【技术实现步骤摘要】
一种针对单张人脸查询次数受限攻击的防御方法及防御装置
本专利技术属于深度学习安全
,具体涉及一种针对单张人脸查询次数受限攻击的防御方法及防御装置。
技术介绍
深度学习受神经科学启发而来,可以通过学习和计算大量数据的潜在联系,获得比一般算法更准确的分类结果,具有强大的特征学习能力和特征表达能力。而随着深度学习在视觉辨析、语音识别、金融欺诈检测、身份鉴定以及恶意软件检测等的各种领域的深入应用,深度学习的安全问题越来越受到人们的关注。虽然深度学习在计算机视觉领域表现出很强大的分类能力,但是szegedy等人发现,深度模型很容易对某些细微的扰动出现错误的判断。这些细小的扰动对于人类视觉系统来说是几乎无法察觉的,但却可以使得深度模型分类错误,甚至对错误的分类结果表现出很高的置信度。这种现象便会容易导致身份鉴定系统识别错误,从而使罪犯逃脱:以及发生无人驾驶系统无法识别标示,从而发生车祸等情况。特别是,因为人脸识别领域关系到重要数据,深度学习应用在人脸识别领域时,更加应该提高对模型的安全问题的重视。对于一些实现人脸分类的黑箱模型而言,虽然内部结构的不可见已经大大增加了攻击的困难性,但是目前已经存在了多种攻击方法对黑盒展现出强大的攻击能力。此时,除了添加某些防御攻击的方法,能够有效抵抗攻击以后,还有模型对单张人脸查询次数的限制能够对黑盒攻击起到警示效果。因此,已有的大部分防御技术,忽略了增强模型,对某些访问次数要求过高的黑盒攻击的鲁棒性。但是,在次数受限攻击下,对抗样板不仅能够糅合各种黑盒攻击特性,而且能有效地降低单张人脸对模型的访问次数,不仅绕过了模型本身的警示效 ...
【技术保护点】
1.一种针对单张人脸查询次数受限攻击的防御方法,包括以下步骤:(1)将初始人脸图像输入至人脸分类器中,采用黑盒攻击方法对初始人脸图像进行全局攻击,得到对抗人脸图像,攻击成功时,记录人脸分类器被访问次数和对抗人脸图像的置信度;(2)采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域,根据分割区域特征与初始人脸图像的差异确定初始扰动;(3)选择与分割区域个数相同的不同人脸图像,采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上,形成合成人脸图像;(4)将合成人脸图像输入至人脸分类器中,采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击,得到对抗合成人脸图像,攻击成功时,记录人脸分类器被访问次数和对抗合成人脸图像的置信度;(5)根据对抗合成人脸图像和初始人脸图像的差异确定新扰动;(6)将新扰动添加到初始人脸图像中,得到新人脸图像,并将新人脸图像输入至人脸分类器中,得到检测结果;(7)在次数受限攻击不成功时,根据对抗合成人脸图像与初始人脸图像确定损失函数,根据损失函数值和检测结果的大小关系确定最大受限攻击次数,在最大受限攻击次数约束下,重复执行步骤(4)~步骤( ...
【技术特征摘要】
1.一种针对单张人脸查询次数受限攻击的防御方法,包括以下步骤:(1)将初始人脸图像输入至人脸分类器中,采用黑盒攻击方法对初始人脸图像进行全局攻击,得到对抗人脸图像,攻击成功时,记录人脸分类器被访问次数和对抗人脸图像的置信度;(2)采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域,根据分割区域特征与初始人脸图像的差异确定初始扰动;(3)选择与分割区域个数相同的不同人脸图像,采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上,形成合成人脸图像;(4)将合成人脸图像输入至人脸分类器中,采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击,得到对抗合成人脸图像,攻击成功时,记录人脸分类器被访问次数和对抗合成人脸图像的置信度;(5)根据对抗合成人脸图像和初始人脸图像的差异确定新扰动;(6)将新扰动添加到初始人脸图像中,得到新人脸图像,并将新人脸图像输入至人脸分类器中,得到检测结果;(7)在次数受限攻击不成功时,根据对抗合成人脸图像与初始人脸图像确定损失函数,根据损失函数值和检测结果的大小关系确定最大受限攻击次数,在最大受限攻击次数约束下,重复执行步骤(4)~步骤(7),进行优选黑盒攻击;(8)在次数受限攻击成功时,根据初始扰动和新扰动确定分割区域特征被次数受限攻击的风险程度,根据风险程度的大小对分割区域特征进行针对性防御。2.如权利要求1所述的针对单张人脸查询次数受限攻击的防御方法,其特征在于,步骤(2)中,根据人脸分布特征对人脸图像进行区域分割,将初始人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域,即为分割区域A1,A2,A3,A4;将对抗人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域,即为分割区域A'1,A'2,A'3,A'4;根据分割区域A1,A2,A3,A4与分割区域A'1,A'2,A'3,A'4的差异,确定初始扰动p(A'j0),j∈[1,4]。3.如权利要求2所述的针对单张人脸查询次数受限攻击的防御方法,其特征在于,步骤(3)中,选择4张不同人脸图像Xj,j∈[1,4];将分割区域A1添加到人脸图像X1中,将分割区域A2添加到人脸图像X2中,将分割区域A3添加到人脸图像X3中,将分割区域A4添加到人脸图像X4中,得到合成人脸图像Xj(Aj),j∈[1,4]。4.如权利要求3所述的针对单张人脸查询次数受限攻击的防御方法,其特征在于,步骤(4)中,在限制攻击范围只...
【专利技术属性】
技术研发人员:陈晋音,朱伟鹏,苏蒙蒙,郑海斌,沈诗婧,熊晖,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。