CN113435264A - 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 - Google Patents

基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 Download PDF

Info

Publication number
CN113435264A
CN113435264A CN202110637646.0A CN202110637646A CN113435264A CN 113435264 A CN113435264 A CN 113435264A CN 202110637646 A CN202110637646 A CN 202110637646A CN 113435264 A CN113435264 A CN 113435264A
Authority
CN
China
Prior art keywords
face
image
face recognition
feature vector
noise
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110637646.0A
Other languages
English (en)
Inventor
顾友良
李观喜
杨子龙
张磊
苏鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Ziweiyun Technology Co ltd
Original Assignee
Guangzhou Ziweiyun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Ziweiyun Technology Co ltd filed Critical Guangzhou Ziweiyun Technology Co ltd
Priority to CN202110637646.0A priority Critical patent/CN113435264A/zh
Publication of CN113435264A publication Critical patent/CN113435264A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于寻找黑盒替代模型的人脸识别对抗攻击方法,针对现有的人脸识别对抗攻击方案,不再使用白盒攻击模式,而是转向更有实际应用价值的黑盒攻击方式,但本方法的黑盒方式是从黑盒到白盒的转化,本质上是针对黑盒为其建立“替代模型”。通过输入图片进入人脸识别模型,只访问其人脸相似度分数,即可攻击成功。另外本方法限制了对抗样本改变像素的区域范围,这样生成的对抗样本改动被限制在一定范围内,而不至于对原图改动过多的像素,以至于肉眼上看不出与原图有太大区别。生成人脸识别对抗样本后,用于人脸识别模型的重新训练,以抵抗其他对抗样本,从而加强数据安全。

Description

基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置
技术领域
本发明涉及人脸识别技术领域,尤其涉及一种基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置。
背景技术
对抗样本现象揭示了机器学习模型尤其是深度学习模型的安全漏洞。而这些安全漏洞,对于数据安全而言有着十分重要的影响。特别是现在门禁机、闸机等多处信息安全的地方,都已集成了人脸识别系统。一旦被对抗样本攻击,后果不堪设想。而让神经网络去学习对抗样本,是一种有效的防范方法。对抗样本需要通过对抗方法获得。对抗方法中最常见的例如FGSM,PGD,C&W等,这些方法都要求获取被攻击模型的全部结构和参数,这种攻击场景被称作白盒攻击。白盒攻击的缺点在于生成的对抗样本不通用,在一个人脸识别模型下生成的对抗样本,有很大可能在另一个人脸识别模型中失效。而且现实场景下,攻击者是很难获取被攻击模型的参数甚至结构的,只能够获取被攻击模型的输入结果。这种攻击场景被称为黑盒攻击。
发明内容
针对现有的人脸识别对抗攻击方案,不再使用白盒攻击模式,而是转向更有实际应用价值的黑盒攻击方式,但本方法的黑盒方式是从黑盒到白盒的转化,本质上是针对黑盒为其建立“替代模型”。通过输入图片进入人脸识别模型,只访问其人脸相似度分数,即可攻击成功。另外本方法限制了对抗样本改变像素的区域范围,这样生成的对抗样本改动被限制在一定范围内,而不至于对原图改动过多的像素,以至于肉眼上看不出与原图有太大区别。生成人脸识别对抗样本后,用于人脸识别模型的重新训练,以抵抗其他对抗样本,从而加强数据安全。
本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明公开了一种基于寻找黑盒替代模型的人脸识别对抗攻击方法,包括如下步骤:
步骤1,针对黑盒方式的人脸识别模型建立替代模型,首先使用MTCNN获取LFW人脸识别数据集上所有人脸的人脸框坐标和n个人脸关键点,对于每一张需要对齐的图片,先设定一个源正脸作为标准的人脸关键点的位置,然后和每一张检测到的人脸关键点进行相似变换,以得到一个变换矩阵M,然后把M作为参数对需要进行对齐的人脸进行仿射变换得到对齐后的人脸图片;
步骤2,随机设定一个与原图同样大小的噪声矩阵,把所述噪声矩阵与原人脸图像进行相加后输入人脸识别模型得到人脸特征向量;
步骤3,计算所述步骤2得到的所述人脸特征向量和原图的人脸特征向量的余弦相似度是否小于设定的阈值,若小于则结束生成对抗样本;否则,使用人脸特征向量和数据集标签计算余弦损失函数,并计算原图与添加噪声后的人脸图片的MSE Loss,把两个损失函数进行相加后进行反向传播更新噪声矩阵,直到添加噪声后的人脸特征向量和原图的人脸特征向量的余弦相似度小于阈值。
更进一步地,将ResNet50、ResNet101以及ResNet152三个卷积神经网络模型分别在人脸识别数据集上进行训练,得到相应的预训练模型,利用模型融合的技术将其作为最终的替代模型。
更进一步地,所述步骤2进一步包括如下步骤:
步骤201,获取每张原图归一化后的数据张量,定义为InputTensor;
步骤202,随机设定一个与原图同样大小的噪声矩阵,值域大小为[0,1],把噪声与原人脸图像进行相加后得到该原图对应的对抗样本;
步骤203,获取每张对抗样本数据张量,定义为AttackInputTensor;
步骤204,将所述InputTensor以及所述AttackInputTensor作为输入,传给黑盒模型进行前向传播分别得到原图的人脸特征向量以及对抗样本的人脸特征向量;
步骤205,利用余弦损失函数以及均方根误差损失函数计算网络损失并进行反向传播,得到InputTensor以及AttackInputTensor张量对应的梯度值;
步骤206,根据损失函数计算出图像对应的梯度后,将每个梯度值进行降序排序,根据设定的百分比数阈值将对应不满足要求的像素点对应的噪声值置零后再进行攻击。
更进一步地,余弦损失函数cos loss为:
Figure BDA0003105515720000021
其中,fx是原图的人脸特征向量,fx′是对抗样本的人脸特征向量。
更进一步地,所述均方根误差损失MSE Loss为:
Figure BDA0003105515720000022
其中,H是图像的高,W是图像的宽,C是图像的通道,x是原人脸图像,a是对抗样本。
本发明进一步公开了一种基于寻找黑盒替代模型的人脸识别对抗攻击的装置,包括:替代模型,针对黑盒方式的人脸识别模型建立替代模型,首先使用MTCNN获取LFW人脸识别数据集上所有人脸的人脸框坐标和n个人脸关键点,对于每一张需要对齐的图片,先设定一个源正脸作为标准的人脸关键点的位置,然后和每一张检测到的人脸关键点进行相似变换,以得到一个变换矩阵M,然后把M作为参数对需要进行对齐的人脸进行仿射变换得到对齐后的人脸图片;噪声设置单元,随机设定一个与原图同样大小的噪声矩阵,把所述噪声矩阵与原人脸图像进行相加后输入人脸识别模型得到人脸特征向量;相似度判断单元,判断计算得到的所述人脸特征向量和原图的人脸特征向量的余弦相似度是否小于设定的阈值,若小于则结束生成对抗样本;否则,使用人脸特征向量和数据集标签计算余弦损失函数,并计算原图与添加噪声后的人脸图片的MSE Loss,把两个损失函数进行相加后进行反向传播更新噪声矩阵,直到添加噪声后的人脸特征向量和原图的人脸特征向量的余弦相似度小于阈值。
更进一步地,所述替代模型进一步包括:将ResNet50、ResNet101以及ResNet152三个卷积神经网络模型分别在人脸识别数据集上进行训练,得到相应的预训练模型,利用模型融合的技术将其作为最终的替代模型。
更进一步地,所述噪声设置单元进一步包括:获取每张原图归一化后的数据张量,定义为InputTensor,随机设定一个与原图同样大小的噪声矩阵,值域大小为[0,1],把噪声与原人脸图像进行相加后得到该原图对应的对抗样本,获取每张对抗样本数据张量,定义为AttackInputTensor,将所述InputTensor以及所述AttackInputTensor作为输入,传给黑盒模型进行前向传播分别得到原图的人脸特征向量以及对抗样本的人脸特征向量,利用余弦损失函数以及均方根误差损失函数计算网络损失并进行反向传播,得到InputTensor以及AttackInputTensor张量对应的梯度值,根据损失函数计算出图像对应的梯度后,将每个梯度值进行降序排序,根据设定的百分比数阈值将对应不满足要求的像素点对应的噪声值置零后再进行攻击。
更进一步地,余弦损失函数cos loss为:
Figure BDA0003105515720000031
其中,fx是原图的人脸特征向量,fx′是对抗样本的人脸特征向量。
更进一步地,所述均方根误差损失MSE Loss为:
Figure BDA0003105515720000041
其中,H是图像的高,W是图像的宽,C是图像的通道,x是原人脸图像,a是对抗样本。
本发明与现有技术相比,有益效果为:本方法的黑盒方式是从黑盒到白盒的转化,本质上是针对黑盒为其建立“替代模型”。通过输入图片进入人脸识别模型,只访问其人脸相似度分数,即可攻击成功。另外本方法限制了对抗样本改变像素的区域范围,这样生成的对抗样本改动被限制在一定范围内,而不至于对原图改动过多的像素,以至于肉眼上看不出与原图有太大区别。生成人脸识别对抗样本后,用于人脸识别模型的重新训练,以抵抗其他对抗样本,从而加强数据安全。
附图说明
从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制,而是将重点放在示出实施例的原理上。在图中,在不同的视图中,相同的附图标记指定对应的部分。
图1为本发明逻辑流程示意图。
具体实施方式
实施例一
如权利要求1所示,本实施例分为两个过程:使用MTCNN在LFW数据集对所有人脸进行人脸对齐并改变大小为128x128。之后使用对抗算法要求对抗样本要与该身份下所有人脸图像都有较大的余弦距离。
第一,为了方便后续对抗算法的操作,首先使用MTCNN获取LFW人脸识别数据集上所有人脸的人脸框坐标和5个人脸关键点。对于每一张需要对齐的图片,先设定一个源正脸作为标准的人脸关键点的位置,然后和每一张检测到的人脸关键点进行相似变换,这样就得到一个变换矩阵M,然后把M作为参数对需要进行对齐的人脸进行仿射变换得到对齐后的人脸图片。
第二,由于人脸识别是比对不同人脸特征的相似度,所以需要增大对抗样本与原图的相似度距离,这里,即降低对抗样本与原图的余弦相似度。首先,随机设定一个与原图同样大小的噪声矩阵,大小为0-1,把噪声与原人脸图像进行相加后输入人脸识别模型得到人脸特征向量。计算此人脸特征向量和原图的人脸特征向量的余弦相似度是否小于设定的阈值,若小于则结束生成对抗样本。否则,使用人脸特征向量和数据集标签计算余弦损失函数,并计算原图与添加噪声后的人脸图片的MSE Loss,把两个损失函数进行相加后进行反向传播更新噪声矩阵,直到添加噪声后的人脸特征向量和原图的人脸特征向量的余弦相似度小于阈值。
模型选择:因为本方法黑盒方式是从白盒到黑盒的转化,需要针对黑盒方式的人脸识别模型建立其“替代模型”。同时该“替代模型”具有网络识别能力强、精度高、易训练等特点。结合当前人脸识别主流框架主干网络发展现状,选择了将ResNet101卷积神经网络作为“替代模型”的主干网络。同时为了进一步提高“替代模型”的精度以及鲁棒性,选择ResNet101的同时结合ResNet50以及ResNet152两个卷积神经网络利用模型融合的技术。将上述ResNet50、ResNet101以及ResNet152三个卷积神经网络模型分别在人脸识别数据集上进行训练,得到相应的预训练模型,利用模型融合的技术将其作为最终的“替代模型”。
噪声作用域限制。为了降低扰动,本方法对噪声在原图上的作用范围做了限制,而不至于对原图改动过多的像素。主要流程为:
①获取每张原图归一化后的数据张量,定义为InputTensor;
②随机设定一个与原图同样大小的噪声矩阵,值域大小为[0,1],把噪声与原人脸图像进行相加后得到该原图对应的对抗样本;
③获取每张对抗样本数据张量,定义为AttackInputTensor;
④将InputTensor以及AttackInputTensor作为输入,传给黑盒模型进行前向传播分别得到原图的人脸特征向量以及对抗样本的人脸特征向量;
⑤利用余弦损失函数以及均方根误差损失函数计算网络损失并进行反向传播,得到InputTensor以及AttackInputTensor张量对应的梯度值;
⑥根据损失函数计算出图像对应的梯度后,将每个梯度值进行降序排序,根据设定的百分比数阈值将对应不满足要求的像素点对应的噪声值置零后再进行攻击。
余弦相似度/余弦损失函数cos loss,其中fx是原图的人脸特征向量,fx′是对抗样本的人脸特征向量:
Figure BDA0003105515720000051
均方根误差损失MSE Loss:其中,H是图像的高,W是图像的宽,C是图像的通道,x是原人脸图像,a是对抗样本:
Figure BDA0003105515720000061
本实施例中,随机设定一个与原图同样大小的噪声矩阵,把噪声与原人脸图像进行相加后输入人脸识别模型得到人脸特征向量。计算此人脸特征向量和原图的人脸特征向量的余弦相似度是否小于设定的阈值,若小于则结束生成对抗样本。否则更新噪声矩阵。生成的对抗样本可用于后续的对抗训练,以加强人脸识别数据安全。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
虽然上面已经参考各种实施例描述了本发明,但是应当理解,在不脱离本发明的范围的情况下,可以进行许多改变和修改。因此,其旨在上述详细描述被认为是例示性的而非限制性的,并且应当理解,以下权利要求(包括所有等同物)旨在限定本发明的精神和范围。以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (10)

1.一种基于寻找黑盒替代模型的人脸识别对抗攻击方法,其特征在于,包括如下步骤:
步骤1,针对黑盒方式的人脸识别模型建立替代模型,首先使用MTCNN获取LFW人脸识别数据集上所有人脸的人脸框坐标和n个人脸关键点,对于每一张需要对齐的图片,先设定一个源正脸作为标准的人脸关键点的位置,然后和每一张检测到的人脸关键点进行相似变换,以得到一个变换矩阵M,然后把M作为参数对需要进行对齐的人脸进行仿射变换得到对齐后的人脸图片;
步骤2,随机设定一个与原图同样大小的噪声矩阵,把所述噪声矩阵与原人脸图像进行相加后输入人脸识别模型得到人脸特征向量;
步骤3,计算所述步骤2得到的所述人脸特征向量和原图的人脸特征向量的余弦相似度是否小于设定的阈值,若小于则结束生成对抗样本;否则,使用人脸特征向量和数据集标签计算余弦损失函数,并计算原图与添加噪声后的人脸图片的MSE Loss,把两个损失函数进行相加后进行反向传播更新噪声矩阵,直到添加噪声后的人脸特征向量和原图的人脸特征向量的余弦相似度小于阈值。
2.如权利要求1所述的一种基于寻找黑盒替代模型的人脸识别对抗攻击方法,其特征在于,将ResNet50、ResNet101以及ResNet152三个卷积神经网络模型分别在人脸识别数据集上进行训练,得到相应的预训练模型,利用模型融合的技术将其作为最终的替代模型。
3.如权利要求2所述的一种基于寻找黑盒替代模型的人脸识别对抗攻击方法,其特征在于,所述步骤2进一步包括如下步骤:
步骤201,获取每张原图归一化后的数据张量,定义为InputTensor;
步骤202,随机设定一个与原图同样大小的噪声矩阵,值域大小为[0,1],把噪声与原人脸图像进行相加后得到该原图对应的对抗样本;
步骤203,获取每张对抗样本数据张量,定义为AttackInputTensor;
步骤204,将所述InputTensor以及所述AttackInputTensor作为输入,传给黑盒模型进行前向传播分别得到原图的人脸特征向量以及对抗样本的人脸特征向量;
步骤205,利用余弦损失函数以及均方根误差损失函数计算网络损失并进行反向传播,得到InputTensor以及AttackInputTensor张量对应的梯度值;
步骤206,根据损失函数计算出图像对应的梯度后,将每个梯度值进行降序排序,根据设定的百分比数阈值将对应不满足要求的像素点对应的噪声值置零后再进行攻击。
4.如权利要求3所述的一种基于寻找黑盒替代模型的人脸识别对抗攻击方法,其特征在于,余弦损失函数cos loss为:
Figure FDA0003105515710000021
其中,fx是原图的人脸特征向量,fx′是对抗样本的人脸特征向量。
5.如权利要求4所述的一种基于寻找黑盒替代模型的人脸识别对抗攻击方法,其特征在于,所述均方根误差损失MSE Loss为:
Figure FDA0003105515710000022
其中,H是图像的高,W是图像的宽,C是图像的通道,x是原人脸图像,a是对抗样本。
6.一种基于寻找黑盒替代模型的人脸识别对抗攻击的装置,其特征在于,包括:替代模型,针对黑盒方式的人脸识别模型建立替代模型,首先使用MTCNN获取LFW人脸识别数据集上所有人脸的人脸框坐标和n个人脸关键点,对于每一张需要对齐的图片,先设定一个源正脸作为标准的人脸关键点的位置,然后和每一张检测到的人脸关键点进行相似变换,以得到一个变换矩阵M,然后把M作为参数对需要进行对齐的人脸进行仿射变换得到对齐后的人脸图片;噪声设置单元,随机设定一个与原图同样大小的噪声矩阵,把所述噪声矩阵与原人脸图像进行相加后输入人脸识别模型得到人脸特征向量;相似度判断单元,判断计算得到的所述人脸特征向量和原图的人脸特征向量的余弦相似度是否小于设定的阈值,若小于则结束生成对抗样本;否则,使用人脸特征向量和数据集标签计算余弦损失函数,并计算原图与添加噪声后的人脸图片的MSE Loss,把两个损失函数进行相加后进行反向传播更新噪声矩阵,直到添加噪声后的人脸特征向量和原图的人脸特征向量的余弦相似度小于阈值。
7.如权利要求6所述的一种基于寻找黑盒替代模型的人脸识别对抗攻击的装置,其特征在于,所述替代模型进一步包括:将ResNet50、ResNet101以及ResNet152三个卷积神经网络模型分别在人脸识别数据集上进行训练,得到相应的预训练模型,利用模型融合的技术将其作为最终的替代模型。
8.如权利要求7所述的一种基于寻找黑盒替代模型的人脸识别对抗攻击的装置,其特征在于,所述噪声设置单元进一步包括:获取每张原图归一化后的数据张量,定义为InputTensor,随机设定一个与原图同样大小的噪声矩阵,值域大小为[0,1],把噪声与原人脸图像进行相加后得到该原图对应的对抗样本,获取每张对抗样本数据张量,定义为AttackInputTensor,将所述InputTensor以及所述AttackInputTensor作为输入,传给黑盒模型进行前向传播分别得到原图的人脸特征向量以及对抗样本的人脸特征向量,利用余弦损失函数以及均方根误差损失函数计算网络损失并进行反向传播,得到InputTensor以及AttackInputTensor张量对应的梯度值,根据损失函数计算出图像对应的梯度后,将每个梯度值进行降序排序,根据设定的百分比数阈值将对应不满足要求的像素点对应的噪声值置零后再进行攻击。
9.如权利要求8所述的一种基于寻找黑盒替代模型的人脸识别对抗攻击的装置,其特征在于,余弦损失函数cos loss为:
Figure FDA0003105515710000031
其中,fx是原图的人脸特征向量,fx′是对抗样本的人脸特征向量。
10.如权利要求9所述的一种基于寻找黑盒替代模型的人脸识别对抗攻击的装置,其特征在于,所述均方根误差损失MSE Loss为:
Figure FDA0003105515710000032
其中,H是图像的高,W是图像的宽,C是图像的通道,x是原人脸图像,a是对抗样本。
CN202110637646.0A 2021-06-08 2021-06-08 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 Pending CN113435264A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110637646.0A CN113435264A (zh) 2021-06-08 2021-06-08 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110637646.0A CN113435264A (zh) 2021-06-08 2021-06-08 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置

Publications (1)

Publication Number Publication Date
CN113435264A true CN113435264A (zh) 2021-09-24

Family

ID=77803911

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110637646.0A Pending CN113435264A (zh) 2021-06-08 2021-06-08 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置

Country Status (1)

Country Link
CN (1) CN113435264A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114626042A (zh) * 2022-03-18 2022-06-14 杭州师范大学 一种人脸验证攻击方法和装置
CN115481719A (zh) * 2022-09-20 2022-12-16 宁波大学 一种防御基于梯度的对抗攻击的方法
CN116259098A (zh) * 2023-05-10 2023-06-13 南京理工大学 基于特征注意力的迁移性人脸识别对抗攻击方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108960186A (zh) * 2018-07-20 2018-12-07 南京开为网络科技有限公司 一种基于人脸的广告机用户识别方法
CN110245598A (zh) * 2019-06-06 2019-09-17 北京瑞莱智慧科技有限公司 对抗样本生成方法、装置、介质和计算设备
CN110633655A (zh) * 2019-08-29 2019-12-31 河南中原大数据研究院有限公司 一种attention-attack人脸识别攻击算法
US20210089866A1 (en) * 2019-09-24 2021-03-25 Robert Bosch Gmbh Efficient black box adversarial attacks exploiting input data structure
CN112766430A (zh) * 2021-01-08 2021-05-07 广州紫为云科技有限公司 基于黑盒通用人脸检测对抗攻击的方法、装置及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108960186A (zh) * 2018-07-20 2018-12-07 南京开为网络科技有限公司 一种基于人脸的广告机用户识别方法
CN110245598A (zh) * 2019-06-06 2019-09-17 北京瑞莱智慧科技有限公司 对抗样本生成方法、装置、介质和计算设备
CN110633655A (zh) * 2019-08-29 2019-12-31 河南中原大数据研究院有限公司 一种attention-attack人脸识别攻击算法
US20210089866A1 (en) * 2019-09-24 2021-03-25 Robert Bosch Gmbh Efficient black box adversarial attacks exploiting input data structure
CN112766430A (zh) * 2021-01-08 2021-05-07 广州紫为云科技有限公司 基于黑盒通用人脸检测对抗攻击的方法、装置及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
COGGLE数据科学: ""竞赛总结:安全AI之人脸识别对抗"", 《HTTPS://MP.WEIXIN.QQ.COM/S/6SS5OVIRTOFS79ZBJMLAXQ》, 28 September 2020 (2020-09-28), pages 1 - 13 *
黄少罗: "《MATLAB 2020图形与图像处理从入门到精通》", 机械工业出版社, pages: 267 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114626042A (zh) * 2022-03-18 2022-06-14 杭州师范大学 一种人脸验证攻击方法和装置
CN115481719A (zh) * 2022-09-20 2022-12-16 宁波大学 一种防御基于梯度的对抗攻击的方法
CN115481719B (zh) * 2022-09-20 2023-09-15 宁波大学 一种防御基于梯度的对抗攻击的方法
CN116259098A (zh) * 2023-05-10 2023-06-13 南京理工大学 基于特征注意力的迁移性人脸识别对抗攻击方法及装置

Similar Documents

Publication Publication Date Title
Tang et al. CNN-based adversarial embedding for image steganography
CN111709409B (zh) 人脸活体检测方法、装置、设备及介质
CN109948658B (zh) 面向特征图注意力机制的对抗攻击防御方法及应用
CN111340214B (zh) 对抗攻击模型的训练方法及装置
Athalye et al. Synthesizing robust adversarial examples
Mai et al. On the reconstruction of face images from deep face templates
CN112364745B (zh) 一种对抗样本的生成方法、装置及电子设备
CN110941794B (zh) 一种基于通用逆扰动防御矩阵的对抗攻击防御方法
CN111475797B (zh) 一种对抗图像生成方法、装置、设备以及可读存储介质
CN113435264A (zh) 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置
CN110348475B (zh) 一种基于空间变换的对抗样本增强方法和模型
JP7140317B2 (ja) 原本データとマークデータとを合成してマーキング済みデータを生成するデータエンベディングネットワークを学習する方法、及びテストする方法、並びに、それを利用した学習装置
Liu et al. Adversaries or allies? Privacy and deep learning in big data era
CN113254927B (zh) 一种基于网络防御的模型处理方法、装置及存储介质
WO2023093346A1 (zh) 基于外源特征进行模型所有权验证的方法和装置
CN113935396A (zh) 基于流形理论的对抗样本攻击方法及相关装置
CN113255526B (zh) 基于动量的对人群计数模型的对抗样本生成方法及系统
Dhruva et al. Novel algorithm for image processing based hand gesture recognition and its application in security
CN113222480A (zh) 对抗样本生成模型的训练方法及装置
CN116978096A (zh) 一种基于生成对抗网络的人脸对抗攻击方法
Wang et al. Adversarial attack on fake-faces detectors under white and black box scenarios
CN115510986A (zh) 一种基于AdvGAN的对抗样本生成方法
CN114693973A (zh) 一种基于Transformer模型的黑盒对抗样本生成方法
CN114638356A (zh) 一种静态权重引导的深度神经网络后门检测方法及系统
Luo et al. Defective Convolutional Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210924