样本攻击方法及相关装置 | |
CN111284157B (zh) | 一种基于分数阶隐写技术的商品包装防伪印刷及验证方法 | |
Jin et al. | DANAA: Towards transferable attacks with double adversarial neuron attribution | |
CN111737688A (zh) | 基于用户画像的攻击防御系统 | |
Emeršič et al. | Towards accessories-aware ear recognition | |
Li et al. | Defending deepfakes by saliency-aware attack | |
CN113159317B (zh) | 一种基于动态残差侵蚀的对抗样本生成方法 | |
Lou et al. | Black-box attack against GAN-generated image detector with contrastive perturbation | |
Lyu et al. | 3D-Aware Adversarial Makeup Generation for Facial Privacy Protection | |
CN114067176A (zh) | 一种无需样本数据的对抗贴片生成方法 | |
Zhang et al. | Embedding guided end-to-end framework for robust image watermarking | |
Ito et al. | Cancelable Face Recognition Using Deep Steganography | |
Korus et al. | Computational sensor fingerprints | |
CN112989359A (zh) | 针对基于三元组损失的行人重识别模型的后门攻击方法 | |
Wang et al. | Adversarial attack on fake-faces detectors under white and black box scenarios | |
Bansal et al. | Securing fingerprint images using a hybrid technique |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |