CN112990384B - 一种基于噪声灭活的生物特征识别对抗防御方法 - Google Patents

Abstract

本发明提供通用的一种基于噪声灭活的生物特征识别对抗防御方法，包括：采用主成分分析算法在输入图像训练集上计算所述输入图像训练集的M个特征向量组成的特征向量库F；子空间估计器训练，所述子空间估计器的输出为m个概率向量，所述m个概率向量p的每一分量均对应所述特征向量库F中的一个特征向量；根据所述子空间估计器输出的m个概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，选出特征向量构成所述子空间；将输入图像x’投影至选出的特征向量张成的所述子空间进行图像重建。

Description

一种基于噪声灭活的生物特征识别对抗防御方法

技术领域

本申请涉及模式识别领域，尤其涉及一种基于噪声灭活的生物特征识别对抗防御方法。

背景技术

近年来，生物特征识别技术有了突破性进展，包括人脸识别、虹膜识别、指纹识别、掌纹识别、静脉识别、行人再识别等。生物特征识别技术在各个领域得到了广泛应用，其中大多数应用场景都具有较高的安全性要求，例如金融、安防、边境管控等。然而，当前主流的生物特征识别方法在对抗攻击下却十分脆弱，通过在物理上或输入图像中添加对抗噪声，对抗攻击产生的对抗样本能够轻易攻破生物特征识别系统，改变识别结果。这给生物特征识别系统带来了巨大的安全隐患。

为了应对对抗攻击带来的威胁，现有的生物特征识别对抗防御方法都采用了对抗训练的思路，即将对抗攻击产生的对抗样本引入识别模型的训练过程，以增强识别模型对于对抗样本的鲁棒性。其中主要包括两类实现方案：

1）直接将对抗样本加入训练数据集。此类方案首先用某种或某几种对抗攻击方法产生对抗样本，而后用产生的对抗样本对识别模型进行训练。训练的方式可以是将预训练好的识别模型在对抗样本上进行微调，也可以是将对抗样本与普通样本进行混合后进行训练，以增强识别模型对于对抗样本的鲁棒性。

2）通过训练策略或训练的损失函数将对抗样本引入训练过程。此类方案不显式地产生对抗样本，而是依据某种对抗攻击方法，设计对抗训练的策略或者改变训练的损失函数，在训练过程中迭代优化识别模型和输入样本，以增强识别模型对于对抗样本的鲁棒性。

由于针对生物特征识别的攻击方法层出不穷，部署在开放环境中的生物特征识别系统会面对事先无法预知的对抗攻击方法的威胁，因此对未曾出现在训练过程中的对抗攻击方法的泛化性能对于对抗防御方法是十分关键的。

而现有的基于对抗训练的方法，不论是直接将对抗样本加入训练数据集还是通过训练策略或训练的损失函数将对抗样本引入训练过程，由于其识别模型的训练都依赖于特定的对抗攻击方法产生的对抗样本，因此其得到的识别模型对于出现在训练过程中的对抗攻击方法具有较好的鲁棒性，而对于那些未曾出现在训练过程中的对抗攻击方法，往往鲁棒性较差，也就是说不具备较好的泛化性。

同时，基于对抗训练的对抗防御方法需要对识别模型进行重新训练，因此其实际部署成本较高。

申请公布号CN111753275A提了一种基于图像的用户隐私保护方法、装置、设备和存储介质，其中方法包括：获取待进行隐私保护的用户生物特征图像。该用户生物特征图像中包括特定类别的用户生物特征。该用户生物特征图像通过该特定类别的用户生物特征对应的生物特征识别模型识别后，能够得到用户个人信息。获取该特定类别的用户生物特征对应的对抗噪声模板。该对抗噪声模板基于该特定类别的用户生物特征对应的对抗样本图像、该特定类别的用户生物特征对应的生物特征识别模型和预设的对抗噪声模板生成算法生成。将上述用户生物特征图像与上述对抗噪声模板进行叠加，叠加后的用户生物特征图像含有对抗噪声，用于干扰用户生物特征识别，防止个人信息泄露。

专利号CN103440504B公开了一种基于结构先验知识的鲁棒生物特征识别方法，该方法包括：收集图像数据形成训练样本集和测试样本集；提取所述训练样本集中每个训练样本的特征向量，并将提取得到的特征向量组成字典矩阵X；基于所述字典矩阵X，通过优化算法计算得到与所述测试样本集中的每一测试样本对应的重构系数向量；基于所述字典矩阵X，使用与所述测试样本集中的每一测试样本对应的重构系数向量进行样本重构，得到与每一测试样本对应的分属于不同类别的重构测试样本，与相应测试样本最为接近的重构训练样本的类别即为所述测试样本的类别。本发明可以用在人脸识别等生物特征识别领域，能够有效处理存在遮挡噪声情况下的识别分类问题。

发明内容

有鉴于此，本发明提供一种基于噪声灭活的生物特征识别对抗防御方法，采用卷积神经网络为每个输入图像估计一个合适的子空间，将所述输入图像投影至估计出的子空间中进行所述输入图像重建，具体方法包括：

S100：采用主成分分析算法在输入图像训练集上计算所述输入图像训练集的M个特征向量组成的特征向量库F；

S200：子空间估计器训练，所述子空间估计器的输出为m个概率向量p，所述m个概率向量p的每一分量均对应所述特征向量库F中的一个特征向量；

S300：根据所述子空间估计器输出的m个概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，选出特征向量构成所述子空间；

S400：将输入图像x’投影至选出的特征向量张成的所述子空间进行图像重建。

优选的，所述计算所述输入图像训练集的M个特征向量组成的特征向量库F的具体方法为：

S101：将所述输入图像训练集中的样本组成样本矩阵；所述输入图像训练集中的样本组成的样本矩阵为X，其维度为d*n，d为每个样本的维度，即像素数，n为样本数量；

S102：计算样本均值，即样本矩阵X所有列的均值向量x_m；

S103：将所述样本矩阵X中心化：

X_m = X - x_m

S104：计算X_m的协方差矩阵C：

C = X_mX_m ^T

S105：对C进行特征值分解：

C = QAQ^-1

其中Q即为特征向量构成的矩阵，A为特征值；；

S106：截取特征值最大的M个特征向量组成所述特征向量库F。

优选的，所述M为2500。

优选的，所述子空间估计器为卷积神经网络，训练方法为：

S201：随机初始化卷积神经网络N_θ的参数θ；

S202：将训练数据x送入所述网络，得到输出的所述概率向量p，p= N_θ(x)；

S203：根据所述概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，决定是否选择该分量对应的特征向量；

S204：将选择出来的特征向量组成矩阵F_p，F_p的维度为d*m，m为被选择的特征向量的个数，m的数值是由对概率向量p的采样决定的；

S205：计算F_p的损失值l；

S206：根据所述概率向量p和特征向量组成矩阵F_p，计算F_p的概率q；

S207：计算q关于网络参数θ的导数▽_θq；

S208：计算网络参数的更新方向s；

S209：重复步骤S203-S207 N次，并计算N次得到的N个所述更新方向的均值s_m,其中N为20-50；

S210：更新卷积神经网络N_θ的参数θ：

θ = θ – r•s_m，

其中r为学习率，由人为设置为0.001-0.01；

S211：重复步骤S201-S210，直至所述卷积神经网络收敛。

优选的，所述损失值l的具体计算公式为：

l = ||F_pF_p ^T(x-x_m) – (x-x_m)||₂ + αm，

其中，

α为损失平衡参数，由人为设置为0.001-0.005。

优选的，所述F_p的概率q的具体计算公式为：

其中p_i为p的第i个分量，f_i为F中的第i个特征向量；

所述q关于网络参数θ的导数▽_θq具体为：▽_θq = ∂ q(F_p, N_θ(x)) / ∂θ。

优选的，所述更新方向s的具体计算公式为：s = l •▽_θq。

优选的，所述概率向量p的值被约束在区间(0，1)之内。

优选的，所述选出特征向量构成所述子空间的具体方法为：

将输入图像x’输入训练好的所述子空间估计器，根据子空间估计器输出的所述概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，根据采样结果从特征向量库F中选出特征向量，并将选出的特征向量组成矩阵F'_p，F'_p的维度为d*m，m为被选择的特征向量的个数。

优选的，所述图像重建的具体方法为：

将输入图像x’投影至选出的特征向量张成的子空间，实现噪声灭活，

x_r = F'_pF'_p ^T(x’ - x_m) + x_m，

其中，x_r为噪声灭活后的图像。

本申请实施例提供的上述技术方案与现有技术相比具有如下优点：

本申请实施例提供的该方法，基于噪声灭活的生物特征识别对抗防御方法，不依赖于任何一种对抗攻击方法，而是通过将有害的对抗噪声灭活的方式，有效利用了识别模型本身对于噪声的鲁棒性，因此对于不同的对抗攻击方法具有良好的泛化性。

同时，由于不需要对识别模型进行任何改变，因此其部署成本较低，适合于在现有的生物特征识别系统中推广实施。

附图说明

图1为本发明实施例提供的一种基于噪声灭活的生物特征识别对抗防御方法流程图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

实施例1：

如图1所示本申请实施例提供的基于噪声灭活的生物特征识别对抗防御方法，在输入的样本进入生物特征识别模型进行特征提取之前，对其进行噪声灭活，缓解对抗样本对于识别模型的危害；采用卷积神经网络为每个输入图像估计一个合适的子空间，将所述输入图像投影至估计出的子空间中进行所述输入图像重建，在保留有效信息的同时，最大程度地抑制对抗攻击产生的噪声的负面影响，具体方法包括：。

S100：采用主成分分析算法在输入图像训练集上计算所述输入图像训练集的2500个特征向量组成的特征向量库F；

所述计算所述输入图像训练集的2500个特征向量组成的特征向量库F的具体方法为：

S101：将所述输入图像训练集中的样本组成样本矩阵；所述输入图像训练集中的样本组成的样本矩阵为X，其维度为d*n，d为每个样本的维度，即像素数，n为样本数量；

S102：C计算样本均值，即样本矩阵X所有列的均值向量x_m；

S103：将所述样本矩阵X中心化：

X_m = X - x_m

S104：计算X_m的协方差矩阵C：

C = X_mX_m ^T

S105：对C进行特征值分解：

C = QAQ^-1

S106：截取特征值最大的2500个特征向量组成所述特征向量库F；

其中Q即为特征向量构成的矩阵，A为特征值，其维度为d*d,其每一列均为一个特征向量；A为一个对角矩阵，其对角线上的元素为特征值，并按照降序排列；A中的特征值与Q中的特征向量具有一一对应的关系；

S200：子空间估计器训练，所述子空间估计器的输出为m个概率向量，所述m个概率向量p的每一分量均对应所述特征向量库F中的一个特征向量；所述概率向量p的值被约束在区间(0，1)之内；

所述子空间估计器为卷积神经网络，训练方法为：

S201：随机初始化卷积神经网络N_θ的参数θ；

S202：将训练数据x送入所述网络，得到输出的所述概率向量p= N_θ(x)；

S203：根据所述概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，决定是否选择该分量对应的特征向量；

S204：将选择出来的特征向量组成矩阵F_p，F_p的维度为d*m，m为被选择的特征向量的个数，m的数值是由对概率向量p的采样决定的，并不是一个人为设置的数值，因此不能事先给出其取值范围；

S205：计算F_p的损失值l；所述损失值l的具体计算公式为：

l = ||F_pF_p ^T(x-x_m) – (x-x_m)||₂ + αm，

其中，

α为损失平衡参数，由人为设置为0.001，一般平衡参数的取值范围可设为0.001-0.005，比如优选的0.002、0.003、0.005等。

S206：根据所述概率向量p和特征向量组成矩阵F_p，计算F_p的概率q；

所述F_p的概率q的具体计算公式为：

其中p_i为p的第i个分量，f_i为F中的第i个特征向量；

S207：计算q关于网络参数θ的导数▽_θq；

所述q关于网络参数θ的导数▽_θq具体为：▽_θq = ∂ q(F_p, N_θ(x)) / ∂θ；

S208：计算网络参数的更新方向s；

所述更新方向s的具体计算公式为：s = l •▽_θq；

S209：重复步骤S203-S207 N次，并计算N次得到的N个所述更新方向的均值s_m其中N为20-50，优选的为20、25、30、35、40、50；

S210：更新卷积神经网络N_θ的参数θ：

θ = θ – r•s_m，

其中r为学习率，由人为设置为0.01，也可以是为0.001-0.01中的某一数值，比如0.005、0.008、0.01等；

S211：重复步骤S201-S210，直至所述卷积神经网络收敛。

S300：根将输入图像x’输入训练好的所述子空间估计器，根据子空间估计器输出的所述概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，根据采样结果从特征向量库F中选出特征向量，并将选出的特征向量组成矩阵F'_p，F'_p的维度为d*m，m为被选择的特征向量的个数；

S400：将输入图像x’投影至选出的特征向量张成的子空间，将输入图像中有效信息保留，同时最大程度地抑制对抗噪声的不良影响，实现噪声灭活，

x_r = F'_pF'_p ^T(x’ - x_m) + x_m，

其中，x_r为噪声灭活后的图像。

实施例2：

根据上述方案内容，进一步，

测试数据准备：

进入LFW人脸数据集官网（http://vis-www.cs.umass.edu/lfw/）下载LFW人脸数据集以及人脸验证测试协议，该测试协议包含6000对测试样本，其中正样本对3000、负样本对3000对。

参照开源的人脸项目insightface（https://github.com/deepinsight/insightface）对测试样本进行预处理。

生成特征向量库及模型训练：

选取ResNet50作为子空间学习器，采用开源的人脸项目insightface（https://github.com/deepinsight/insightface）提供的训练集生成特征向量库，同时对子空间学习器进行训练，损失平衡参数α设置为0.001，学习率 r 设置为0.01。

对抗攻击：

分别采用FGSM、PGD两种攻击方法在测试样本中添加对抗噪声，噪声强度（噪声的2范数与测试图像2范数的比值）为0.04。

噪声灭活：

将测试样本输入子空间学习器，得到特征向量选择概率。采样得到参与重建的特征向量矩阵，而后对测试样本进行重建。

性能测试：

采用开源的人脸项目insightface（https://github.com/deepinsight/insightface）提供的识别模型对噪声灭活后的样本进行特征提取与匹配。

与不采用本发明提出的方法相比，两种对抗攻击方法下的识别结果的等错误率出现了明显下降（FGSM：由39.5%降至6.5%；PGD：由99.6%降至28.2%）。证明本发明提出的方法具有明显效果并对不同对抗攻击方法具有良好对泛化性。

应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

虽然本说明书包含许多具体实施细节，但是这些不应被解释为限制任何发明的范围或所要求保护的范围，而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面，在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外，虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护，但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除，并且所要求保护的组合可以指向子组合或子组合的变型。

类似地，虽然在附图中以特定顺序描绘了操作，但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行，以实现期望的结果。在某些情况下，多任务和并行处理可能是有利的。此外，上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离，并且应当理解，所描述的程序组件和系统通常可以一起集成在单个软件产品中，或者封装成多个软件产品。

由此，主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下，权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外，附图中描绘的处理并非必需所示的特定顺序或顺次顺序，以实现期望的结果。在某些实现中，多任务和并行处理可能是有利的。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (7)

1.一种基于噪声灭活的生物特征识别对抗防御方法，其特征在于，采用卷积神经网络为每个输入图像估计一个合适的子空间，将所述输入图像投影至估计出的子空间中进行所述输入图像重建，具体方法包括：

S100：采用主成分分析算法在输入图像训练集上计算所述输入图像训练集的M个特征向量组成的特征向量库F；

S200：子空间估计器训练，所述子空间估计器的输出为m个概率向量p，所述m个概率向量p的每一分量均对应所述特征向量库F中的一个特征向量；

S300：根据所述子空间估计器输出的m个概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，选出特征向量构成所述子空间；

S400：将输入图像x’投影至选出的特征向量张成的所述子空间进行图像重建；

所述计算所述输入图像训练集的M个特征向量组成的特征向量库F的具体方法为：

S101：将所述输入图像训练集中的样本组成样本矩阵；所述输入图像训练集中的样本组成的样本矩阵为X，其维度为d*n，d为每个样本的维度，即像素数，n为样本数量；

S102：计算样本均值，即样本矩阵X所有列的均值向量x_m；

S103：将所述样本矩阵X中心化：

X_m = X - x_m

S104：计算X_m的协方差矩阵C：

C = X_mX_m ^T

S105：对C进行特征值分解：

C = QAQ^-1

其中Q即为特征向量构成的矩阵；A为特征值；

S106：截取特征值最大的M个特征向量组成所述特征向量库F；

所述子空间估计器为卷积神经网络，训练方法为：

S201：随机初始化卷积神经网络N_θ的参数θ；

S202：将训练数据x送入所述网络，得到输出的所述概率向量p，p= N_θ(x)；

S203：根据所述概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，决定是否选择该分量对应的特征向量；

S204：将选择出来的特征向量组成矩阵F_p，F_p的维度为d*m，m为被选择的特征向量的个数，m的数值是由对概率向量p的采样决定的；

S205：计算F_p的损失值l；

S206：根据所述概率向量p和特征向量组成矩阵F_p，计算F_p的概率q；

S207：计算q关于网络参数θ的导数▽_θq；

S208：计算网络参数的更新方向s；

S209：重复步骤S203-S207 N次，并计算N次得到的N个所述更新方向的均值s_m,其中N为20-50；

S210：更新卷积神经网络N_θ的参数θ：

θ = θ – r•s_m，

其中r为学习率，由人为设置为0.001-0.01；

S211：重复步骤S201-S210，直至所述卷积神经网络收敛；所述损失值l的具体计算公式为：

l = ||F_pF_p ^T(x-x_m) – (x-x_m)||₂ + αm，

其中，

α为损失平衡参数，由人为设置为0.001-0.005。

2.根据权利要求1所述的基于噪声灭活的生物特征识别对抗防御方法，其特征在于，所述M为2500。

3.根据权利要求1所述的基于噪声灭活的生物特征识别对抗防御方法，其特征在于，所述F_p的概率q的具体计算公式为：

其中p_i为p的第i个分量，f_i为F中的第i个特征向量；

所述q关于网络参数θ的导数▽_θq具体为：▽_θq = ∂ q(F_p, N_θ(x)) / ∂θ。

4.根据权利要求3所述的基于噪声灭活的生物特征识别对抗防御方法，其特征在于，所述更新方向s的具体计算公式为：s = l •▽_θq。

5.根据权利要求1所述的基于噪声灭活的生物特征识别对抗防御方法，其特征在于，所述概率向量p的值被约束在区间(0，1)之内。

6.根据权利要求1所述的基于噪声灭活的生物特征识别对抗防御方法，其特征在于，所述选出特征向量构成所述子空间的具体方法为：

将输入图像x’输入训练好的所述子空间估计器，根据子空间估计器输出的所述概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，根据采样结果从特征向量库F中选出特征向量，并将选出的特征向量组成矩阵F'_p，F'_p的维度为d*m，m为被选择的特征向量的个数。

7.根据权利要求6所述的基于噪声灭活的生物特征识别对抗防御方法，其特征在于，所述图像重建的具体方法为：

将输入图像x’投影至选出的特征向量张成的子空间，实现噪声灭活，

x_r = F'_pF'_p ^T(x’ - x_m) + x_m，

其中，x_r为噪声灭活后的图像。

Images