CN114332982A - 一种人脸识别模型攻击防御方法、装置、设备及存储介质 - Google Patents
一种人脸识别模型攻击防御方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114332982A CN114332982A CN202111445383.XA CN202111445383A CN114332982A CN 114332982 A CN114332982 A CN 114332982A CN 202111445383 A CN202111445383 A CN 202111445383A CN 114332982 A CN114332982 A CN 114332982A
- Authority
- CN
- China
- Prior art keywords
- sample
- original sample
- face recognition
- original
- disturbance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000007123 defense Effects 0.000 title claims abstract description 31
- 238000012549 training Methods 0.000 claims abstract description 23
- 238000013527 convolutional neural network Methods 0.000 claims description 20
- 238000010586 diagram Methods 0.000 claims description 20
- 230000004044 response Effects 0.000 claims description 20
- 238000004422 calculation algorithm Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 239000011159 matrix material Substances 0.000 claims description 6
- 238000009825 accumulation Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 claims description 5
- 230000001815 facial effect Effects 0.000 abstract description 13
- 230000008569 process Effects 0.000 abstract description 13
- 230000000694 effects Effects 0.000 abstract description 6
- 238000013528 artificial neural network Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000010801 machine learning Methods 0.000 description 4
- 230000035945 sensitivity Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 210000001508 eye Anatomy 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000003094 perturbing effect Effects 0.000 description 2
- 210000000697 sensory organ Anatomy 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 210000004709 eyebrow Anatomy 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 210000000214 mouth Anatomy 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 210000001331 nose Anatomy 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 230000036544 posture Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Image Analysis (AREA)
Abstract
本申请公开了一种人脸识别模型攻击防御方法、装置、设备及存储介质,包括:获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本;确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;所述扰动敏感区域为添加扰动后对识别结果影响较大的区域;将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。本申请利用对扰动敏感区域进行遮挡后的真假训练样本训练人脸识别模型,训练后模型在识别过程中最大程度上规避最明显的面部特征以更注重其他区域的特征,达到减小模型识别误差、提高模型识别精度及保证识别安全性的效果。
Description
技术领域
本发明涉及人工智能技术领域,特别涉及一种人脸识别模型攻击防御方法、装置、设备及存储介质。
背景技术
机器学习的广泛应用使得机器学习模型易受攻击的程度变得越来越重要,尤其是广泛用于监控、安防、访问控制、金融验证等的人脸识别系统,其安全容易受到威胁。
作为最重要的计算机视觉任务之一,人脸识别技术基于深度神经网络(CNN)提取人脸特征来实现。深度神经网络在图像分类领域尽管有很高的正确率,但是非常容易受到对抗样本的攻击。例如,在逃逸识别中将危险分子误识别成其他任意一张人脸,绕过人脸识别系统的安全检查。或者将人误判成特定的另一个人,以被系统识别成特定的授权用户,从而被人脸识别系统成功身份验证。此外,同样的图片扰动可以欺骗很多不同的网络分类器。这类算法称为深度学习安全性领域的对抗攻击。这些对抗样本仅有很轻微的扰动,图片看起来肉眼几乎无法区分差别,就可以导致神经网络完全改变它对图片的分类,最终导致人脸识别的结果异常。
因此,如何有效提高人脸识别模型防御对抗攻击的能力是本领域技术人员亟待解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种人脸识别模型攻击防御方法、装置、设备及存储介质,能更有效防御对抗数字攻击,达到减小模型识别误差、提高模型识别精度及保证识别安全性的效果。其具体方案如下:
本申请的第一方面提供了一种人脸识别模型攻击防御方法,包括:
获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本;
确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;其中,所述扰动敏感区域为添加扰动后对识别结果影响较大的区域;
将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。
可选的,所述获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本,包括:
获取包含人脸的所述原始样本,并利用快速梯度符号攻击算法生成与所述原始样本对应的所述对抗样本。
可选的,所述利用快速梯度符号攻击算法生成与所述原始样本对应的所述对抗样本,包括:
对所述原始图像中的人脸局部目标进行提取,并利用所述快速梯度符号攻击算法对提取到的所述人脸局部目标添加干扰噪声生成与所述原始样本对应的所述对抗样本。
可选的,所述确定所述原始样本中的扰动敏感区域,包括:
利用卷积神经网络对所述原始样本进行处理得到与所述原始样本对应的热度图,以基于所述热度图确定出所述原始样本中的所述扰动敏感区域。
可选的,所述利用卷积神经网络对所述原始样本进行处理得到与所述原始样本对应的热度图,包括:
将所述原始样本输入至所述卷积神经网络得到对应的特征图;
对所述特征图进行上采样后与所述原始图像对应矩阵进行点积运算得到第一分数响应,并将所述第一分数响应与所述卷积神经网络对所述原始样本的第二分数响应的响应差值确定为所述特征图的分类权重;
将所述特征图的像素点与其对应的所述分类权重进行乘积运算后利用线性整流函数计算加权和,以得到原始热度图;
将所述原始热力图的像素大小调整至与所述原始样本的像素大小相一致,以得到与所述原始样本对应的所述热度图。
可选的,所述基于所述热度图确定出所述原始样本中的所述扰动敏感区域,包括:
根据热度程度对所述热度图中的热度区域进行划分得到预设数量的区域位置,并将所述区域位置确定为所述扰动敏感区域。
可选的,所述对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理,包括:
按照高斯随机噪声的方式从所述扰动敏感区域中随机确定出相应的所述区域位置以进行遮挡处理,或者对所述扰动敏感区域中的所述区域位置按照累加的方式分别进行遮挡处理。
本申请的第二方面提供了一种人脸识别模型攻击防御装置,包括:
样本获取模块,用于获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本;
遮挡模块,用于确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;其中,所述扰动敏感区域为对添加扰动较为敏感的区域;
防御模块,用于将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。
本申请的第三方面提供了一种电子设备,所述电子设备包括处理器和存储器;其中所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现前述人脸识别模型攻击防御方法。
本申请的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述人脸识别模型攻击防御方法。
本申请中,先获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本;然后确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;其中,所述扰动敏感区域为添加扰动后对识别结果影响较大的区域;最后将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。可见,本申请通过利用对扰动敏感区域进行遮挡后的真假训练样本训练人脸识别模型,使得训练后的人脸识别模型更具鲁棒性、网络架构更加健壮,能更有效防御对抗数字攻击。同时训练后模型在识别过程中最大程度上规避最明显的面部特征以更注重其他区域的特征,达到减小模型识别误差、提高模型识别精度及保证识别安全性的效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种人脸识别模型攻击防御方法流程图;
图2为本申请提供的一种人脸识别模型攻击防御装置结构示意图;
图3为本申请提供的一种人脸识别模型攻击防御电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对人脸识别系统的对抗攻击方法有很多方法,主要可以划分为物理攻击和数字攻击。物理空间的攻击特征在于直接在人脸图像添加眼镜框、口罩、贴纸等扰动且在图像被捕获前修改面部的物理外观,数字攻击为对捕获后的面部图像实现修改,通过添加难以察觉的扰动来误导人脸识别的结果,从而让模型做出分类误判。现有技术中的人脸识别模型无法对数字攻击进行有效抵御,针对上述技术缺陷,本申请提供一种人脸识别模型攻击防御方案,通过利用对扰动敏感区域进行遮挡后的真假训练样本训练人脸识别模型,使得训练后的人脸识别模型更具鲁棒性、网络架构更加健壮,能更有效防御对抗数字攻击。同时训练后模型在识别过程中最大程度上规避最明显的面部特征以更注重其他区域的特征,达到减小模型识别误差、提高模型识别精度及保证识别安全性的效果。
图1为本申请实施例提供的一种人脸识别模型攻击防御方法流程图。参见图1所示,该人脸识别模型攻击防御方法包括:
S11:获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本。
本实施例中,获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本。首先获取包含人脸的所述原始样本,然后利用网络生成新的攻击样本。具体来说,使用现有的CNN神经网络模型,从模型中直接获取第一层的输入作为输入层,最后一层的输出作为输出层,该人脸识别系统成为M。一种是实施例中,给定原始图像和限制条件,输入干净正确原始样本图像X,生成对抗样本Y。假设是正确的原始人脸图像X,由人脸识别系统能够正确分类,对应的真实身份是M(X)=x。其中,样本图像可以表示成3维矩阵,包含宽度x高度x深度,矩阵元素为[0,255]的像素点,x为正确的身份分类信息。另一种实施例中,给定原始图像和限制条件,生成更具策略的局部对抗样本Y,该样本在肉眼感知上与X无法明显的分辨出差异,但是在系统中分类不正确,即M(Y)≠M(X)。本实施例不限定M(Y)会被分类到具体哪个身份上,也即只需将输出的对抗样本Y更改为与原始X不同的任何分类即可。
本实施例适用于深度学习人脸识别系统中的数字攻击的模型抵御,主要针对只改变利用FGSM快速梯度符号攻击方法改变人脸局部五官特征的攻击。因此,可以利用快速梯度符号攻击算法(FGSM,Fast Gradient Sign Method)生成与所述原始样本对应的所述对抗样本。在白盒环境下,通过求出模型对输入X的导数,然后用符号函数得到X具体的梯度方向,乘以一个步长,通过在梯度方向上增加loss增量,使得模型误分类,得到对应的干扰样本Y。为了使得神经网络目标使得模型的loss增大,从而使得M(Y)做出错误分类。
进一步的,本实施例可以对所述原始图像中的人脸局部目标进行提取,并利用所述快速梯度符号攻击算法对提取到的所述人脸局部目标添加干扰噪声生成与所述原始样本对应的所述对抗样本。在保证扰动成功使模型分类错误的前提下,按照不同方式圈定扰动范围和扰动对象。包括扰动输入层(只限定输入层的局部范围)以及扰动隐藏层的某个特征。例如,对干扰样本Y按照五官区域进行划分,以landmark为中心生成小的局部范围进行圈定,包括不限于眉毛、眼睛、鼻子、嘴巴。对X在输入层整体进行步骤的扰动,但是仅保留圈定的局部面积的像素该变量,其他区域复原成原始图像。或者在隐藏层进行扰动对X在网络经过隐藏层提取出的某个重要特征作为输入,求得该特征对应梯度方向的扰动,将扰动噪声增加到整个人脸区域上。上述步骤通过提取出输入人脸图像的特征层和局部五官,分别对局部信息进行攻击,生成各个局部信息对应的攻击样本。局部攻击代替将原有的整体图像生成攻击样本的方法,选出更加有效的攻击,同时攻击样本带来的减少整幅图像的像素点干扰量。
S12:确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;其中,所述扰动敏感区域为添加扰动后对识别结果影响较大的区域。
本实施例中,确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理。其中,所述扰动敏感区域为添加扰动后对识别结果影响较大的区域,也即量化扰动对于原始图像具体哪些像素点的扰动影响最大,将原始图像和对抗样本中这类扰动敏感区域按照一定策略进行部分遮盖。本实施将热力图和模型防御结合起来,首先利用卷积神经网络对所述原始样本进行处理得到与所述原始样本对应的热度图,然后基于所述热度图确定出所述原始样本中的所述扰动敏感区域。根据最后一层卷积层生成热度图,用热度图表征原始图像对于对抗攻击扰动的敏感度,将热度图用于量化模型对于扰动的敏感程度,同时按照一定策略遮蔽掉原始图像和对抗样本图像的部分敏感区域,对数据进行增强。
关于热力图的生成过程,先将所述原始样本输入至所述卷积神经网络得到对应的特征图。将原始图像X输入CNN网络中,在最后一层卷积层输出K层特征图。然后对所述特征图进行上采样后与所述原始图像对应矩阵进行点积运算得到第一分数响应,并将所述第一分数响应与所述卷积神经网络对所述原始样本的第二分数响应的响应差值确定为所述特征图的分类权重。分别对K层特征层上采样后,与原始图像做点乘,使用模型对特征层与原始图像点乘结果图片的响应,与模型对baseline的响应差值,作为每个特征层对分类结果的权重。接着将所述特征图的像素点与其对应的所述分类权重进行乘积运算后利用线性整流函数(Relu)计算加权和,以得到原始热度图。求出所有特征图的权重后,分别将K层特征图的像素点与其自身权重相乘,用Relu求得其加权和,筛选出对正确分类有正影响力的那些像素点及对应位置。最终将生成的映射图resize到原始图像X的尺寸,也即将所述原始热力图的像素大小调整至与所述原始样本的像素大小相一致,以得到与所述原始样本对应的所述热度图。
由此可见,本实施例根据特征层生成热度图的过程中计算各个特征层权重是对现有CAM算法的优化,传统生成热度图的CAM(Class Activation Mapping)算法是各层特征图经过全局平均池化得到每层特征图相应的权重。本实施例结合了各个特征层上采样后,与原始图像做点乘,使用模型对其的响应与模型对baseline的响应差值,作为每个特征层对分类结果的权重。再求出所有特征图的权重后,分别将K层特征图的像素点与其自身权重相乘,用Relu求得其加权和。
热度图可以作为脸部容易决策分类识别的分布图,表示容易受到扰动的敏感程度,扰动对分类检测结果影响最大的区域。关于所述扰动敏感区域的确定过程,先根据热度程度对所述热度图中的热度区域进行划分得到预设数量的区域位置(在热度图前几位的区域),并将所述区域位置确定为所述扰动敏感区域。一方面,按照高斯随机噪声的方式从所述扰动敏感区域中随机确定出相应的所述区域位置以进行遮挡处理。根据热度图的分布,按照一定策略生成高斯随机噪声分布的mask遮掩,也即对于每一个原始图像和对抗样本图像,随机的擦除1~N个区域位置,对原始图像和攻击样本遮蔽对干扰更敏感的区域,完成数据增强。另一方面,对所述扰动敏感区域中的所述区域位置按照累加的方式分别进行遮挡处理。对于每一个原始图像和对抗样本图像,按照面部五官的热度从1逐渐累加到N个区域进行擦除,其中N≤M。
S13:将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。
本实施例中,在对扰动敏感区域进行遮挡后,将mask遮挡的原始人脸图像和mask遮挡的对抗样本图像同时送入CNN网络中训练,使得CNN网络能够挖掘出除了扰动最敏感、最具代表性的区域以外,其他次级区域在攻击下对于分类影响,从而提高模型对该类样本的鲁棒性。也即将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。可以理解,将mask遮蔽的原始图像和mask遮蔽的对抗样本混合输入模型,让模型在训练过程中,不要只聚焦于人脸有限关键代表区域检查是否伪造,允许模型探测到从前被忽视的其他面部区域,也就是对扰动次一级敏感的区域,以抵抗对抗性扰动。本实施例适用于各类主流人脸识别模型结构。
综上所述,对抗样本对实际机器学习构成了潜在的安全威胁,尤其是数字攻击对于深度神经网络的人脸识别系统来说,更是直接影响模型的分类结果。本实施例主要是针对数字攻击方法的模型防御策略,先按照FGSM算法生成对抗样本,但是只保留某个局部关键面部五官特征。针对这类对抗攻击的模型防御方式,主要分为三个阶段。第一阶段:在白盒攻击的威胁模型中,使用FGSM算法生成的错误人脸,一方面可以只用对抗样本的重要五官区域替换原始人脸图像的对应局部五官特征,并保证原始人脸的其他多个属性不变,包括其他面部特征、姿势、灯光阴影、背景灯,另一方面可以用隐藏层提取的特征代替原始输入层作为FGSM的输入,对其梯度方向的进行扰动。第二阶段:将原始干净图像输入CNN网络,计算出图像对应的热度图,也是对扰动敏感程度的图。第三阶段:选取热度图的局部重要区域,生成随机高斯噪声作为mask,覆盖到原始图像和对抗样本图像上,通过增加了mask的对抗样本和干净样本的混合训练网络,进行数据增强,可以对神经网络进行一定程度的正则化,从而提升网络的鲁棒性。具体来说,网络提高鲁棒性的训练方式是规避和遮挡最敏感最容易影响分类结果的面部特征区域,使模型侧重于挖掘之前忽略的区域,从而训练出能够识别这类攻击方法生成的假脸。
可见,本申请实施例先获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本;然后确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;其中,所述扰动敏感区域为添加扰动后对识别结果影响较大的区域;最后将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。本申请实施例通过利用对扰动敏感区域进行遮挡后的真假训练样本训练人脸识别模型,使得训练后的人脸识别模型更具鲁棒性、网络架构更加健壮,能更有效防御对抗数字攻击。同时训练后模型在识别过程中最大程度上规避最明显的面部特征以更注重其他区域的特征,达到减小模型识别误差、提高模型识别精度及保证识别安全性的效果。
参见图2所示,本申请实施例还相应公开了一种人脸识别模型攻击防御装置,包括:
样本获取模块11,用于获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本;
遮挡模块12,用于确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;其中,所述扰动敏感区域为对添加扰动较为敏感的区域;
防御模块13,用于将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。
可见,本申请实施例先获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本;然后确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;其中,所述扰动敏感区域为添加扰动后对识别结果影响较大的区域;最后将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。本申请实施例通过利用对扰动敏感区域进行遮挡后的真假训练样本训练人脸识别模型,使得训练后的人脸识别模型更具鲁棒性、网络架构更加健壮,能更有效防御对抗数字攻击。同时训练后模型在识别过程中最大程度上规避最明显的面部特征以更注重其他区域的特征,达到减小模型识别误差、提高模型识别精度及保证识别安全性的效果。
在一些具体实施例中,所述样本获取11,具体包括:
特征提取单元,用于获取包含人脸的所述原始样本,对所述原始图像中的人脸局部目标进行提取;
样本生成单元,用于利用所述快速梯度符号攻击算法对提取到的所述人脸局部目标添加干扰噪声生成与所述原始样本对应的所述对抗样本。
在一些具体实施例中,所述遮挡模块12,具体包括:
热度图生成子模块,用于利用卷积神经网络对所述原始样本进行处理得到与所述原始样本对应的热度图;
区域确定子模块,用于基于所述热度图确定出所述原始样本中的所述扰动敏感区域;
遮挡子模块,用于对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理。
在一些具体实施例中,所述热度图生成子模块,具体包括:
输入单元,用于将所述原始样本输入至所述卷积神经网络得到对应的特征图;
权重确定单元,用于对所述特征图进行上采样后与所述原始图像对应矩阵进行点积运算得到第一分数响应,并将所述第一分数响应与所述卷积神经网络对所述原始样本的第二分数响应的响应差值确定为所述特征图的分类权重;
加权计算单元,用于将所述特征图的像素点与其对应的所述分类权重进行乘积运算后利用线性整流函数计算加权和,以得到原始热度图。
在一些具体实施例中,所述区域确定子模块,具体用于将所述原始热力图的像素大小调整至与所述原始样本的像素大小相一致,以得到与所述原始样本对应的所述热度图。
在一些具体实施例中,所述遮挡子模块,具体包括:
随机遮挡单元,用于按照高斯随机噪声的方式从所述扰动敏感区域中随机确定出相应的所述区域位置以进行遮挡处理;
累加遮挡单元,用于对所述扰动敏感区域中的所述区域位置按照累加的方式分别进行遮挡处理。
进一步的,本申请实施例还提供了一种电子设备。图3是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图3为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的人脸识别模型攻击防御方法中的相关步骤。另外,本实施例中的电子设备20具体可以为计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222及数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的人脸识别模型攻击防御方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223可以包括电子设备20收集到的样本数据。
进一步的,本申请实施例还公开了一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,实现前述任一实施例公开的人脸识别模型攻击防御方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的人脸识别模型攻击防御方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种人脸识别模型攻击防御方法,其特征在于,包括:
获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本;
确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;其中,所述扰动敏感区域为添加扰动后对识别结果影响较大的区域;
将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。
2.根据权利要求1所述的人脸识别模型攻击防御方法,其特征在于,所述获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本,包括:
获取包含人脸的所述原始样本,并利用快速梯度符号攻击算法生成与所述原始样本对应的所述对抗样本。
3.根据权利要求2所述的人脸识别模型攻击防御方法,其特征在于,所述利用快速梯度符号攻击算法生成与所述原始样本对应的所述对抗样本,包括:
对所述原始图像中的人脸局部目标进行提取,并利用所述快速梯度符号攻击算法对提取到的所述人脸局部目标添加干扰噪声生成与所述原始样本对应的所述对抗样本。
4.根据权利要求1至3任一项所述的人脸识别模型攻击防御方法,其特征在于,所述确定所述原始样本中的扰动敏感区域,包括:
利用卷积神经网络对所述原始样本进行处理得到与所述原始样本对应的热度图,以基于所述热度图确定出所述原始样本中的所述扰动敏感区域。
5.根据权利要求4所述的人脸识别模型攻击防御方法,其特征在于,所述利用卷积神经网络对所述原始样本进行处理得到与所述原始样本对应的热度图,包括:
将所述原始样本输入至所述卷积神经网络得到对应的特征图;
对所述特征图进行上采样后与所述原始图像对应矩阵进行点积运算得到第一分数响应,并将所述第一分数响应与所述卷积神经网络对所述原始样本的第二分数响应的响应差值确定为所述特征图的分类权重;
将所述特征图的像素点与其对应的所述分类权重进行乘积运算后利用线性整流函数计算加权和,以得到原始热度图;
将所述原始热力图的像素大小调整至与所述原始样本的像素大小相一致,以得到与所述原始样本对应的所述热度图。
6.根据权利要求5所述的人脸识别模型攻击防御方法,其特征在于,所述基于所述热度图确定出所述原始样本中的所述扰动敏感区域,包括:
根据热度程度对所述热度图中的热度区域进行划分得到预设数量的区域位置,并将所述区域位置确定为所述扰动敏感区域。
7.根据权利要求6所述的人脸识别模型攻击防御方法,其特征在于,所述对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理,包括:
按照高斯随机噪声的方式从所述扰动敏感区域中随机确定出相应的所述区域位置以进行遮挡处理,或者对所述扰动敏感区域中的所述区域位置按照累加的方式分别进行遮挡处理。
8.一种人脸识别模型攻击防御装置,其特征在于,包括:
样本获取模块,用于获取包含人脸的原始样本和与所述原始样本对应的所述对抗样本;
遮挡模块,用于确定所述原始样本中的扰动敏感区域,并对所述原始样本及所述对抗样本的所述扰动敏感区域进行遮挡处理;其中,所述扰动敏感区域为对添加扰动较为敏感的区域;
防御模块,用于将遮挡处理后的所述原始样本和所述对抗样本输入至人脸识别模型进行模型训练,以利用训练后的所述人脸识别模型进行攻击防御。
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器;其中所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1至7任一项所述的人脸识别模型攻击防御方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述的人脸识别模型攻击防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111445383.XA CN114332982A (zh) | 2021-11-30 | 2021-11-30 | 一种人脸识别模型攻击防御方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111445383.XA CN114332982A (zh) | 2021-11-30 | 2021-11-30 | 一种人脸识别模型攻击防御方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114332982A true CN114332982A (zh) | 2022-04-12 |
Family
ID=81048154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111445383.XA Pending CN114332982A (zh) | 2021-11-30 | 2021-11-30 | 一种人脸识别模型攻击防御方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114332982A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114969728A (zh) * | 2022-06-06 | 2022-08-30 | 北京邮电大学 | 一种基于热力图的神经网络攻击方法 |
-
2021
- 2021-11-30 CN CN202111445383.XA patent/CN114332982A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114969728A (zh) * | 2022-06-06 | 2022-08-30 | 北京邮电大学 | 一种基于热力图的神经网络攻击方法 |
| CN114969728B (zh) * | 2022-06-06 | 2024-06-07 | 北京邮电大学 | 一种基于热力图的神经网络攻击方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110222831B (zh) | 深度学习模型的鲁棒性评估方法、装置及存储介质 | |
| CN111754519B (zh) | 一种基于类激活映射的对抗防御方法 | |
| WO2021144943A1 (ja) | 制御方法、情報処理装置および制御プログラム | |
| CN113515774B (zh) | 基于投影梯度下降法生成对抗样本的隐私保护方法 | |
| CN113919497A (zh) | 针对连续学习能力系统的基于特征操纵的攻击和防御方法 | |
| CN114220097B (zh) | 一种基于对抗攻击的图像语义信息敏感像素域的筛选方法及应用方法与系统 | |
| CN110135446A (zh) | 文本检测方法及计算机存储介质 | |
| CN113254927B (zh) | 一种基于网络防御的模型处理方法、装置及存储介质 | |
| WO2023165616A1 (zh) | 图像模型隐蔽后门的检测方法及系统、存储介质、终端 | |
| CN116311214B (zh) | 车牌识别方法和装置 | |
| CN113343247A (zh) | 生物特征识别对抗样本攻击安全测评方法、系统、装置、处理器及其计算机可读存储介质 | |
| JP2021068056A (ja) | 路上障害物検知装置、路上障害物検知方法、及び路上障害物検知プログラム | |
| CN114332982A (zh) | 一种人脸识别模型攻击防御方法、装置、设备及存储介质 | |
| CN113033305B (zh) | 活体检测方法、装置、终端设备和存储介质 | |
| Hashemi et al. | Runtime monitoring for out-of-distribution detection in object detection neural networks | |
| CN116383814B (zh) | 一种神经网络模型后门检测方法和系统 | |
| Geradts et al. | Interpol review of forensic video analysis, 2019–2022 | |
| CN114021136A (zh) | 针对人工智能模型的后门攻击防御系统 | |
| CN113762053A (zh) | 一种图像处理方法、装置、计算机及可读存储介质 | |
| CN117932457B (zh) | 一种基于错误分类的模型指纹识别方法及系统 | |
| CN113506272B (zh) | 一种虚假视频的检测方法及系统 | |
| US20240202335A1 (en) | Auditing classifier models with adversarially robust xai committees | |
| CN117409183A (zh) | 基于遥感数据的旋转目标检测模型有效性评估方法 | |
| CN115248916A (zh) | 一种基于图特征向量指导的后门模型检测方法 | |
| Rao et al. | TruceNet: A CNN-Based Model for Accurate Classification of DeepFake Images |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |