[发明专利]一种物理域上针对人脸识别系统的对抗样本生成方法

说明书

本发明公开了一种物理域上针对人脸识别系统的对抗样本生成方法，该方法通过生成器生成能够在物理域中复现的眼镜形状对抗扰动块来误导人脸识别系统；同时考虑了不同光照和打印机色差的影响，通过模拟光照变化进行数据增强，并利用多个损失函数组合，提高在物理域的攻击成功率。另一方面，本发明通过将不同的人脸识别网络接入整体训练框架，可以便捷快速地生成针对不同人脸识别方法的数字域对抗样本，且对抗扰动可物理复现。本发明有效地实现了物理域上对人脸识别系统的攻击，并且有效解决系统在训练过程中缺少足够对抗样本的问题，能够快速大量生成对抗样本来对网络进行训练提高其可靠性，同时对抗样本可物理复现且对光照变化有鲁棒性。

技术领域

本发明涉及计算机视觉和生物识别技术领域，具体涉及一种物理域上针对人脸识别系统的对抗样本生成方法。

背景技术

人脸识别技术近年来取得了蓬勃发展，尤其是随着深度学习技术的发展，在足够的训练数据以及算力的支撑下，不少基于深度神经网络实现的人脸识别系统取得了较好的识别效果。然而，深度学习技术很容易受到对抗攻击，即通过对输入进行人眼不可察觉的细微的扰动，可以使深度神经网络以较高的置信度输出任意想要的分类，这揭示了深度学习系统存在的安全隐患，另一方面，对抗攻击可以在物理域中实现，即通过创建可物理复现的对抗扰动来欺骗深度神经网络，这进一步揭示了深度神经网络面对对抗攻击的脆弱性，所以研究如何快速大量地生成高质量的对抗样本对防御对抗攻击尤为重要。

在现有技术中，有的通过优化遍历流形网络表示在输入空间中发现对抗样本；有的通过在源图片上沿神经网络的梯度变化最大的方向等步长地添加对抗扰动来生成对抗样本；也有的通过一个小的步长来多次使用快速梯度下降法来生成对抗样本；但是这些方法都是针对一个原始样本添加对抗扰动来构建对抗样本，生成速度慢，而且计算复杂，无法满足大规模快速生成对抗样本的要求。为了大规模生成对抗样本用于训练，还有的通过生成式网络如GAN(Generative AdversarialNetwork，生成对抗网络)、对抗自编码器来快速大量生成对抗扰动；利用对抗生成网络来生成能使人脸识别系统错认人脸的对抗样本，并在物理域进行攻击。但使用GAN生成眼镜形状的对抗扰动，使得生成的对抗样本不稳定，同时需要事先收集眼镜图片构建数据库训练GAN，费时费力；另外，这种方法也没有考虑不同光照条件的影响，使得其在光照条件多变的物理世界中攻击成功率受到了很大影响并且很难推广到新环境中，也使得生成的对抗样本的现实意义大打折扣。

发明内容

为了克服现有技术存在的缺陷与不足，本发明提供一种物理域上针对人脸识别系统的对抗样本生成方法，本发明能够快速大量地生成高质量的针对人脸识别系统的对抗样本，且生成的眼镜形状对抗扰动可物理复现且对现实光照变化具有较大鲁棒性，能够在物理域中成功攻击人脸识别系统，这也大大降低了获取用于网络训练的对抗样本的难度，而物理可复现且对光照变化的鲁棒性使得生成的对抗样本更具有实际意义；

本发明通过生成器生成能够在物理域中复现的眼镜形状对抗扰动块，能够误导人脸识别系统将一个人识别为另一个人或另一个特定的人；同时考虑了不同光照和打印机色差的影响，通过模拟光照变化进行数据增强，并利用多个损失函数组合，提高在物理域的攻击成功率。另一方面，本发明通过将不同的基于传统方法或深度学习的人脸识别网络接入整体训练框架，可以便捷地生成针对不同人脸识别方法的对抗样本。本发明有效地实现了物理域上对人脸识别系统的攻击，可以进一步引发对人脸识别系统安全性的关注，并且有效解决系统在训练过程中缺少足够对抗样本的问题，能够快速大量生成对抗样本来对网络进行训练提高其可靠性，同时对抗样本可物理复现且对光照变化有鲁棒性。

为了达到上述目的，本发明采用以下技术方案：

本发明提供一种物理域上针对人脸识别系统的对抗样本生成方法，包括数据预处理步骤、模型训练步骤和模型应用步骤；

所述数据预处理步骤包括：

确定被攻击的人脸识别系统的人脸区域图像输入分辨率；