【技术实现步骤摘要】
对抗补丁生成、检测模型训练、对抗补丁防御方法及系统
本说明书涉及人脸识别领域,特别涉及对抗补丁生成、检测模型训练、对抗补丁防御方法及系统。
技术介绍
随着人脸识别模型的大规模应用,针对人脸识别模型的攻击手段层出不穷。借助某些攻击手段,攻击者可以通过携带对抗补丁(如,佩戴眼镜框)让人脸识别结果出错,如此攻击者可以冒充他人身份以达成各种目的,如打开门禁、解锁设备、刷脸支付等等,容易造成各种不良影响,如财产和/或隐私的泄露等等。因此,需要提前研究及发现针对人脸识别模型的攻击手段,从而可以针对新发现的攻击手段制定有效的防御方案,以保证人脸识别结果的可靠性。
技术实现思路
本说明书实施例之一提供一种对抗补丁生成方法,其中,包括:检测对抗样本中的特征点,得到对抗样本中的一个或多个感兴趣区域的特征点集合,所述对抗样本为对攻击者的人脸图像添加对抗补丁的结果;检测目标人脸图像中的特征点,得到目标人脸图像中与所述对抗样本对应的一个或多个感兴趣区域的特征点集合,所述目标人脸图像为被攻击者的人脸图像;基于对抗样本各感兴趣...
【技术保护点】
1.一种对抗补丁生成方法,其中,包括:/n检测对抗样本中的特征点,得到对抗样本中的一个或多个感兴趣区域的特征点集合,所述对抗样本为对攻击者的人脸图像添加对抗补丁的结果;/n检测目标人脸图像中的特征点,得到目标人脸图像中与所述对抗样本对应的一个或多个感兴趣区域的特征点集合,所述目标人脸图像为被攻击者的人脸图像;/n基于对抗样本各感兴趣区域的特征点集合和目标人脸图像各感兴趣区域的特征点集合,计算对抗样本与目标人脸在感兴趣区域上的区域相似度;/n调节对抗样本中的对抗补丁,以至少增加所述区域相似度。/n
【技术特征摘要】
1.一种对抗补丁生成方法,其中,包括:
检测对抗样本中的特征点,得到对抗样本中的一个或多个感兴趣区域的特征点集合,所述对抗样本为对攻击者的人脸图像添加对抗补丁的结果;
检测目标人脸图像中的特征点,得到目标人脸图像中与所述对抗样本对应的一个或多个感兴趣区域的特征点集合,所述目标人脸图像为被攻击者的人脸图像;
基于对抗样本各感兴趣区域的特征点集合和目标人脸图像各感兴趣区域的特征点集合,计算对抗样本与目标人脸在感兴趣区域上的区域相似度;
调节对抗样本中的对抗补丁,以至少增加所述区域相似度。
2.如权利要求1所述的方法,其中,所述调节对抗样本中的对抗补丁,以至少增加所述区域相似度,包括:
构造目标函数;所述目标函数与所述区域相似度,以及与所述对抗样本的向量表示和所述目标人脸图像的向量表示的余弦相似度分别呈负相关;所述对抗样本的向量表示反映某机器学习模型对所述对抗样本进行处理的结果,所述目标人脸图像的向量表示反映该机器学习模型对所述目标人脸图像进行处理的结果;
调节对抗样本中的对抗补丁,以减小所述目标函数。
3.如权利要求1所述的方法,其中,所述检测对抗样本中的特征点,得到对抗样本中的一个或多个感兴趣区域的特征点集合,包括:利用人脸特征点检测模型处理所述对抗样本,得到对抗样本中的一个或多个感兴趣区域的特征点集合;
所述检测目标人脸图像中的特征点,得到目标人脸图像中与所述对抗样本对应的一个或多个感兴趣区域的特征点集合,包括:利用所述人脸特征点检测模型处理所述目标人脸图像,得到目标人脸图像中与所述对抗样本对应的一个或多个感兴趣区域的特征点集合。
4.如权利要求1所述的方法,其中,所述基于对抗样本各感兴趣区域的特征点集合和目标人脸图像各感兴趣区域的特征点集合,计算对抗样本与目标人脸在感兴趣区域上的区域相似度,包括:
对对抗样本在各感兴趣区域的特征点进行归一化,将各感兴趣区域的经过归一化的特征点拼接为对抗样本对应的特征点向量;
对目标人脸图像在各感兴趣区域的特征点进行归一化,将各感兴趣区域的经过归一化的特征点拼接为目标人脸图像对应的特征点向量;
计算对抗样本对应的特征点向量与目标人脸图像对应的特征点向量之间的距离,基于该距离确定所述区域相似度。
5.如权利要求4所述的方法,其中,对对抗样本或目标人脸图像在各感兴趣区域的特征点进行归一化,包括:
对对抗样本或目标人脸图像的任一感兴趣区域:基于预设标定方式,确定该感兴趣区域的标定点,并基于确定的标定点对该感兴趣区域的各特征点进行坐标变换,得到该感兴趣区域的经过归一化的特征点。
6.如权利要求4所述的方法,其中,所述距离为欧式距离。
7.一种对抗补丁生成系统,其中,包括:
对抗样本特征点检测模块,用于检测对抗样本中的特征点,得到对抗样本中的一个或多个感兴趣区域的特征点集合,所述对抗样本为对攻击者的人脸图像添加对抗补丁的结果;
目标人...
【专利技术属性】
技术研发人员:傅驰林,张晓露,周俊,
申请(专利权)人:支付宝杭州信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。