一种针对单张人脸查询次数受限攻击的防御方法及防御装置制造方法及图纸

本发明专利技术公开了一种针对单张人脸查询次数受限攻击的防御方法及防御装置，包括：首先，利用已知黑盒攻击对单张初始人脸图像进行模拟攻击，记录反问分类器次数。然后，用相同黑盒攻击再现次数受限攻击，并完成不段优化，直至攻击成功。最后通过计算比较相应的损失以及对抗人脸的攻击强弱，达到对有效攻击程度不同的特征进行针对性优化防御的效果。该防御方法及防御装置提高人脸分类器对次数受限攻击产生的对抗样本的防御能力。

A Defense Method and Device for Attacks with Restricted Query Number of Single Face

【技术实现步骤摘要】
一种针对单张人脸查询次数受限攻击的防御方法及防御装置
本专利技术属于深度学习安全
，具体涉及一种针对单张人脸查询次数受限攻击的防御方法及防御装置。
技术介绍
深度学习受神经科学启发而来，可以通过学习和计算大量数据的潜在联系，获得比一般算法更准确的分类结果，具有强大的特征学习能力和特征表达能力。而随着深度学习在视觉辨析、语音识别、金融欺诈检测、身份鉴定以及恶意软件检测等的各种领域的深入应用，深度学习的安全问题越来越受到人们的关注。虽然深度学习在计算机视觉领域表现出很强大的分类能力，但是szegedy等人发现，深度模型很容易对某些细微的扰动出现错误的判断。这些细小的扰动对于人类视觉系统来说是几乎无法察觉的，但却可以使得深度模型分类错误，甚至对错误的分类结果表现出很高的置信度。这种现象便会容易导致身份鉴定系统识别错误，从而使罪犯逃脱：以及发生无人驾驶系统无法识别标示，从而发生车祸等情况。特别是，因为人脸识别领域关系到重要数据，深度学习应用在人脸识别领域时，更加应该提高对模型的安全问题的重视。对于一些实现人脸分类的黑箱模型而言，虽然内部结构的不可见已经大大增加了攻击的困难性，但是目前已经存在了多种攻击方法对黑盒展现出强大的攻击能力。此时，除了添加某些防御攻击的方法，能够有效抵抗攻击以后，还有模型对单张人脸查询次数的限制能够对黑盒攻击起到警示效果。因此，已有的大部分防御技术，忽略了增强模型，对某些访问次数要求过高的黑盒攻击的鲁棒性。但是，在次数受限攻击下，对抗样板不仅能够糅合各种黑盒攻击特性，而且能有效地降低单张人脸对模型的访问次数，不仅绕过了模型本身的警示效果，还能有效提高，那些因为访问次数被防御方法忽略，却有着非比寻常危害能力的黑盒攻击的攻击成功率。所以，为了预防在次数受限情况下，对单张人脸的不同特征进行转移攻击，需要分析不同特征的危险性，并且酌情采取针对性防御。同时，通过对次数受限攻击的再现，评估不同特征的危险性，也是我们防御效果好坏的一个重要决定因素。综上所述，如何对次数受限攻击完成再现，得到效果更好的对抗样本，并采取相应的防御方法，在提升图像分类黑盒模型对次数受限攻击防御效果方面上有着极其重要的理论与实践意义。
技术实现思路
为了提高人脸分类器对次数受限攻击产生的对抗样本的防御能力，本专利技术提供了一种针对单张人脸查询次数受限攻击的防御方法及防御装置。为实现上述专利技术目的，本专利技术提供了一种针对单张人脸查询次数受限攻击的防御方法，包括以下步骤：(1)将初始人脸图像输入至人脸分类器中，采用黑盒攻击方法对初始人脸图像进行全局攻击，得到对抗人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗人脸图像的置信度；(2)采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域，根据分割区域特征与初始人脸图像的差异确定初始扰动；(3)选择与分割区域个数相同的不同人脸图像，采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上，形成合成人脸图像；(4)将合成人脸图像输入至人脸分类器中，采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击，得到对抗合成人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗合成人脸图像的置信度；(5)根据对抗合成人脸图像和初始人脸图像的差异确定新扰动；(6)将新扰动添加到初始人脸图像中，得到新人脸图像，并将新人脸图像输入至人脸分类器中，得到检测结果；(7)在次数受限攻击不成功时，根据对抗合成人脸图像与初始人脸图像确定损失函数，根据损失函数值和检测结果的大小关系确定最大受限攻击次数，在最大受限攻击次数约束下，重复执行步骤(4)～步骤(7)，进行优选黑盒攻击；(8)在次数受限攻击成功时，根据初始扰动和新扰动确定分割区域特征被次数受限攻击的风险程度，根据风险程度的大小对分割区域特征进行针对性防御。本专利技术还提供了一种针对单张人脸查询次数受限攻击的防御装置，包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序，所述计算机处理器执行所述计算机程序时实现上述针对单张人脸查询次数受限攻击的防御方法。本专利技术提供的针对单张人脸查询次数受限攻击的防御方法和防御装置，通过次数受限攻击的重现，获得不同分割区域的特征，然后评判不同分割区域特征的危险程度，根据危险程度的大小对不同分割区域进行有效地针对性防御，提升了人脸分类器对次数受限攻击产生的对抗样本的防御能力。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。图1是本专利技术提供的一种针对单张人脸查询次数受限攻击的防御方法实施例的实现框图；图2是本专利技术提供的一种针对单张人脸查询次数受限攻击的防御方法实施例中的人脸图像，其中，(a)为初始人脸图像，(b)为初始扰动，(c)为人脸攻击图像；图3是本专利技术提供的一种针对单张人脸查询次数受限攻击的防御方法实施例中次数受限攻击的实现框图。具体实施方式本专利技术的核心是提供一种针对单张人脸查询次数受限攻击的防御方法和防御装置，以提高提高人脸分类器对次数受限攻击产生的对抗样本的防御能力。为使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本专利技术进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本专利技术，并不限定本专利技术的保护范围。下面对本专利技术提供的一种针对单张人脸查询次数受限攻击的防御方法实施例进行介绍，参见图1和图3，实施例包括：S101，将如图2(a)所示的初始人脸图像A输入至人脸分类器中，采用黑盒攻击方法对初始人脸图像A进行全局攻击，得到如图2(b)所示的对抗人脸图像A'，攻击成功时，记录人脸分类器被访问次数C0和对抗人脸图像A'的置信度F(A'0)。黑盒攻击方法是指在不知道模型内部结构的情况下，仅通过获得一部分模型反馈例如置信度，类标，就可以完成对模型的攻击。具体包含boundary攻击，zoo攻击等，其中，boundary攻击是利用对模型反馈的类标信息，对样本决策边界进行估计探索，完成攻击效果实现；zoo攻击是利用模型反馈的类标信息，以及置信度，模拟样本梯度，完成攻击效果实现。人脸分类器主要由特征提取单元和分类器组成，具体的，特征提取单元主要用于提取人脸图像的语义特征，分类器主要用于对人脸图像所属类型进行分类。S102，采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域，根据分割区域特征与初始人脸图像的差异确定初始扰动。本步骤中，根据人脸分布特征对人脸图像进行区域分割，将初始人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域，即为分割区域A1,A2,A3,A4；将对抗人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域，即为分割区域A'1,A'2,A'3,A'4；根据分割区域A1,A2,A3,A4与分割区域A'1,A'2,A'3,A'4的差异，确定初始扰动p(A'j0),j∈[1,4]如图2(c)所示。S103，选择与分割区域个数相同的不同人脸图像，采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上，形成本文档来自技高网...

【技术保护点】
1.一种针对单张人脸查询次数受限攻击的防御方法，包括以下步骤：(1)将初始人脸图像输入至人脸分类器中，采用黑盒攻击方法对初始人脸图像进行全局攻击，得到对抗人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗人脸图像的置信度；(2)采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域，根据分割区域特征与初始人脸图像的差异确定初始扰动；(3)选择与分割区域个数相同的不同人脸图像，采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上，形成合成人脸图像；(4)将合成人脸图像输入至人脸分类器中，采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击，得到对抗合成人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗合成人脸图像的置信度；(5)根据对抗合成人脸图像和初始人脸图像的差异确定新扰动；(6)将新扰动添加到初始人脸图像中，得到新人脸图像，并将新人脸图像输入至人脸分类器中，得到检测结果；(7)在次数受限攻击不成功时，根据对抗合成人脸图像与初始人脸图像确定损失函数，根据损失函数值和检测结果的大小关系确定最大受限攻击次数，在最大受限攻击次数约束下，重复执行步骤(4)～步骤(7)，进行优选黑盒攻击；(8)在次数受限攻击成功时，根据初始扰动和新扰动确定分割区域特征被次数受限攻击的风险程度，根据风险程度的大小对分割区域特征进行针对性防御。...

【技术特征摘要】
1.一种针对单张人脸查询次数受限攻击的防御方法，包括以下步骤：(1)将初始人脸图像输入至人脸分类器中，采用黑盒攻击方法对初始人脸图像进行全局攻击，得到对抗人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗人脸图像的置信度；(2)采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域，根据分割区域特征与初始人脸图像的差异确定初始扰动；(3)选择与分割区域个数相同的不同人脸图像，采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上，形成合成人脸图像；(4)将合成人脸图像输入至人脸分类器中，采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击，得到对抗合成人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗合成人脸图像的置信度；(5)根据对抗合成人脸图像和初始人脸图像的差异确定新扰动；(6)将新扰动添加到初始人脸图像中，得到新人脸图像，并将新人脸图像输入至人脸分类器中，得到检测结果；(7)在次数受限攻击不成功时，根据对抗合成人脸图像与初始人脸图像确定损失函数，根据损失函数值和检测结果的大小关系确定最大受限攻击次数，在最大受限攻击次数约束下，重复执行步骤(4)～步骤(7)，进行优选黑盒攻击；(8)在次数受限攻击成功时，根据初始扰动和新扰动确定分割区域特征被次数受限攻击的风险程度，根据风险程度的大小对分割区域特征进行针对性防御。2.如权利要求1所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(2)中，根据人脸分布特征对人脸图像进行区域分割，将初始人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域，即为分割区域A1,A2,A3,A4；将对抗人脸图像分割成眉眼、鼻子、嘴巴和轮廓四个分割区域，即为分割区域A'1,A'2,A'3,A'4；根据分割区域A1,A2,A3,A4与分割区域A'1,A'2,A'3,A'4的差异，确定初始扰动p(A'j0),j∈[1,4]。3.如权利要求2所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(3)中，选择4张不同人脸图像Xj,j∈[1,4]；将分割区域A1添加到人脸图像X1中，将分割区域A2添加到人脸图像X2中，将分割区域A3添加到人脸图像X3中，将分割区域A4添加到人脸图像X4中，得到合成人脸图像Xj(Aj),j∈[1,4]。4.如权利要求3所述的针对单张人脸查询次数受限攻击的防御方法，其特征在于，步骤(4)中，在限制攻击范围只...

【专利技术属性】
技术研发人员：陈晋音，朱伟鹏，苏蒙蒙，郑海斌，沈诗婧，熊晖，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：浙江,33