[发明专利]一种物理域上针对人脸识别系统的对抗样本生成方法

权利要求书

1.一种物理域上针对人脸识别系统的对抗样本生成方法，其特征在于，包括数据预处理步骤、模型训练步骤和模型应用步骤；

所述数据预处理步骤包括：

确定被攻击的人脸识别系统的人脸区域图像输入分辨率；

获取原始样本X_O，根据每个样本人脸位置框裁剪人脸区域，采用插值算法将分辨率调整为所述人脸区域图像输入分辨率，获得人脸输入样本X_F，将模型训练数据样本设为XT_F，将模型应用数据样本设为XA_F，并采用人脸检测算法获取人脸双眼关键点位置坐标；

根据人脸双眼关键点位置坐标构建对抗扰动掩模M，将模型训练数据对抗扰动掩模设为MT_F，将模型应用数据对抗扰动掩模设为MA_F；

所述模型训练步骤包括：

构建生成器，所述生成器的输入为高斯白噪声序列，所述生成器的输出为矩形对抗扰动矩阵；

通过所述生成器和所述对抗扰动掩模生成人脸对抗样本；

采用模拟物理域中光照变化的图像处理方法进行数据增强，得到最终用于训练的人脸对抗样本XT_A；

将人脸对抗样本XT_A输入到需要进行对抗攻击的人脸识别网络F中，构建整体训练网络；

构建生成器的对抗损失函数L_A，构建训练网络打印分数损失函数L_P，构建训练网络总损失函数L；

设置模型优化算法；

训练优化所述生成器参数，直至训练网络参数稳定，训练完成后，保存生成器的模型和权重；

所述模型应用步骤包括：

获取经过数据预处理步骤的人脸原始分辨率；

加载训练完成的生成器模型和权重，生成器与对抗扰动掩模输入、高斯白噪声序列输入、人脸区域图像输入构建应用网络；

获取掩膜对抗扰动和模型训练步骤中的人脸区域对抗样本，将高斯白噪声序列输入训练好的生成器，所述训练好的生成器输出矩形对抗扰动，所述矩形对抗扰动结合所述对抗扰动掩模和人脸区域图像，经过所述模型训练步骤，得到掩膜对抗扰动和人脸区域对抗样本；

获取数字域对抗样本：将所述人脸区域对抗样本的分辨率调整至原始分辨率，然后根据人脸位置框覆盖原始样本的人脸区域，获取原始样本的数字域对抗样本；

获取物理域对抗样本：将所述掩膜对抗扰动进行打印，获取物理域对抗样本。

2.根据权利要求1所述的物理域上针对人脸识别系统的对抗样本生成方法，其特征在于，所述采用插值算法将分辨率调整为所述人脸区域图像输入分辨率，所述插值算法采用Lanczos插值算法、最近邻插值法、线性插值法或Cubic插值算法中的任意一种。

3.根据权利要求1所述的物理域上针对人脸识别系统的对抗样本生成方法，其特征在于，所述根据人脸双眼关键点位置坐标构建对抗扰动掩模M，所述对抗扰动掩模M包括眼镜框掩膜和眼镜横梁掩膜；

所述眼镜框掩膜的具体构建步骤为：根据人脸双眼关键点位置坐标，生成矩形内框，所述矩形内框与左右眼关键点的距离设为L₁、L₂，将所述矩形内框向外扩展距离L₃，得到矩形外框，将矩形内外框之间的区域作为眼镜框掩模；

将双眼的眼镜框掩模的水平中点采用直连相连，并将直线宽度设定为L₄，得到眼镜横梁掩模；

L₁，L₂，L₃、L₄的值的计算方式为：

其中，H、W分别表示人脸区域图像的高度、宽度。

4.根据权利要求1所述的物理域上针对人脸识别系统的对抗样本生成方法，其特征在于，所述构建生成器，所述生成器采用深度卷积生成对抗网络的生成器结构，输入100维的高斯白噪声序列，通过N个神经元的全连接层、批量归一化层，根据人脸区域图像输入分辨率确定第一层全连接层的神经元个数为：将N维特征调整形状转换为分辨率通道数为128的特征图。