CN113343247A - 生物特征识别对抗样本攻击安全测评方法、系统、装置、处理器及其计算机可读存储介质 - Google Patents

生物特征识别对抗样本攻击安全测评方法、系统、装置、处理器及其计算机可读存储介质 Download PDF

Info

Publication number
CN113343247A
CN113343247A CN202110673250.1A CN202110673250A CN113343247A CN 113343247 A CN113343247 A CN 113343247A CN 202110673250 A CN202110673250 A CN 202110673250A CN 113343247 A CN113343247 A CN 113343247A
Authority
CN
China
Prior art keywords
attack
algorithm
defense
sample
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110673250.1A
Other languages
English (en)
Inventor
王立
姚晨
洪丽娟
马洪娜
黄思婕
刘辛宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Third Research Institute of the Ministry of Public Security
Original Assignee
Third Research Institute of the Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Third Research Institute of the Ministry of Public Security filed Critical Third Research Institute of the Ministry of Public Security
Priority to CN202110673250.1A priority Critical patent/CN113343247A/zh
Publication of CN113343247A publication Critical patent/CN113343247A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本发明涉及一种基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,包括利用待测对象和数据集进行生物特征识别操作,选择出预测正确的图片作为攻击的准备;选择攻击算法,利用攻击算法产生对抗样本;选择防御算法,使用防御算法进行对象识别模型防御增强;根据攻击算法生成的对抗样本对防御增强后的对象模型进行攻击测试;制定安全评估标准,并根据标准进行各项评估指标计算;汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级。本发明还涉及相应的系统、装置、处理器及其计算机可读存储介质。采用了本发明的上述方法、系统、装置、处理器及其计算机可读存储介质,极大地简化测试操作过程,确保结果公平,数据真实有效,在生物特征识别安全领域有广阔的应用前景。

Description

生物特征识别对抗样本攻击安全测评方法、系统、装置、处理 器及其计算机可读存储介质
技术领域
本发明涉及信息安全领域,尤其涉及生物特征识别安全技术领域,具体是指一种基于生物特征识别针对对抗样本攻击实现安全测评处理的方法、系统、装置、处理器及其计算机可读存储介质。
背景技术
近年来,生物特征数据包括指纹、人脸、虹膜、指静脉、掌纹和声纹等信息正在被各种传感器收集,实现了安全管控、金融交易、物联网指令控制等多种应用场景的便捷性和高效性,使得社会运行效率显著提高。现阶段生物特征识别技术发展趋势主要在三个方面:一是生物特征识别技术正在向多元化方向发展,越来越多新的生物特征数据被挖掘和投入应用;二是多生物特征融合技术广泛应用,深度学习技术与生物识别技术协同发展;三是生物特征识别技术存在一定的安全风险,特别是针对生物特征识别的对抗攻击使得此类安全风险问题日益突出。
自深度生物特征识别神经网络中存在对抗样本这一现象被发现以来,国内外在此领域开展的工作越来越多并提出了许多的对抗样本攻击及对抗样本攻击防御方法。对抗样本攻击即为研究如何生成扰动更小、迁移性更好的对抗样本来欺骗识别模型,干扰人工智能系统;对抗样本防御即为如何使识别网络模型正确识别对抗样本,不被欺骗,保证人工智能系统的安全。但针对生物特征识别图像对抗样本攻击安全研究还存在以下问题:
(1)生物特征识别图像对抗样本攻击安全问题还未受到足够重视,公安、银行、交通、测评等机构相关监管评估系统还不完善;
(2)作为新兴技术,基于图像的生物特征识别技术作为人工智能落地的主要方向,而目前缺乏针对生物特征识别图像对抗样本攻击安全策略的研究;
(3)目前针对生物特征识别对抗样本攻击安全测评评价指标单一,不能系统化、全面化的体现安全测评结果。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种满足效率高、全面性好和可靠性强的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法、系统、装置、处理器及其计算机可读存储介质。
为了实现上述目的,本发明的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法、系统、装置、处理器及其计算机可读存储介质如下:
该基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其主要特点是,所述的方法包括以下步骤:
(1)包括利用待测对象和数据集进行生物特征识别操作,选择出预测正确的图片作为攻击的准备;
(2)选择攻击算法,利用攻击算法产生对抗样本;
(3)选择防御算法,使用防御算法进行对象识别模型防御增强;
(4)根据攻击算法生成的对抗样本对防御增强后的对象模型进行攻击测试;
(5)制定安全评估标准,并根据标准进行各项评估指标计算;
(6)汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级。
较佳地,所述的步骤(1)中选择出的预测正确的图片数量可选择为100、1000、10000、100000。
较佳地,所述的步骤(2)中的可供选择的攻击算法为多个有代表性、主流的攻击算法中的一个或多个的组合。
较佳地,所述的步骤(2)还包括以下步骤:
(2.1)将由步骤(1)选择出的预测正确的图片利用攻击算法产生对应的对抗样本,样本数量分别对应为100、1000、10000、100000。
较佳地,所述的步骤(3)中的防御算法表示待测对象自带的防御算法,若待测对象无自带防御算法,则无需进行防御增强操作。
较佳地,所述的步骤(4)还包括以下步骤:
(4.1)将由步骤(2)得到的对抗样本通过待测对象的SDK或API接口进行生物特征识别,也即攻击测试。
较佳地,所述的步骤(5)中的安全评估标准包括但不限于错误分类的概率、对错误类的平均预测置信度、对正确类的平均预测置信度、平均L1/L2/L无穷范式的失真度、平均结构的相似性、干扰的敏感度、对于噪声容忍度的估计、高斯模糊度的鲁棒性、图像压缩的鲁棒性。
较佳地,所述的步骤(6)中,所述待测生物特征识别对象的安全等级可以是所有安全评估标准评分综合得到。
该基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其主要特点是,所述的系统包括:
攻击数据集准备单元,用于生物特征图片数据收集、预处理、标注、预测;
攻击选择单元,与所述的攻击数据集准备单元相连接,用于选择攻击算法并生成对抗样本;
防御选择单元,与所述的攻击选择单元相连接,用于选择防御算法并进行防御加固;
攻击测试单元,与所述的防御选择单元相连接,用于对象模型进行攻击测试;
安全评估单元,与所述的攻击测试单元相连接,用于根据制定的安全评估标准,汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级;
生物特征识别安全测评程序,所述的生物特征识别安全测评程序根据不同攻击算法构建对应攻击样本并进行攻击测试,计算并得出待测对象的生物特征识别安全评估等级,具体进行以下处理:
(1)包括利用待测对象和数据集进行生物特征识别操作,选择出预测正确的图片作为攻击的准备;
(2)选择攻击算法,利用攻击算法产生对抗样本;
(3)选择防御算法,使用防御算法进行对象识别模型防御增强;
(4)根据攻击算法生成的对抗样本对防御增强后的对象模型进行攻击测试;
(5)制定安全评估标准,并根据标准进行各项评估指标计算;
(6)汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级。
较佳地,所述的处理步骤(1)中选择出的预测正确的图片数量可选择为100、1000、10000、100000。
较佳地,所述的处理步骤(2)中的可供选择的攻击算法为多个有代表性、主流的攻击算法中的一个或多个的组合。
较佳地,所述的处理步骤(2)还包括以下处理步骤:
(2.1)将由处理步骤(1)选择出的预测正确的图片利用攻击算法产生对应的对抗样本,样本数量分别对应为100、1000、10000、100000。
较佳地,所述的处理步骤(3)中的防御算法表示待测对象自带的防御算法,若待测对象无自带防御算法,则无需进行防御增强操作。
较佳地,所述的处理步骤(4)还包括以下处理步骤:
(4.1)将由处理步骤(2)得到的对抗样本通过待测对象的SDK或API接口进行生物特征识别,也即攻击测试。
较佳地,所述的处理步骤(5)中的安全评估标准包括但不限于错误分类的概率、对错误类的平均预测置信度、对正确类的平均预测置信度、平均L1/L2/L无穷范式的失真度、平均结构的相似性、干扰的敏感度、对于噪声容忍度的估计、高斯模糊度的鲁棒性、图像压缩的鲁棒性。
较佳地,所述的处理步骤(6)中,所述待测生物特征识别对象的安全等级可以是所有安全评估标准评分综合得到。
该基于生物特征识别针对对抗样本攻击实现安全测评处理的装置,其主要特点是,所述的装置包括:
处理器,被配置成执行计算机可执行指令;
存储器,存储一个或多个计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的步骤。
该基于生物特征识别针对对抗样本攻击实现安全测评处理的处理器,其主要特点是,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的步骤。
该计算机可读存储介质,其主要特点是,其上存储有计算机程序,所述的计算机程序可被处理器执行以实现上述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的各个步骤。
采用了本发明的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法、系统、装置、处理器及其计算机可读存储介质,针对样本攻击性和网络安全性制定科学的评测流程,建立特异化与系统化的安全性评测指标,为支撑攻击机理、模型防御算法的研究,以及为提供数据与模型的安全性评测,建设面向真实智能安防场景的图像/视频数据与模型安全性评测系统,极大地简化测试操作过程,确保结果公平,数据真实有效,在生物特征识别安全领域有广阔的应用前景。
附图说明
图1为本发明的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的流程示意图。
图2为本发明的基于生物特征识别针对对抗样本攻击实现安全测评处理的系统的模块图。
图3为本发明的基于生物特征识别针对对抗样本攻击实现安全测评处理的系统可供选择的有代表性、主流的攻击算法示例示意图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
请参阅图1至图3所示,本发明的该基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其中包括以下步骤:
(1)包括利用待测对象和数据集进行生物特征识别操作,选择出预测正确的图片作为攻击的准备;
(2)选择攻击算法,利用攻击算法产生对抗样本;
(3)选择防御算法,使用防御算法进行对象识别模型防御增强;
(4)根据攻击算法生成的对抗样本对防御增强后的对象模型进行攻击测试;
(5)制定安全评估标准,并根据标准进行各项评估指标计算;
(6)汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级。
作为本发明的优选实施方式,所述的步骤(1)中选择出的预测正确的图片数量可选择为100、1000、10000、100000。
作为本发明的优选实施方式,所述的步骤(2)中的可供选择的攻击算法为多个有代表性、主流的攻击算法中的一个或多个的组合。
作为本发明的优选实施方式,所述的步骤(2)还包括以下步骤:
(2.1)将由步骤(1)选择出的预测正确的图片利用攻击算法产生对应的对抗样本,样本数量分别对应为100、1000、10000、100000。
作为本发明的优选实施方式,所述的步骤(3)中的防御算法表示待测对象自带的防御算法,若待测对象无自带防御算法,则无需进行防御增强操作。
作为本发明的优选实施方式,所述的步骤(4)还包括以下步骤:
(4.1)将由步骤(2)得到的对抗样本通过待测对象的SDK或API接口进行生物特征识别,也即攻击测试。
作为本发明的优选实施方式,所述的步骤(5)中的安全评估标准包括但不限于错误分类的概率、对错误类的平均预测置信度、对正确类的平均预测置信度、平均L1/L2/L无穷范式的失真度、平均结构的相似性、干扰的敏感度、对于噪声容忍度的估计、高斯模糊度的鲁棒性、图像压缩的鲁棒性。
作为本发明的优选实施方式,所述的步骤(6)中,所述待测生物特征识别对象的安全等级可以是所有安全评估标准评分综合得到。
本发明的该基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其中包括:
攻击数据集准备单元,用于生物特征图片数据收集、预处理、标注、预测;
攻击选择单元,与所述的攻击数据集准备单元相连接,用于选择攻击算法并生成对抗样本;
防御选择单元,与所述的攻击选择单元相连接,用于选择防御算法并进行防御加固;
攻击测试单元,与所述的防御选择单元相连接,用于对象模型进行攻击测试;
安全评估单元,与所述的攻击测试单元相连接,用于根据制定的安全评估标准,汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级;
生物特征识别安全测评程序,所述的生物特征识别安全测评程序根据不同攻击算法构建对应攻击样本并进行攻击测试,计算并得出待测对象的生物特征识别安全评估等级,具体进行以下处理:
(1)包括利用待测对象和数据集进行生物特征识别操作,选择出预测正确的图片作为攻击的准备;
(2)选择攻击算法,利用攻击算法产生对抗样本;
(3)选择防御算法,使用防御算法进行对象识别模型防御增强;
(4)根据攻击算法生成的对抗样本对防御增强后的对象模型进行攻击测试;
(5)制定安全评估标准,并根据标准进行各项评估指标计算;
(6)汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级。
作为本发明的优选实施方式,所述的处理步骤(1)中选择出的预测正确的图片数量可选择为100、1000、10000、100000。
作为本发明的优选实施方式,所述的处理步骤(2)中的可供选择的攻击算法为多个有代表性、主流的攻击算法中的一个或多个的组合。
作为本发明的优选实施方式,所述的处理步骤(2)还包括以下处理步骤:
(2.1)将由处理步骤(1)选择出的预测正确的图片利用攻击算法产生对应的对抗样本,样本数量分别对应为100、1000、10000、100000。
作为本发明的优选实施方式,所述的处理步骤(3)中的防御算法表示待测对象自带的防御算法,若待测对象无自带防御算法,则无需进行防御增强操作。
作为本发明的优选实施方式,所述的处理步骤(4)还包括以下处理步骤:
(4.1)将由处理步骤(2)得到的对抗样本通过待测对象的SDK或API接口进行生物特征识别,也即攻击测试。
作为本发明的优选实施方式,所述的处理步骤(5)中的安全评估标准包括但不限于错误分类的概率、对错误类的平均预测置信度、对正确类的平均预测置信度、平均L1/L2/L无穷范式的失真度、平均结构的相似性、干扰的敏感度、对于噪声容忍度的估计、高斯模糊度的鲁棒性、图像压缩的鲁棒性。
作为本发明的优选实施方式,所述的处理步骤(6)中,所述待测生物特征识别对象的安全等级可以是所有安全评估标准评分综合得到。
作为本发明的优选实施方式,该基于生物特征识别针对对抗样本攻击实现安全测评处理的装置,其中包括:
处理器,被配置成执行计算机可执行指令;
存储器,存储一个或多个计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的步骤。
作为本发明的优选实施方式,该基于生物特征识别针对对抗样本攻击实现安全测评处理的处理器,其被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的步骤。
作为本发明的优选实施方式,该计算机可读存储介质,其上存储有计算机程序,所述的计算机程序可被处理器执行以实现上述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的各个步骤。
本发明的具体实施方式中,提供了一种满足效率高、全面性好和可靠性强的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法、系统、装置、处理器及其计算机可读存储介质。
如图1所示,基于生物特征识别针对对抗样本攻击实现安全测评处理的方法包括以下步骤:
(1)包括利用待测对象和数据集进行生物特征识别操作,选择出预测正确的图片作为攻击的准备;
(2)选择攻击算法,利用攻击算法产生对抗样本;
(3)选择防御算法,使用防御算法进行对象识别模型防御增强;
(4)根据攻击算法生成的对抗样本对防御增强后的对象模型进行攻击测试;
(5)制定安全评估标准,并根据标准进行各项评估指标计算;
(6)汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级。
步骤(1)中选择出的预测正确的图片数量可选择为100、1000、10000、100000,选出的图片作为后续生成对应的对抗样本用数据集。
如图3所示,考虑到不同的攻击算法对安全评估结果也存在较大影响,步骤(2)中的可供选择的攻击算法为多个有代表性、主流的攻击算法中的一个或多个的组合,具体而言,在选择攻击算法时,所述攻击算法包括但不限于后向传递可微近似法、AdvGAN法攻击、单像素攻击法、DeepFool攻击法、最不可能类攻击方法、C&W攻击法、替代黑盒攻击法、随机快速梯度符号法、最小可能类迭代攻击、基本迭代攻击法、目标动态迭代法、非目标动态迭代法、快速梯度下降法。
步骤(2)还包括以下步骤:
将由步骤(1)选择出的预测正确的图片利用攻击算法产生对应的对抗样本,样本数量分别对应为100、1000、10000、100000,样本数量可根据测试需求选择。
步骤(3)中的防御算法表示待测对象自带的防御算法,若待测对象无自带防御算法,则无需进行防御增强操作,防御算法可根据测试需求选择。
步骤(4)还包括以下步骤:
将由步骤(2)得到的对抗样本通过待测对象的SDK或API接口进行生物特征识别,也即攻击测试。攻击测试过程中需要选择迭代次数(即查询攻击的攻击次数)以及扰动大小(即噪声大小),测试过程中可以根据测试需要或不同的应用场景进行对应调整,本实施方式对此不做限定。
步骤(5)中的安全评估标准包括但不限于错误分类的概率、对错误类的平均预测置信度、对正确类的平均预测置信度、平均L1/L2/L无穷范式的失真度、平均结构的相似性、干扰的敏感度、对于噪声容忍度的估计、高斯模糊度的鲁棒性、图像压缩的鲁棒性,各安全评估标准计算式如下:
错误分类的概率:
Figure BDA0003119613650000081
对错误类的平均预测置信度:
Figure BDA0003119613650000082
对正确类的平均预测置信度:
Figure BDA0003119613650000083
平均L1/L2/L无穷范式的失真度:
Figure BDA0003119613650000084
平均结构的相似性:
Figure BDA0003119613650000091
干扰的敏感度:
Figure BDA0003119613650000092
对于噪声容忍度的估计:
Figure BDA0003119613650000093
高斯模糊度的鲁棒性:
Figure BDA0003119613650000094
图像压缩的鲁棒性:
Figure BDA0003119613650000095
其中,各符号代表的意义如下:
·X为原始真实样本;
·Xa为输入对抗样本;
·y为非目标攻击图片的真正标签;
·y*为有针对性的对抗性样本中的对抗性类的标签;
·F(X)为目标攻击下图片的目标标签;
·P(X)为待测对象对于对抗样本预测的概率;
·SSIM为公认的衡量两幅图像相似度的指标;
·R为扰动大小;
·Sen为人类对扰动的感知指标参数;
·δ为梯度;
●count为数量总计;
●GB为添加高斯模糊;
·IC为进行图像压缩。
步骤(6)中,所述待测生物特征识别对象的安全等级可以是所有安全评估标准评分综合得到,例如将多项的评分进行简单平均或加权求和,本实施方式对此不做限定。
如图2所示,基于生物特征识别针对对抗样本攻击实现安全测评处理的系统包括:
攻击数据集准备单元,用于生物特征图片数据收集、预处理、标注、预测;
攻击选择单元,与所述的攻击数据集准备单元相连接,用于选择攻击算法并生成对抗样本;
防御选择单元,与所述的攻击选择单元相连接,用于选择防御算法并进行防御加固;
攻击测试单元,与所述的防御选择单元相连接,用于对象模型进行攻击测试;
安全评估单元,与所述的攻击测试单元相连接,用于根据制定的安全评估标准,汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级。
本实施例的具体实现方案可以参见上述实施例中的相关说明,此处不再赘述。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行装置执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
采用了本发明的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法、系统、装置、处理器及其计算机可读存储介质,针对样本攻击性和网络安全性制定科学的评测流程,建立特异化与系统化的安全性评测指标,为支撑攻击机理、模型防御算法的研究,以及为提供数据与模型的安全性评测,建设面向真实智能安防场景的图像/视频数据与模型安全性评测系统,极大地简化测试操作过程,确保结果公平,数据真实有效,在生物特征识别安全领域有广阔的应用前景。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。

Claims (19)

1.一种基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其特征在于,所述的方法包括以下步骤:
(1)包括利用待测对象和数据集进行生物特征识别操作,选择出预测正确的图片作为攻击的准备;
(2)选择攻击算法,利用攻击算法产生对抗样本;
(3)选择防御算法,使用防御算法进行对象识别模型防御增强;
(4)根据攻击算法生成的对抗样本对防御增强后的对象模型进行攻击测试;
(5)制定安全评估标准,并根据标准进行各项评估指标计算;
(6)汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级。
2.根据权利要求1所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其特征在于,所述的步骤(1)中选择出的预测正确的图片数量可选择为100、1000、10000、100000。
3.根据权利要求1所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其特征在于,所述的步骤(2)中的可供选择的攻击算法为多个有代表性、主流的攻击算法中的一个或多个的组合。
4.根据权利要求1所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其特征在于,所述的步骤(2)还包括以下步骤:
(2.1)将由步骤(1)选择出的预测正确的图片利用攻击算法产生对应的对抗样本,样本数量分别对应为100、1000、10000、100000。
5.根据权利要求1所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其特征在于,所述的步骤(3)中的防御算法表示待测对象自带的防御算法,若待测对象无自带防御算法,则无需进行防御增强操作。
6.根据权利要求1所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其特征在于,所述的步骤(4)还包括以下步骤:
(4.1)将由步骤(2)得到的对抗样本通过待测对象的SDK或API接口进行生物特征识别,也即攻击测试。
7.根据权利要求1所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其特征在于,所述的步骤(5)中的安全评估标准包括但不限于错误分类的概率、对错误类的平均预测置信度、对正确类的平均预测置信度、平均L1/L2/L无穷范式的失真度、平均结构的相似性、干扰的敏感度、对于噪声容忍度的估计、高斯模糊度的鲁棒性、图像压缩的鲁棒性。
8.根据权利要求1至7中任一项所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法,其特征在于,所述的步骤(6)中,所述待测生物特征识别对象的安全等级可以是所有安全评估标准评分综合得到。
9.一种基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其特征在于,所述的系统包括:
攻击数据集准备单元,用于生物特征图片数据收集、预处理、标注、预测;
攻击选择单元,与所述的攻击数据集准备单元相连接,用于选择攻击算法并生成对抗样本;
防御选择单元,与所述的攻击选择单元相连接,用于选择防御算法并进行防御加固;
攻击测试单元,与所述的防御选择单元相连接,用于对象模型进行攻击测试;
安全评估单元,与所述的攻击测试单元相连接,用于根据制定的安全评估标准,汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级;
生物特征识别安全测评程序,所述的生物特征识别安全测评程序根据不同攻击算法构建对应攻击样本并进行攻击测试,计算并得出待测对象的生物特征识别安全评估等级,具体进行以下处理:
(1)包括利用待测对象和数据集进行生物特征识别操作,选择出预测正确的图片作为攻击的准备;
(2)选择攻击算法,利用攻击算法产生对抗样本;
(3)选择防御算法,使用防御算法进行对象识别模型防御增强;
(4)根据攻击算法生成的对抗样本对防御增强后的对象模型进行攻击测试;
(5)制定安全评估标准,并根据标准进行各项评估指标计算;
(6)汇总安全评估标准计算结果,确定待测生物特征识别对象的安全等级。
10.根据权利要求9所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其特征在于,所述的处理步骤(1)中选择出的预测正确的图片数量可选择为100、1000、10000、100000。
11.根据权利要求9所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其特征在于,所述的处理步骤(2)中的可供选择的攻击算法为多个有代表性、主流的攻击算法中的一个或多个的组合。
12.根据权利要求9所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其特征在于,所述的处理步骤(2)还包括以下处理步骤:
(2.1)将由处理步骤(1)选择出的预测正确的图片利用攻击算法产生对应的对抗样本,样本数量分别对应为100、1000、10000、100000。
13.根据权利要求9所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其特征在于,所述的处理步骤(3)中的防御算法表示待测对象自带的防御算法,若待测对象无自带防御算法,则无需进行防御增强操作。
14.根据权利要求9所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其特征在于,所述的处理步骤(4)还包括以下处理步骤:
(4.1)将由处理步骤(2)得到的对抗样本通过待测对象的SDK或API接口进行生物特征识别,也即攻击测试。
15.根据权利要求9所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其特征在于,所述的处理步骤(5)中的安全评估标准包括但不限于错误分类的概率、对错误类的平均预测置信度、对正确类的平均预测置信度、平均L1/L2/L无穷范式的失真度、平均结构的相似性、干扰的敏感度、对于噪声容忍度的估计、高斯模糊度的鲁棒性、图像压缩的鲁棒性。
16.根据权利要求9至15中任一项所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的系统,其特征在于,所述的处理步骤(6)中,所述待测生物特征识别对象的安全等级可以是所有安全评估标准评分综合得到。
17.一种基于生物特征识别针对对抗样本攻击实现安全测评处理的装置,其特征在于,所述的装置包括:
处理器,被配置成执行计算机可执行指令;
存储器,存储一个或多个计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现权利要求1至7中任一项所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的步骤。
18.一种基于生物特征识别针对对抗样本攻击实现安全测评处理的处理器,其特征在于,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现权利要求1至7中任一项所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的步骤。
19.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述的计算机程序可被处理器执行以实现权利要求1至7中任一项所述的基于生物特征识别针对对抗样本攻击实现安全测评处理的方法的各个步骤。
CN202110673250.1A 2021-06-17 2021-06-17 生物特征识别对抗样本攻击安全测评方法、系统、装置、处理器及其计算机可读存储介质 Pending CN113343247A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110673250.1A CN113343247A (zh) 2021-06-17 2021-06-17 生物特征识别对抗样本攻击安全测评方法、系统、装置、处理器及其计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110673250.1A CN113343247A (zh) 2021-06-17 2021-06-17 生物特征识别对抗样本攻击安全测评方法、系统、装置、处理器及其计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN113343247A true CN113343247A (zh) 2021-09-03

Family

ID=77476276

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110673250.1A Pending CN113343247A (zh) 2021-06-17 2021-06-17 生物特征识别对抗样本攻击安全测评方法、系统、装置、处理器及其计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113343247A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114510715A (zh) * 2022-01-14 2022-05-17 中国科学院软件研究所 模型的功能安全测试方法、装置、存储介质及设备
CN115643056A (zh) * 2022-09-30 2023-01-24 支付宝(杭州)信息技术有限公司 一种网络模型的防攻击能力测试方法及装置
CN115840932A (zh) * 2023-02-20 2023-03-24 之江实验室 一种漏洞修复方法、装置、存储介质及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111783083A (zh) * 2020-06-19 2020-10-16 浙大城市学院 一种防御算法的推荐方法及装置
CN111881437A (zh) * 2020-08-04 2020-11-03 公安部第三研究所 基于黑盒对抗样本攻击实现人脸识别安全测评的方法及其系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111783083A (zh) * 2020-06-19 2020-10-16 浙大城市学院 一种防御算法的推荐方法及装置
CN111881437A (zh) * 2020-08-04 2020-11-03 公安部第三研究所 基于黑盒对抗样本攻击实现人脸识别安全测评的方法及其系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
甘滨: ""面向深度学习模型的安全测试平台的研究与实现"", 《中国优秀硕士论文信息科技辑》, no. 2020, pages 5 - 74 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114510715A (zh) * 2022-01-14 2022-05-17 中国科学院软件研究所 模型的功能安全测试方法、装置、存储介质及设备
CN115643056A (zh) * 2022-09-30 2023-01-24 支付宝(杭州)信息技术有限公司 一种网络模型的防攻击能力测试方法及装置
CN115840932A (zh) * 2023-02-20 2023-03-24 之江实验室 一种漏洞修复方法、装置、存储介质及电子设备
CN115840932B (zh) * 2023-02-20 2023-06-02 之江实验室 一种漏洞修复方法、装置、存储介质及电子设备

Similar Documents

Publication Publication Date Title
CN113554089B (zh) 一种图像分类对抗样本防御方法、系统及数据处理终端
Wan et al. Bootstrapping face detection with hard negative examples
CN113343247A (zh) 生物特征识别对抗样本攻击安全测评方法、系统、装置、处理器及其计算机可读存储介质
CN112163638A (zh) 图像分类模型后门攻击的防御方法、装置、设备及介质
CN109902018B (zh) 一种智能驾驶系统测试案例的获取方法
KR20220107120A (ko) 생체 검측 모델의 트레이닝 방법 및 장치, 생체 검측 모델을 이용한 생체 검측 방법 및 장치, 전자장비, 저장매체 및 컴퓨터 프로그램
CN110348475A (zh) 一种基于空间变换的对抗样本增强方法和模型
Takemura et al. Model extraction attacks on recurrent neural networks
US11797996B2 (en) Payment information processing method, apparatus, device and computer readable storage medium
CN114549933A (zh) 基于目标检测模型特征向量迁移的对抗样本生成方法
CN114299365B (zh) 图像模型隐蔽后门的检测方法及系统、存储介质、终端
KR20150128510A (ko) 라이브니스 검사 방법과 장치,및 영상 처리 방법과 장치
CN112668557A (zh) 一种行人再识别系统中防御图像噪声攻击的方法
Hau et al. Shadow-catcher: Looking into shadows to detect ghost objects in autonomous vehicle 3d sensing
Miao et al. Detection of mines and minelike targets using principal component and neural-network methods
CN114169425B (zh) 训练目标跟踪模型和目标跟踪的方法和装置
CN110020593B (zh) 信息处理方法及装置、介质及计算设备
CN113780363A (zh) 一种对抗样本防御方法、系统、计算机及介质
Peng et al. Face morphing attack detection and attacker identification based on a watchlist
CN116188956A (zh) 一种深度伪造人脸图像检测的方法及相关设备
CN113361455B (zh) 人脸鉴伪模型的训练方法、相关装置及计算机程序产品
CN113723215B (zh) 活体检测网络的训练方法、活体检测方法及装置
CN113837217B (zh) 基于深度学习的被动式非视域图像识别方法及识别装置
CN114332982A (zh) 一种人脸识别模型攻击防御方法、装置、设备及存储介质
CN114913607A (zh) 一种基于多特征融合的指静脉仿冒检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination