-
题名物理域中针对人脸识别系统的对抗样本攻击方法
- 1
-
-
作者
蔡楚鑫
王宇飞
章烈剽
卓思超
张娟苗
胡永健
-
机构
华南理工大学电子与信息学院
中新国际联合研究院
广州广电卓识智能科技有限公司
广州广电运通金融电子股份有限公司
-
出处
《信息安全学报》
CSCD
2023年第2期127-137,共11页
-
基金
国家重点研发计划项目(No.2019QY2202)
广州开发区国际合作项目(No.2019GH16)
中新国际联合研究院项目(No.206-A018001)资助。
-
文摘
对抗样本攻击揭示了人脸识别系统可能存在不安全性和被攻击的方式。现有针对人脸识别系统的对抗样本攻击大多在数字域进行,然而从最近文献检索的结果来看,越来越多的研究开始关注如何能把带有对抗扰动的实物添加到人脸及其周边区域上,如眼镜、贴纸、帽子等,以实现物理域的对抗攻击。这类新型的对抗样本攻击能够轻易突破市面上现有绝大部分人脸活体检测方法的拦截,直接影响人脸识别系统的结果。尽管已有不少文献提出数字域的对抗攻击方法,但在物理域中复现对抗样本的生成并不容易且成本高昂。本文提出一种可从数字域方便地推广到物理域的对抗样本生成方法,通过在原始人脸样本中添加特定形状的对抗扰动来攻击人脸识别系统,达到误导或扮演攻击的目的。主要贡献包括:利用人脸关键点根据脸型构建特定形状掩膜来生成对抗扰动;设计对抗损失函数,通过训练生成器实现在数字域的对抗样本生成;设计打印分数损失函数,减小打印色差,在物理域复现对抗样本的生成,并通过模拟眼镜佩戴、真实场景光照变化等方式增强样本,改善质量。实验结果表明,所生成的对抗样本不仅能在数字域以高成功率攻破典型人脸识别系统VGGFace10,且可方便、大量地在物理域复现。本文方法揭示了人脸识别系统的潜在安全风险,为设计人脸识别系统的防御体系提供了很好的帮助。
-
关键词
人脸识别
对抗样本攻击
数字域对抗样本
物理域对抗样本
打印分数损失函数
-
Keywords
face recognition
adversarial sample attack
digital adversarial samples
physical adversarial samples
print-ing score loss function
-
分类号
TP309.1
[自动化与计算机技术—计算机系统结构]
-