CN116071797A - 一种基于自编码器的稀疏人脸比对对抗样本生成方法 - Google Patents
一种基于自编码器的稀疏人脸比对对抗样本生成方法 Download PDFInfo
- Publication number
- CN116071797A CN116071797A CN202211712389.3A CN202211712389A CN116071797A CN 116071797 A CN116071797 A CN 116071797A CN 202211712389 A CN202211712389 A CN 202211712389A CN 116071797 A CN116071797 A CN 116071797A
- Authority
- CN
- China
- Prior art keywords
- attack
- model
- sample
- sample generation
- disturbance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
- G06V40/16—Human faces, e.g. facial parts, sketches or expressions
- G06V40/172—Classification, e.g. identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/77—Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
- G06V10/774—Generating sets of training patterns; Bootstrap methods, e.g. bagging or boosting
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Oral & Maxillofacial Surgery (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明提出了一种基于自编码器的稀疏人脸比对对抗样本生成方法,构建了躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型,模型中包括编码器和两个解码器,第一解码器用来生成全局性扰动,第二解码器用来控制保留扰动像素位置;最后根据输入样本状态,自适应选择躲避攻击对抗样本生成模型或者假冒攻击对抗样本生成模型,生成对应的对抗样本;在输入图像生成对抗样本之前,先利用目标模型进行是否为同一人判定,如果为同一人则进行躲避攻击,否则进行假冒攻击,输入到对应的对抗样本生成模型中,进而生成对应的对抗样本。
Description
技术领域
本发明属于人脸比对对抗攻击技术领域,具体涉及一种基于自编码器的稀疏人脸比对对抗样本生成方法。
背景技术
近年来,随着人工智能领域的不断发展,人们的日常工作生活也发生了翻天覆地的变化,AI技术渗透到各行各业当中。其中人脸比对技术是目前应用场景最广、技术水平最为成熟的技术之一,已经大规模落地应用到人们的日常生活中,如身份验证、卡证校验、刷脸支付、门卫闸机等。但是在大规模商业应用的同时,也面临非常大的安全挑战,通过对输入图像添加人眼不可见的细微对抗性扰动,进而干扰目标人脸比对模型输出错误识别结果,称为对抗样本生成。
人脸比对对抗攻击方法可以根据攻击目标的不同分为躲避攻击和假冒攻击两种。躲避攻击指的是,通过对原始图像添加对抗性扰动,使得原本目标模型能够识别为同一人的原始人脸图像和目标人脸图像识别为非同一人。假冒攻击指的是,通过对原始图像添加对抗性扰动,使得原本目标模型能够识别为非同一人的原始人脸图像和目标人脸图像识别为同一人。目前现有的攻击方法可大致分为基于梯度的方法和基于生成式模型的方法两类。根据改动像素多少的计算方法可以分为L0、L2、L∞范数攻击三种,其中L0范数攻击为修改固定像素个数攻击,可以限定修改像素个数,人眼更加难以察觉,改动像素生成位置的掩码矩阵为稀疏矩阵,因此也可以称为稀疏攻击方法。
现有的基于L0范数的人脸比对稀疏攻击方法中,过度依赖于目标模型对于当前输入图像映射到深度人脸特征的梯度信息,常常会导致过拟合,同时基于生成式模型的方法的稀疏梯度更新也是一个现实问题。
发明内容
本发明的目的是解决现有的基于L0范数的稀疏人脸比对对抗攻击方法容易出现对目标模型过拟合、在黑盒迁移攻击情景中攻击能力差的问题,提出了一种基于自编码器的稀疏人脸比对对抗样本生成方法,同时本发明提供了躲避攻击和假冒攻击两种攻击方式的生成方法构建,能够适应不同攻击场景下的对抗样本生成。
本发明是通过以下技术方案实现的:
一种基于自编码器的稀疏人脸比对对抗样本生成方法,包括以下步骤:
步骤1,构建躲避攻击对抗样本生成模型;
躲避攻击对抗样本生成模型包括编码器和两个解码器,将原始人脸图像样本输入到编码器中,得到深度特征,再同时经过两个解码器,其中第一解码器的输出进行非线性映射输出到[-eps,+eps]之间,其中eps代表最大扰动数值,从而生成全局性扰动数据;第二解码器的输出映射到[0,1]之间,得到概率矩阵,然后再经过二值化操作映射成0,1编码,得到掩码矩阵,该掩码矩阵保留限定扰动区间范围内的像素扰动情况,在二值化时引入随机量化算子,当X=1时进行二值量化,X=0时保留原有值,X是指一个概率,X服从伯努利分布;最后将第一解码器得到的全局性扰动数据和第二解码器得到的掩码矩阵进行点乘操作,得到稀疏扰动,再将稀疏扰动附加到原始输入人脸图像上并将输出进行阈值限定;
步骤2,构建假冒攻击对抗样本生成模型;
假冒攻击对抗样本生成模型也包括编码器和两个解码器,先将原始人脸图像样本和目标人脸图像样本进行拼接融合,输入到编码器中,得到深度特征;然后再同时经过两个解码器,其中,第一解码器的输出进行非线性映射输出到[-eps,+eps]之间,其中eps代表最大扰动数值,从而生成全局性扰动数据;第二解码器的输出映射到[0,1]之间,得到概率矩阵,然后再经过二值化操作映射成0,1编码,得到掩码矩阵,该掩码矩阵保留限定扰动区间范围内的像素扰动情况,在二值化时引入随机量化算子,当X=1时进行二值量化,X=0时保留原有值,X是指一个概率,X服从伯努利分布;最后将第一解码器得到的全局性扰动数据和第二解码器得到的掩码矩阵进行点乘操作,得到稀疏扰动,再将稀疏扰动附加到原始输入人脸图像上并将输出进行阈值限定;
步骤3,根据输入样本状态,自适应选择躲避攻击对抗样本生成模型或者假冒攻击对抗样本生成模型,生成对应的对抗样本;在输入图像生成对抗样本之前,先利用目标模型进行是否为同一人判定,如果为同一人则进行躲避攻击,否则进行假冒攻击,输入到对应的对抗样本生成模型中,进而生成对应的对抗样本。
在上述技术方案中,步骤1的躲避攻击对抗样本生成模型和步骤2的假冒攻击对抗样本生成模型,需要进行训练,在训练过程中,需要在生成对抗样本后,输入人脸识别的目标模型,通过目标模型提取深度特征,计算损失函数,根据损失函数计算情况不断更新躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型中的编码器和解码器参数,直至损失值满足设定要求。
在上述技术方案中,躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型的损失函数均由三部分构成,分别为生成损失、识别损失和二值化损失。
在上述技术方案中,躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型的生成损失指的是随机采样带来的损失。
在上述技术方案中,躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型的二值化损失指的是二值化带来的损失。
在上述技术方案中,躲避攻击对抗样本生成模型的识别损失函数为:
Loss(feat_adv1,feat_input)=Cosine(feat_adv1,feat_input)
feat_adv1代表由目标模型提取出来的躲避攻击对抗样本生成模型生成的对抗样本的特征,feat_input代表由目标模型提取出来的躲避攻击对抗样本生成模型的输入样本的特征,Cosine代表余弦距离。
在上述技术方案中,假冒攻击对抗样本生成模型的识别损失函数为:
Loss(feat_adv2,,feat_target)=1.0–(Cosine(feat_adv2,feat_target)+1.0)/2.0
feat_adv2代表由目标模型提取出来的假冒攻击对抗样本生成模型生成的对抗样本的特征,feat_target代表由目标模型提取出来的假冒攻击对抗样本生成模型输入的目标样本的特征;Cosine代表余弦距离。
本发明的优点和有益效果为:
本发明主要用来解决人脸识别L0对抗攻击算法产生的对抗样本在黑盒迁移攻击的弱攻击能力问题,通过基于生成式模型来进行对抗样本生成,来提升对抗攻击的迁移能力。选用FaceNet、SphereFace、ArcFace等5种常用人脸识别模型作为目标模型和迁移攻击目标模型,结果表明,利用其中任一模型作为目标模型产生的对抗样本,在其他模型上同样具备攻击能力,攻击成功率均在60%以上,迁移能力优于现有L0攻击对抗样本生成方法。
附图说明
图1为躲避攻击算法架构图。
图2为假冒攻击算法架构图。
图3为自适应目标攻击流程图。
对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,可以根据以上附图获得其他的相关附图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合具体实施例进一步说明本发明的技术方案。
一种基于自编码器的稀疏人脸比对对抗样本生成方法,包括以下步骤:
步骤1,构建躲避攻击对抗样本生成模型。
参见附图1,躲避攻击对抗样本生成模型包括编码器和两个解码器,将原始人脸图像样本输入到编码器中,得到深度特征,再同时经过两个解码器,第一解码器用来生成全局性扰动,第二解码器用来控制保留扰动像素位置;具体的讲:所述第一解码器的输出进行非线性映射输出到[-eps,+eps]之间,其中eps代表最大扰动数值,从而生成全局性扰动数据;所述第二解码器的输出映射到[0,1]之间,得到概率矩阵;然后再经过二值化操作映射成0,1编码,得到掩码矩阵,该掩码矩阵保留限定扰动区间范围内的像素扰动情况,具体的讲,本发明为了实现反向传播,在二值化时引入随机量化算子,当X=1时进行二值量化,X=0时保留原有值,X是指一个概率,X服从伯努利分布;最后将第一解码器得到的全局性扰动数据和第二解码器得到的掩码矩阵进行点乘操作,得到稀疏扰动,再将稀疏扰动附加到原始输入人脸图像上并将输出进行阈值限定,至此,躲避攻击对抗样本生成完成。
步骤2,构建假冒攻击对抗样本生成模型。
参见附图2,假冒攻击对抗样本生成模型也包括编码器和两个解码器,与躲避攻击不同的是,假冒攻击需要将待假冒的目标人脸图像输入作为先验信息,因此需要先将原始人脸图像样本和目标人脸图像样本进行拼接融合,输入到编码器中,得到深度特征;然后再同时经过两个解码器,其中,第一解码器的输出进行非线性映射输出到[-eps,+eps]之间,其中eps代表最大扰动数值,从而生成全局性扰动数据;第二解码器的输出映射到[0,1]之间,得到概率矩阵;然后再经过二值化操作映射成0,1编码,得到掩码矩阵,该掩码矩阵保留限定扰动区间范围内的像素扰动情况,具体的讲,本发明为了实现反向传播,在二值化时引入随机量化算子,当X=1时进行二值量化,X=0时保留原有值,X是指一个概率,X服从伯努利分布;最后将第一解码器得到的全局性扰动数据和第二解码器得到的掩码矩阵进行点乘操作,得到稀疏扰动,再将稀疏扰动附加到原始输入人脸图像上并将输出进行阈值限定,至此,假冒攻击对抗样本生成完成。
步骤3,根据输入样本状态,自适应选择躲避攻击对抗样本生成模型或者假冒攻击对抗样本生成模型,生成对应的对抗样本。
参见附图3,为了能够实现根据输入样本状态进行自适应目标攻击选择生成对应的对抗样本,在输入图像生成对抗样本之前,先利用目标模型进行是否为同一人判定,如果为同一人则进行躲避攻击,否则进行假冒攻击,输入到对应的对抗样本生成模型中,进而生成对应的对抗样本。
需要说明的是,步骤1的躲避攻击对抗样本生成模型和步骤2的假冒攻击对抗样本生成模型,需要进行训练。在训练过程中,需要在生成对抗样本后,输入人脸识别的目标模型(例如FaceNet人脸识别模型、SphereFace人脸识别模型、ArcFace人脸识别模型等),通过目标模型提取深度特征,计算损失函数,根据损失函数计算情况不断更新躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型中的编码器和解码器参数,直至损失值满足设定要求。
具体的讲,躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型的损失函数均由三部分构成,分别为生成损失、识别损失和二值化损失。其中生成损失和二值化损失在躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型下是相同的,其中,生成损失指的是随机采样带来的损失,二值化损失指的是二值化带来的损失;而所述识别损失在躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型下是不同的,定义如下:
躲避攻击对抗样本生成模型的识别损失函数:
Loss(feat_adv1,feat_input)=Cosine(feat_adv1,feat_input)
假冒攻击对抗样本生成模型的识别损失函数:
Loss(feat_adv2,feat_target)=1.0–(Cosine(feat_adv2,feat_target)+1.0)/2.0
其中Cosine代表余弦距离,定义如下:
feat_adv1代表由目标模型提取出来的躲避攻击对抗样本生成模型生成的对抗样本的特征,feat_input代表由目标模型提取出来的躲避攻击对抗样本生成模型的输入样本的特征;feat_adv2代表由目标模型提取出来的假冒攻击对抗样本生成模型生成的对抗样本的特征,feat_target代表由目标模型提取出来的假冒攻击对抗样本生成模型输入的目标样本的特征;x和y为两个人脸实例的特征输入,xi和yi为对应的特征分量。
最后,由生成损失、识别损失和二值化损失构成的综合损失函数如下:
loss=α·Lgen+β·Lbin+γ·Lrec
式中,Lgen代表生成损失,Lbin代表二值化损失,Lrec代表识别损失,α、β、γ分别为调和系数权重。
以上对本发明做了示例性的描述,应该说明的是,在不脱离本发明的核心的情况下,任何简单的变形、修改或者其他本领域技术人员能够不花费创造性劳动的等同替换均落入本发明的保护范围。
Claims (7)
1.一种基于自编码器的稀疏人脸比对对抗样本生成方法,其特征在于,包括以下步骤:
步骤1,构建躲避攻击对抗样本生成模型;
躲避攻击对抗样本生成模型包括编码器和两个解码器,将原始人脸图像样本输入到编码器中,得到深度特征,再同时经过两个解码器,其中第一解码器的输出进行非线性映射输出到[-eps,+eps]之间,其中eps代表最大扰动数值,从而生成全局性扰动数据;第二解码器的输出映射到[0,1]之间,得到概率矩阵,然后再经过二值化操作映射成0,1编码,得到掩码矩阵,该掩码矩阵保留限定扰动区间范围内的像素扰动情况,在二值化时引入随机量化算子,当X=1时进行二值量化,X=0时保留原有值,X是指一个概率,X服从伯努利分布;最后将第一解码器得到的全局性扰动数据和第二解码器得到的掩码矩阵进行点乘操作,得到稀疏扰动,再将稀疏扰动附加到原始输入人脸图像上并将输出进行阈值限定;
步骤2,构建假冒攻击对抗样本生成模型;
假冒攻击对抗样本生成模型也包括编码器和两个解码器,先将原始人脸图像样本和目标人脸图像样本进行拼接融合,输入到编码器中,得到深度特征;然后再同时经过两个解码器,其中,第一解码器的输出进行非线性映射输出到[-eps,+eps]之间,其中eps代表最大扰动数值,从而生成全局性扰动数据;第二解码器的输出映射到[0,1]之间,得到概率矩阵,然后再经过二值化操作映射成0,1编码,得到掩码矩阵,该掩码矩阵保留限定扰动区间范围内的像素扰动情况,在二值化时引入随机量化算子,当X=1时进行二值量化,X=0时保留原有值,X是指一个概率,X服从伯努利分布;最后将第一解码器得到的全局性扰动数据和第二解码器得到的掩码矩阵进行点乘操作,得到稀疏扰动,再将稀疏扰动附加到原始输入人脸图像上并将输出进行阈值限定;
步骤3,根据输入样本状态,自适应选择躲避攻击对抗样本生成模型或者假冒攻击对抗样本生成模型,生成对应的对抗样本;在输入图像生成对抗样本之前,先利用目标模型进行是否为同一人判定,如果为同一人则进行躲避攻击,否则进行假冒攻击,输入到对应的对抗样本生成模型中,进而生成对应的对抗样本。
2.根据权利要求1所述的基于自编码器的稀疏人脸比对对抗样本生成方法,其特征在于:步骤1的躲避攻击对抗样本生成模型和步骤2的假冒攻击对抗样本生成模型,需要进行训练,在训练过程中,需要在生成对抗样本后,输入人脸识别的目标模型,通过目标模型提取深度特征,计算损失函数,根据损失函数计算情况不断更新躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型中的编码器和解码器参数,直至损失值满足设定要求。
3.根据权利要求1所述的基于自编码器的稀疏人脸比对对抗样本生成方法,其特征在于:躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型的损失函数均由三部分构成,分别为生成损失、识别损失和二值化损失。
4.根据权利要求3所述的基于自编码器的稀疏人脸比对对抗样本生成方法,其特征在于:躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型的生成损失指的是随机采样带来的损失。
5.根据权利要求3所述的基于自编码器的稀疏人脸比对对抗样本生成方法,其特征在于:躲避攻击对抗样本生成模型和假冒攻击对抗样本生成模型的二值化损失指的是二值化带来的损失。
6.根据权利要求3所述的基于自编码器的稀疏人脸比对对抗样本生成方法,其特征在于:躲避攻击对抗样本生成模型的识别损失函数为:
Loss(feat_adv1,feat_input)=Cosine(feat_adv1,feat_input)
feat_adv1代表由目标模型提取出来的躲避攻击对抗样本生成模型生成的对抗样本的特征,feat_input代表由目标模型提取出来的躲避攻击对抗样本生成模型的输入样本的特征,Cosine代表余弦距离。
7.根据权利要求3所述的基于自编码器的稀疏人脸比对对抗样本生成方法,其特征在于:假冒攻击对抗样本生成模型的识别损失函数为:
Loss(feat_adv2,,feat_targef)=1.0-(Cosine(feat_adv2feat_target)+1.0)/2.0
feat_adv2代表由目标模型提取出来的假冒攻击对抗样本生成模型生成的对抗样本的特征,feat_target代表由目标模型提取出来的假冒攻击对抗样本生成模型输入的目标样本的特征;Cosine代表余弦距离。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211712389.3A CN116071797B (zh) | 2022-12-29 | 2022-12-29 | 一种基于自编码器的稀疏人脸比对对抗样本生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211712389.3A CN116071797B (zh) | 2022-12-29 | 2022-12-29 | 一种基于自编码器的稀疏人脸比对对抗样本生成方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116071797A true CN116071797A (zh) | 2023-05-05 |
CN116071797B CN116071797B (zh) | 2023-09-26 |
Family
ID=86177969
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211712389.3A Active CN116071797B (zh) | 2022-12-29 | 2022-12-29 | 一种基于自编码器的稀疏人脸比对对抗样本生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116071797B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116883780A (zh) * | 2023-06-29 | 2023-10-13 | 北华航天工业学院 | 一种基于域变换的自适应位置约束稀疏对抗样本生成方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110991299A (zh) * | 2019-11-27 | 2020-04-10 | 中新国际联合研究院 | 一种物理域上针对人脸识别系统的对抗样本生成方法 |
US20200151505A1 (en) * | 2018-11-12 | 2020-05-14 | Sap Se | Platform for preventing adversarial attacks on image-based machine learning models |
CN111291828A (zh) * | 2020-03-03 | 2020-06-16 | 广州大学 | 一种基于深度学习的hrrp对抗样本黑盒攻击方法 |
CN111950387A (zh) * | 2020-07-22 | 2020-11-17 | 中原工学院 | 一种基于稀疏表示的误差人脸识别方法 |
US20210089866A1 (en) * | 2019-09-24 | 2021-03-25 | Robert Bosch Gmbh | Efficient black box adversarial attacks exploiting input data structure |
WO2021109695A1 (zh) * | 2019-12-06 | 2021-06-10 | 支付宝(杭州)信息技术有限公司 | 一种对抗攻击的监测方法和装置 |
CN113642003A (zh) * | 2021-07-29 | 2021-11-12 | 北京理工大学 | 基于高鲁棒对抗样本生成的人脸识别系统安全性检测方法 |
CN114022740A (zh) * | 2021-11-18 | 2022-02-08 | 贵州大学 | 人脸对抗样本生成模型的构建方法、装置及设备 |
CN114297730A (zh) * | 2021-12-31 | 2022-04-08 | 北京瑞莱智慧科技有限公司 | 对抗图像生成方法、装置及存储介质 |
US20220122348A1 (en) * | 2020-02-04 | 2022-04-21 | University Of Shanghai For Science And Technology | Adversarial Optimization Method for Training Process of Generative Adversarial Network |
-
2022
- 2022-12-29 CN CN202211712389.3A patent/CN116071797B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200151505A1 (en) * | 2018-11-12 | 2020-05-14 | Sap Se | Platform for preventing adversarial attacks on image-based machine learning models |
US20210089866A1 (en) * | 2019-09-24 | 2021-03-25 | Robert Bosch Gmbh | Efficient black box adversarial attacks exploiting input data structure |
CN110991299A (zh) * | 2019-11-27 | 2020-04-10 | 中新国际联合研究院 | 一种物理域上针对人脸识别系统的对抗样本生成方法 |
WO2021109695A1 (zh) * | 2019-12-06 | 2021-06-10 | 支付宝(杭州)信息技术有限公司 | 一种对抗攻击的监测方法和装置 |
US20220122348A1 (en) * | 2020-02-04 | 2022-04-21 | University Of Shanghai For Science And Technology | Adversarial Optimization Method for Training Process of Generative Adversarial Network |
CN111291828A (zh) * | 2020-03-03 | 2020-06-16 | 广州大学 | 一种基于深度学习的hrrp对抗样本黑盒攻击方法 |
CN111950387A (zh) * | 2020-07-22 | 2020-11-17 | 中原工学院 | 一种基于稀疏表示的误差人脸识别方法 |
CN113642003A (zh) * | 2021-07-29 | 2021-11-12 | 北京理工大学 | 基于高鲁棒对抗样本生成的人脸识别系统安全性检测方法 |
CN114022740A (zh) * | 2021-11-18 | 2022-02-08 | 贵州大学 | 人脸对抗样本生成模型的构建方法、装置及设备 |
CN114297730A (zh) * | 2021-12-31 | 2022-04-08 | 北京瑞莱智慧科技有限公司 | 对抗图像生成方法、装置及存储介质 |
Non-Patent Citations (4)
Title |
---|
伍丹妮: "机器翻译场景下对抗攻击与防御技术研究与实现", 中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑 * |
刘西蒙等: "深度学习中的对抗攻击与防御", 网络与信息安全学报, no. 05 * |
王文华等: "AI系统的安全测评和防御加固方案", 信息网络安全, no. 09 * |
陈晋音等: "深度学习模型的中毒攻击与防御综述", 信息安全学报, no. 04 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116883780A (zh) * | 2023-06-29 | 2023-10-13 | 北华航天工业学院 | 一种基于域变换的自适应位置约束稀疏对抗样本生成方法 |
CN116883780B (zh) * | 2023-06-29 | 2023-12-08 | 北华航天工业学院 | 一种基于域变换的自适应位置约束稀疏对抗样本生成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN116071797B (zh) | 2023-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110443203B (zh) | 基于对抗生成网络的人脸欺骗检测系统对抗样本生成方法 | |
CN109948658B (zh) | 面向特征图注意力机制的对抗攻击防御方法及应用 | |
Yang et al. | An embedding cost learning framework using GAN | |
CN111444881B (zh) | 伪造人脸视频检测方法和装置 | |
CN110009057B (zh) | 一种基于深度学习的图形验证码识别方法 | |
CN112818862B (zh) | 基于多源线索与混合注意力的人脸篡改检测方法与系统 | |
CN110543846B (zh) | 一种基于生成对抗网络的多姿态人脸图像正面化方法 | |
CN108537743A (zh) | 一种基于生成对抗网络的面部图像增强方法 | |
CN108268859A (zh) | 一种基于深度学习的人脸表情识别方法 | |
CN106875007A (zh) | 用于语音欺骗检测的基于卷积长短期记忆端对端深度神经网络 | |
CN109670491A (zh) | 鉴别人脸图像的方法、装置、设备和存储介质 | |
CN101615244A (zh) | 手写板坯号自动识别方法及识别装置 | |
CN116071797B (zh) | 一种基于自编码器的稀疏人脸比对对抗样本生成方法 | |
CN106097241A (zh) | 基于八邻域像素的可逆信息隐藏方法 | |
CN113609482B (zh) | 一种针对图像分类模型的后门检测及修复方法及系统 | |
CN112597993A (zh) | 基于补丁检测的对抗防御模型训练方法 | |
CN113435264A (zh) | 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 | |
CN116385832A (zh) | 双模态生物特征识别网络模型训练方法 | |
Meng et al. | High-capacity steganography using object addition-based cover enhancement for secure communication in networks | |
CN116822548B (zh) | 生成高识别率ai二维码的方法及计算机可读存储介质 | |
CN113034332A (zh) | 不可见水印图像、后门攻击模型构建、分类方法及系统 | |
CN113128364A (zh) | 一种基于深度神经网络编码的指纹生物密钥生成方法 | |
Ma et al. | Block pyramid based adaptive quantization watermarking for multimodal biometric authentication | |
CN117011508A (zh) | 一种基于视觉变换和特征鲁棒的对抗训练方法 | |
CN116563322A (zh) | 一种对抗补丁的检测及防御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |