物理域中针对人脸识别系统的对抗样本攻击方法

对抗样本攻击揭示了人脸识别系统可能存在不安全性和被攻击的方式。现有针对人脸识别系统的对抗样本攻击大多在数字域进行,然而从最近文献检索的结果来看,越来越多的研究开始关注如何能把带有对抗扰动的实物添加到人脸及其周边区域上,如眼镜、贴纸、帽子等,以实现物理域的对抗攻击。这类新型的对抗样本攻击能够轻易突破市面上现有绝大部分人脸活体检测方法的拦截,直接影响人脸识别系统的结果。尽管已有不少文献提出数字域的对抗攻击方法,但在物理域中复现对抗样本的生成并不容易且成本高昂。本文提出一种可从数字域方便地推广到物理域的对抗样本生成方法,通过在原始人脸样本中添加特定形状的对抗扰动来攻击人脸识别系统,达到误导或扮演攻击的目的。主要贡献包括:利用人脸关键点根据脸型构建特定形状掩膜来生成对抗扰动;设计对抗损失函数,通过训练生成器实现在数字域的对抗样本生成;设计打印分数损失函数,减小打印色差,在物理域复现对抗样本的生成,并通过模拟眼镜佩戴、真实场景光照变化等方式增强样本,改善质量。实验结果表明,所生成的对抗样本不仅能在数字域以高成功率攻破典型人脸识别系统VGGFace10,且可方便、大量地在物理域复现。本文方法揭示了人脸识别系统的潜在安全风险,为设计人脸识别系统的防御体系提供了很好的帮助。

基于多模态特征融合的人脸物理对抗样本性能预测算法

人脸物理对抗样本攻击(Facial Physical Adversarial Attack,FPAA)指攻击者通过粘贴或佩戴物理对抗样本,如打印的眼镜、纸片等,在摄像头下被识别成特定目标的人脸,或者让人脸识别系统无法识别的攻击方式。已有FPAA的性能评测会受到多种环境因素的影响,且需要多个人工操作的环节,导致性能评测效率非常低下。为了减少人脸物理对抗样本性能评测方面的工作量,结合数字图片和环境因素之间的多模态性,提出了多模态特征融合预测算法(Multimodal Feature Fusion Prediction Algorithm,MFFP)。具体地,使用不同的网络提取攻击者人脸图片、受害者人脸图片和人脸数字对抗样本图片的特征,使用环境特征网络来提取环境因素中的特征,然后使用一个多模态特征融合网络对这些特征进行融合,多模态特征融合网络的输出即为所预测的人脸物理对抗样本图片和受害者图片之间的余弦相似度。MFFP算法在未知环境、未知FPAA算法的实验场景下取得了0.003的回归均方误差,其性能优于对比算法,验证了MFFP算法对FPAA性能预测的准确性,可以对FPAA性能进行快速评估,同时大幅降低人工操作的工作量。

结合高斯滤波与MASK的G-MASK人脸对抗攻击

深度神经网络的快速发展使其在计算机视觉和自然语言处理等领域取得较大成功,但是对抗攻击会导致神经网络的表现性能降低,对各类系统的安全保密性造成严重威胁。现有黑盒攻击方法在人脸识别中性能表现较差,攻击成功率较低且生成对抗样本迁移性不高。为此,提出一种结合高斯滤波与掩码的对抗攻击方法G-MASK。利用Grad-CAM输出的热力图确定对抗样本的掩码区域,使其只在掩码区域施加扰动,提高黑盒攻击成功率,采用扰动集成方法提高黑盒迁移能力,增强黑盒攻击鲁棒性,对生成的扰动进行高斯平滑处理,降低集成模型之间干扰噪声的差异,提高图像质量且增强扰动掩蔽性。实验结果表明,针对不同的人脸识别模型,G-MASK方法在保证白盒攻击成功率较高的条件下能够显著提升黑盒攻击效果,并具有更优的掩蔽性,经过模型扰动集成的对抗样本白盒攻击成功率均提高至98.5%以上,黑盒攻击成功率最高达到75.9%,与快速梯度符号法(FGSM)、迭代快速梯度符号法(I-FGSM)和动量迭代梯度符号法(MI-FGSM)相比分别平均提升12.1、10.6和8.2个百分点,充分验证了该方法的有效性。

基于共性梯度的人脸识别通用对抗攻击

人脸识别技术的恶意运用可能会导致个人信息泄露,对个人隐私安全构成巨大威胁,通过通用对抗攻击保护人脸隐私具有重要的研究意义.然而,现有的通用对抗攻击算法多数专注于图像分类任务,应用于人脸识别模型时,常面临攻击成功率低和生成扰动明显等问题.为解决这一挑战,研究提出了一种基于共性梯度的人脸识别通用对抗攻击方法.该方法通过多张人脸图像的对抗扰动的共性梯度优化通用对抗扰动,并利用主导型特征损失提升扰动的攻击能力,结合多阶段训练策略,实现了攻击效果与视觉质量的均衡.在公开数据集上的实验证明,该方法在人脸识别模型上的攻击性能优于Cos-UAP、SGA等方法,并且生成的对抗样本具有更好的视觉效果,表明了所提方法的有效性.

针对人脸识别的物理对抗攻击研究综述

[目的]近年来,针对人脸识别的对抗攻击方法频出。其中,物理对抗攻击方法可直接在物理世界中攻击人脸识别系统,相比于数字对抗攻击有更高的研究价值。[方法]首先对人脸识别与对抗攻击的基本概念与背景知识进行介绍;然后分别从增强物理对抗样本的鲁棒性以及迁移性两个角度,整理介绍物理对抗攻击中常用的优化方法;进一步,对现有的针对人脸识别的物理对抗攻击方法进行分析介绍。[结果]以人脸识别对抗攻击在物理领域的可行性为线索,按照不同的扰动呈现形式将针对人脸识别的物理攻击方法分为三类:基于配件、基于物理光线和基于贴纸,然后从鲁棒性和迁移性两方面系统分析了不同类别的优劣。[结论]针对人脸识别的物理对抗攻击仍然还存在亟待解决的问题,同时其在人脸识别的发展与公共安全的维护等方面具有重要的作用。

针对人脸识别卷积神经网络的局部背景区域对抗攻击

基于卷积神经网络(CNN)的识别器,由于其高识别率已经在人脸识别中广泛应用,但其滥用也带来隐私保护问题。本文提出了局部背景区域的人脸对抗攻击(BALA),可以作为一种针对CNN人脸识别器的隐私保护方案。局部背景区域添加扰动克服了现有方法在前景人脸区域添加扰动所导致的原始面部特征损失的缺点。BALA使用了两阶段损失函数以及灰度化、均匀化方法,在更好地生成对抗块的同时提升了数字域到物理域的对抗效果。在照片重拍和场景实拍实验中,BALA对VGG-FACE人脸识别器的攻击成功率(ASR)比现有方法分别提升12%和3.8%。

基于梯度惩罚WGAN的人脸对抗样本生成方法

人脸识别系统面临着各种安全威胁和挑战,其中对抗样本攻击对人脸识别系统中的深度神经网络安全性和鲁棒性造成一定影响,论文针对传统对抗样本攻击方法中所存在生成效率低、对抗样本质量差等问题,提出了基于梯度惩罚Wasserstein生成对抗网络(WGAN-GP)的人脸对抗样本生成方法。首先,采用梯度惩罚项来使得神经网络的参数分布得更加均匀,保证生成对抗网络训练的稳定性;其次,在人脸对抗样本生成过程中,通过训练适合亚洲人脸的facenent攻击模型,并进行人脸的局部扰动,生成视觉质量较高的亚洲人脸对抗样本。最后,通过仿真试验实现百度人脸比对API的黑盒攻击。在平均SSIM、MSE和时间指标下,与现有同类对抗样本方法对比,所提方法在生成人脸对抗样本质量和生成效率方面都有所提升,与传统对抗样本方法对比,在质量上SSIM有2.26倍的提升,MSE有1倍的降低;在生成效率方面有99%的提升。

基于对抗样本防御的人脸安全识别方法

本文使用一个像素攻击法和通用扰动生成攻击法生成对抗数据集,通过人脸识别模型对对抗数据集进行微调训练,使其对一个像素攻击法生成的对抗样本具有较高的正确识别能力和对通用扰动生成的对抗样本的具有完全正确的识别能力,实现人脸安全识别。

基于掩膜的人脸压缩重建对抗攻击增强方法

现有研究表明通过对输入的人脸图片施加扰动能够导致人脸识别系统发生误判,即对抗样本。当前,许多对抗样本攻击方法通过在扰动生成过程中对扰动进行旋转、调整尺度、添加随机噪声等变换,以实现增强攻击性的目的。该文首次发现对抗样本在由ndarray格式压缩为PNG(Portable Network Graphics)格式,再重建成ndarray格式时对抗性会得到增强。基于此,提出了基于掩膜的人脸压缩重建对抗攻击增强方法——在对抗样本的迭代生成中,在预定迭代次数下设置断点,并在断点处反复地对对抗图片的掩膜区域进行压缩重建(Compression&Reconstruction,C&R)。在IFW人脸检测数据集上分别进行了单模型攻击和集成模型攻击的实验,结果证明,该方法生成的对抗样本在白盒场景下攻击成功率最高提高了2.3%,在黑盒场景中攻击成功率也有小幅提升。最后,分别通过两组超参数实验探讨了参数的不同选取对该方法攻击效果的影响,并给出了最优参数以供后续研究参考。

基于生成对抗网络的人脸识别对抗攻击

人脸识别正在逐渐成为一种监视工具,对人们的隐私产生了巨大威胁。为此,本文提出一种基于生成对抗网络的语义对抗攻击(SGAN-AA),它可以修改图像的显著面部特征,通过使用余弦相似度或可能性评分来预测最显著属性,在白盒和黑盒环境中使用一个或多个面部特征来进行假冒和躲闪攻击。实验结果表明,该方法可以生成多样化、逼真的对抗人脸图像,同时避免影响人类对人脸识别的感知,SGAN-AA对黑盒模型的攻击成功率为80.5%,在假冒攻击下比常用方法高35.5个百分点。预测最显著属性会提升对抗攻击在白盒和黑盒环境中的成功率,并可以增强生成的对抗样本的可转移性。

基于深度神经网络的对抗样本生成算法及其应用研究综述

随着深度学习理论的迅速发展,基于深度神经网络的各项技术得到了广泛的应用,并且在众多应用领域取得了出乎意料的实践效果。然而,近年来大量研究发现,深度神经网络普遍存在天然缺陷,容易受到对抗样本的威胁,严重影响模型使用的安全性,因此对该领域的研究已经成为深度学习相关领域的热门研究方向。研究对抗样本有利于暴露模型存在的问题进而加以防范,对其应用的挖掘有利于为隐私保护等研究提供新思路。为此首先介绍了对抗样本研究领域中的重要概念和术语,然后按照时间从产生机理的角度梳理该领域研究中的基础算法及后续衍生的进阶算法,接着展示了近年来对抗样本所涉及的具体领域及其应用,最后对该领域进一步的研究方向和应用场景进行了展望。

图像对抗样本研究综述

随着深度学习理论的发展,深度神经网络取得了一系列突破性进展,相继在多个领域得到了应用。其中,尤其以图像领域中的应用(如图像分类)最为普及与深入。然而,研究表明深度神经网络存在着诸多安全隐患,尤其是来自对抗样本的威胁,严重影响了图像分类的应用效果。因此,图像对抗样本的研究近年来越来越受到重视,研究者们从不同的角度对其进行了研究,相关研究成果也层出不穷,呈井喷之态。首先介绍了图像对抗样本的相关概念和术语,回顾并梳理了图像对抗样本攻击和防御方法的相关研究成果。特别是,根据攻击者的能力以及防御方法的基本思路对其进行了分类,并给出了不同类别的特点及存在的联系。接着,对图像对抗攻击在物理世界中的情况进行了简要阐述。最后,总结了图像对抗样本领域仍面临的挑战,并对未来的研究方向进行了展望。

针对目标检测器的假阳性对抗样本

目标检测器现已被广泛应用在各类智能系统中,主要用于对图像中的物体进行识别与定位.然而,近年来的研究表明,目标检测器与DNNs分类器都易受数字对抗样本和物理对抗样本的影响.YOLOv3是实时检测任务中一种主流的目标检测器,现有攻击YOLOv3的物理对抗样本的构造方式大多是将生成的较大对抗性扰动打印出来再粘贴在特定类别的物体表面.最近的研究中出现的假阳性对抗样本(false positive adversarial example,FPAE)可通过目标模型直接生成得到,人无法识别出该对抗样本图像中的内容,但目标检测器却以高置信度将其误识别为攻击者指定的目标类.现有以YOLOv3为目标模型生成FPAE的方法仅有AA(appearing attack)方法一种,该方法在生成FPAE的过程中,为提升FPAE的鲁棒性,会在迭代优化过程中加入EOT(expectation over transformation)图像变换来模拟各种物理条件,但是并未考虑拍摄时可能出现的运动模糊(motion blur)情况,进而影响到对抗样本的攻击效果.此外,生成的FPAE在对除YOLOv3外的目标检测器进行黑盒攻击时的攻击成功率并不高.为生成性能更好的FPAE,以揭示现有目标检测器存在的弱点和测试现有目标检测器的安全性,以YOLOv3目标检测器为目标模型,提出RTFP(robust and transferable false positive)对抗攻击方法.该方法在迭代优化过程中,除了加入典型的图像变换外,还新加入了运动模糊变换.同时,在损失函数的设计上,借鉴了C&W攻击中损失函数的设计思想,并将目标模型在FPAE的中心所在的网格预测出的边界框与FPAE所在的真实边界框之间的重合度(intersection over union,IOU)作为预测的边界框的类别损失的权重项.在现实世界中的多角度、多距离拍摄测试以及实际道路上的驾车拍摄测试中,RTFP方法生成的FPAE能够保持较强的鲁棒性且迁移性强于现有方法生成的FPAE.

基于熵及随机擦除的针对目标检测物理攻击的防御

物理攻击通过在图像中添加受扰动的对抗块使得基于深度神经网络(DNNs)的应用失效,对DNNs的安全性带来严重的挑战。针对物理攻击方法生成的对抗块与真实图像块之间的信息分布不同的特点,本文提出了能有效避免现有物理攻击的防御算法。该算法由基于熵的检测组件(Entropy-basedDetectionComponent,EDC)和随机擦除组件(RandomErasingComponent,REC)两部分组成。EDC组件采用熵值度量检测对抗块并对其灰度替换。该方法不仅能显著降低对抗块对模型推理的影响,而且不依赖大规模的训练数据。REC模块改进了深度学习通用训练范式。利用该方法训练得到的深度学习模型,在不改变现有网络结构的前提下,不仅能有效防御现有物理攻击,而且能显著提升图像分析效果。上述两个组件都具有较强的可转移性且不需要额外的训练数据,它们的有机结合构成了本文的防御策略。实验表明,本文提出的算法不仅能有效的防御针对目标检测的物理攻击(在Pascal VOC 2007上的平均精度(m AP)由31.3%提升到64.0%及在Inria数据集上由19.0%提升到41.0%),并且证明算法具有较好的可转移性,能同时防御图像分类和目标检测两种任务的物理攻击。

针对眼部掩模的人脸识别对抗贴片研究

随着深度学习技术的快速发展,人脸识别技术被广泛应用于现实世界的工作与生活中。然而深度神经网络对于对抗样本表现出极大的脆弱性。鉴于用对抗贴片进行黑盒攻击比白盒攻击更加困难,且黑盒攻击性能性能较差,同时由于眼部区域包含了较多的特征信息,该文提出一种新的针对眼部掩模的对抗贴片生成方法(Adversarial Eye Mask,AdvEyeMask),来实现人脸识别系统的黑盒攻击。首先,对输入图像进行添加随机噪声、随机调整亮度以及随机放缩等多样性变换,在采用集成模型生成贴片的迭代优化过程中,借助动量思想求得目标损失,而后对损失梯度矩阵进行高斯核卷积处理,从而提高对抗贴片的黑盒攻击性能。基于CASIA-Facev5数据集,AdvEyeMask与AdvHat方法相比,平均相似度提升了34.46%,平均攻击成功率提升了64.40%,实现了较好的黑盒攻击效果。最后,从实用性角度出发,AdvEyeMask方法生成的对抗贴片在物理场景下对某商用人脸识别设备进行了黑盒攻击测试。

针对身份证文本识别的黑盒攻击算法研究

身份证认证场景多采用文本识别模型对身份证图片的字段进行提取、识别和身份认证,存在很大的隐私泄露隐患.并且,当前基于文本识别模型的对抗攻击算法大多只考虑简单背景的数据(如印刷体)和白盒条件,很难在物理世界达到理想的攻击效果,不适用于复杂背景、数据及黑盒条件.为缓解上述问题,本文提出针对身份证文本识别模型的黑盒攻击算法,考虑较为复杂的图像背景、更严苛的黑盒条件以及物理世界的攻击效果.本算法在基于迁移的黑盒攻击算法的基础上引入二值化掩码和空间变换,在保证攻击成功率的前提下提升了对抗样本的视觉效果和物理世界中的鲁棒性.通过探索不同范数限制下基于迁移的黑盒攻击算法的性能上限和关键超参数的影响,本算法在百度身份证识别模型上实现了100%的攻击成功率.身份证数据集后续将开源.

SAR目标识别对抗攻击综述:从数字域迈向物理域

基于深度神经网络的合成孔径雷达(SAR)图像目标识别已成为SAR应用领域的研究热点和前沿方向。然而,有研究指出深度神经网络模型易受到对抗样本攻击。对抗样本定义为在数据集内故意引入微小扰动所产生的输入样本,这种扰动足以使模型高信度地产生错误判断。现有SAR对抗样本生成技术本质上仅作用于二维图像,即为数字域对抗样本。尽管近期有部分研究开始将SAR成像散射机理考虑用于对抗样本生成,但是仍然存在两个重要缺陷,一是仅在SAR图像上考虑成像散射机理,而没有将其置于SAR实际成像过程中进行考虑;二是在机制上无法实现三维物理域的攻击,即只实现了伪物理域对抗攻击。该文对SAR智能识别对抗攻击的技术现状和发展趋势进行了研究。首先,详细梳理了传统SAR图像对抗样本技术的发展脉络,并对各类技术的特点进行了对比分析,总结了现有技术存在的不足;其次,从SAR成像原理和实际过程出发,提出了物理域对抗攻击技术,通过调整目标物体的后向散射特性,或通过发射振幅和相位精细可调的干扰信号来实现对SAR智能识别算法对抗攻击的新思路,并展望了SAR对抗攻击在物理域下的具体实现方式;最后,进一步讨论了未来SAR智能对抗攻击技术的发展方向。

基于卷积神经网络人脸识别系统的安全性研究

针对传统神经网络中的对抗样本问题,以人脸识别为例,讨论了基于传统神经网络的人脸识别技术的潜在安全风险,以及在口罩对抗样本生成并提供防御的方法。主要研究如下:第一,所提出的解决人脸识别技术安全问题的方法,产生了具有模糊和无偏差面具的图像,人脸识别模型将具有模糊面具的脸误判为目标人物。实验结果表明,对抗样本在一定程度上模仿了被隐藏者戴口罩的情形,成功率为90.43%。第二,提出DeFense-EC保护方法来掩盖虚假图案,并使用图像重建技术来恢复虚假图案和抑制噪声。对不同数据集的测试证实了DeFense-EC重建的图像质量很高,其可靠性达到92.32%。讨论传统的基于神经网络的人脸识别方法中的不利选择问题,并研究不利面具选择的风险和DeFense-EC保护方法的有效性。卷积网络的日益普及使逆向选择问题成为一个重要的研究领域,对逆向选择的彻底调查将促进卷积网络的发展和使用。