基于特征一致性实现黑盒人脸对抗攻击样本生成的方法、装置及其存储介质制造方法及图纸

本发明专利技术涉及一种基于特征一致性实现黑盒人脸对抗攻击样本生成的方法，包括对训练用的人脸图片数据集进行预处理；构建人脸特征码提取网络，并提取训练用人脸图片对应的特征码；构建人脸对抗攻击样本生成对抗网络；将预处理后的训练图片数据集和对应的特征码输入人脸对抗攻击样本生成对抗网络进行训练；提取其对应的人脸特征码；生成对应的人脸对抗攻击样本。本发明专利技术还涉及一种基于特征一致性实现黑盒人脸对抗攻击样本生成的装置及其计算机可读存储介质。采用了本发明专利技术的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法、装置及其计算机可读存储介质，核心在于利用黑盒的方式自动生成真实人脸的对应对抗攻击样本，网络结构简单，执行效率高，生成的人脸对抗攻击样本真实、清晰，在人脸对抗攻击样本数据集构建以及人脸识别安全领域都有广阔的应用前景。

【技术实现步骤摘要】
基于特征一致性实现黑盒人脸对抗攻击样本生成的方法、装置及其存储介质
本专利技术涉及计算机视觉术领域，尤其涉及人脸识别安全
，具体是指一种基于特征一致性实现黑盒人脸对抗攻击样本生成的方法、装置及其计算机可读存储介质。
技术介绍
伴随着人工智能时代的到来，人脸识别技术在深度学习和大数据驱动下，展现巨大的发展潜力，其应用场景不断拓展，由安防等公共领域向支付及验证的商业领域逐步落地。然而，人脸识别是一把双刃剑，在技术持续演进、应用不断推广的同时，也带来了数据泄露、个人隐私遭受侵犯等信息安全问题。目前绝大多数的人脸识别模型，都是通过卷积神经网络(CNN)提取数据特征，构建判别公式，用数学模型来模拟人的判断过程。而人脸对抗样本就是根据基于CNN的人脸识别深度模型高度线性的本质，专门寻找人脸识别模型的弱点，产生能欺骗模型的人脸对抗样本。目前，市面上大部分人脸识别设备都是黑盒封装、只提供简单输入输出接口，无法知悉具体的模型结构和参数，此时各类人脸识别产品检验检测机构需要更多的采用人脸黑盒人脸对抗攻击样本来对各类模型进行检测验证，这使得各个检验检测机构针对各类人脸识别产品的检测评估难度大大增加。
技术实现思路
本专利技术的目的是克服了上述现有技术的缺点，提供了一种满足效率高、网络结构简单、适用范围较为广泛的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法、装置及其计算机可读存储介质。为了实现上述目的，本专利技术的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法、装置及其计算机可读存储介质如下：该基于特征一致性实现黑盒人脸对抗攻击样本生成的方法，其主要特点是，所述的方法包括以下步骤：(1)对训练用的人脸图片数据集进行预处理；(2)通过双向GAN模式构建人脸特征码提取网络，并提取训练用人脸图片对应的特征码；(3)以特征一致性损失和人脸差异损失为目标函数，构建人脸对抗攻击样本生成对抗网络；(4)将预处理后的训练图片数据集和对应的特征码输入人脸对抗攻击样本生成对抗网络进行训练，直至训练结束得到可生成人脸对抗攻击样本的生成网络；(5)选取一新的真实目标人脸图片，通过构建的人脸特征码提取网络提取其对应的人脸特征码；(6)将提取的目标人脸特征码输入生成网络，生成对应的人脸对抗攻击样本。较佳地，所述的步骤(1)具体包括以下步骤：(1.1)对原始包含人脸的图片进行人脸区域裁剪；(1.2)根据分辨率等比例逐步缩小图片。较佳地，所述的步骤(1)中预处理后的每个人脸对应N个大小不同的图片。较佳地，所述的大小不同的图片中最大的人脸图片为2N+1×2N+1像素。较佳地，所述的步骤(2)具体包括以下步骤：(2.1)构建编码器加入到生成网络，将生成网络的输出当作输入，并将生成网络器的输入当作输出进行训练；(2.2)利用原始人脸图像与生成的人脸图像之间的损失对网络进行训练，得到人脸特征码提取网络。较佳地，所述的步骤(2)中的特征码为(18,512)维度的向量。较佳地，所述的步骤(3)具体包括以下步骤：(3.1)将人脸特征码输入StyleGAN中进行人脸生成；(3.2)最小化各个尺寸生成人脸特征与真实人脸特征一致性损失；(3.3)最大化生成人脸与真实人脸的逐像素MSE损失。较佳地，所述的步骤(3)中的特征一致性损失为确保生成人脸过程中生成的人脸与真实人脸不同尺度上特征差异最小；人脸差异损失为确保生成的人脸与真实人脸像素差异最大。该基于特征一致性实现黑盒人脸对抗攻击样本生成的装置，其主要特点是，所述的装置包括用于存储程序的存储器以及用于执行所述的程序的处理器，以实现上述的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法。该计算机可读存储介质，其主要特点是，包括程序，所述的程序可被处理器执行以完成上述的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法。采用了本专利技术的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法、装置及其计算机可读存储介质，由于其采用深度学习技术，将人脸识别模型中卷积神经网络(CNN)提取的特征与生成对抗攻击样本过程中的特征保持一致，可利用生成的对抗攻击样本欺骗人脸识别模型，通过人脸比对/核验/识别类的产品与系统的安全验证。本专利技术的核心就在于利用黑盒的方式自动生成真实人脸的对应对抗攻击样本，无需知道被攻击人脸识别模型内外结构以及参数信息，网络结构简单，执行效率高，生成的人脸对抗攻击样本真实、清晰，在人脸对抗攻击样本数据集构建以及人脸识别安全领域都有广阔的应用前景。附图说明图1为本专利技术的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法的流程图。图2为本专利技术的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法的人脸图像预处理流程示意图。图3为本专利技术的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法的人脸特征码提取网络示意图。图4为本专利技术的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法的生成对抗网络示意图。具体实施方式为了能够更清楚地描述本专利技术的
技术实现思路
，下面结合具体实施例来进行进一步的描述。本专利技术的该基于特征一致性实现黑盒人脸对抗攻击样本生成的方法，其中包括以下步骤：(1)对训练用的人脸图片数据集进行预处理；(1.1)对原始包含人脸的图片进行人脸区域裁剪；(1.2)根据分辨率等比例逐步缩小图片；(2)通过双向GAN模式构建人脸特征码提取网络，并提取训练用人脸图片对应的特征码；(2.1)构建编码器加入到生成网络，将生成网络的输出当作输入，并将生成网络器的输入当作输出进行训练；(2.2)利用原始人脸图像与生成的人脸图像之间的损失对网络进行训练，得到人脸特征码提取网络；(3)以特征一致性损失和人脸差异损失为目标函数，构建人脸对抗攻击样本生成对抗网络；(3.1)将人脸特征码输入StyleGAN中进行人脸生成；(3.2)最小化各个尺寸生成人脸特征与真实人脸特征一致性损失；(3.3)最大化生成人脸与真实人脸的逐像素MSE损失；(4)将预处理后的训练图片数据集和对应的特征码输入人脸对抗攻击样本生成对抗网络进行训练，直至训练结束得到可生成人脸对抗攻击样本的生成网络；(5)选取一新的真实目标人脸图片，通过构建的人脸特征码提取网络提取其对应的人脸特征码；(6)将提取的目标人脸特征码输入生成网络，生成对应的人脸对抗攻击样本。作为本专利技术的优选实施方式，所述的步骤(1)中预处理后的每个人脸对应N个大小不同的图片。作为本专利技术的优选实施方式，所述的大小不同的图片中最大的人脸图片为2N+1×2N+1像素。作为本专利技术的优选实施方式，所述的步骤(2)中的特征码为(18,512)维度的向量。作为本专利技术的优选实施方式，所述的步骤(3)中的特征一致性损失为确保生成人脸过程中生成的人脸与真实人脸不同尺度上本文档来自技高网...

【技术保护点】
1.一种基于特征一致性实现黑盒人脸对抗攻击样本生成的方法，其特征在于，所述的方法包括以下步骤：/n(1)对训练用的人脸图片数据集进行预处理；/n(2)通过双向GAN模式构建人脸特征码提取网络，并提取训练用人脸图片对应的特征码；/n(3)以特征一致性损失和人脸差异损失为目标函数，构建人脸对抗攻击样本生成对抗网络；/n(4)将预处理后的训练图片数据集和对应的特征码输入人脸对抗攻击样本生成对抗网络进行训练，直至训练结束得到可生成人脸对抗攻击样本的生成网络；/n(5)选取一新的真实目标人脸图片，通过构建的人脸特征码提取网络提取其对应的人脸特征码；/n(6)将提取的目标人脸特征码输入生成网络，生成对应的人脸对抗攻击样本。/n

【技术特征摘要】
1.一种基于特征一致性实现黑盒人脸对抗攻击样本生成的方法，其特征在于，所述的方法包括以下步骤：
(1)对训练用的人脸图片数据集进行预处理；
(2)通过双向GAN模式构建人脸特征码提取网络，并提取训练用人脸图片对应的特征码；
(3)以特征一致性损失和人脸差异损失为目标函数，构建人脸对抗攻击样本生成对抗网络；
(4)将预处理后的训练图片数据集和对应的特征码输入人脸对抗攻击样本生成对抗网络进行训练，直至训练结束得到可生成人脸对抗攻击样本的生成网络；
(5)选取一新的真实目标人脸图片，通过构建的人脸特征码提取网络提取其对应的人脸特征码；
(6)将提取的目标人脸特征码输入生成网络，生成对应的人脸对抗攻击样本。


2.根据权利要求1所述的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法，其特征在于，所述的步骤(1)具体包括以下步骤：
(1.1)对原始包含人脸的图片进行人脸区域裁剪；
(1.2)根据分辨率等比例逐步缩小图片。


3.根据权利要求1所述的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法，其特征在于，所述的步骤(1)中预处理后的每个人脸对应N个大小不同的图片。


4.根据权利要求3所述的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法，其特征在于，所述的大小不同的图片中最大的人脸图片为2N+1×2N+1像素。


5.根据权利要求1所述的基于特征一致性实现黑盒人脸对抗攻击样本生成的方法，其特征在于，所述的步骤(2)具体包括以下步骤：
(2....

【专利技术属性】
技术研发人员：王立，洪丽娟，刘辛宇，
申请(专利权)人：公安部第三研究所，
类型：发明
国别省市：上海;31