本申请提供一种对抗攻击图像生成方法、装置、电子设备和存储介质,该对抗攻击图像生成方法包括:获取待攻击人脸图像;对待攻击人脸图像进行扰动处理,得到初始扰动人脸图像;确定中间扰动人脸图像;重复执行确定中间扰动人脸图像的步骤,直至完成预设数量次对抗攻击,将预设数量次对抗攻击中得到的对抗扰动参数中的最小值确定为目标对抗扰动参数;根据目标对抗扰动参数对待攻击人脸图像进行扰动处理,得到目标对抗攻击图像。本申请能够准确评估人脸识别模型的鲁棒性。脸识别模型的鲁棒性。脸识别模型的鲁棒性。
【技术实现步骤摘要】
对抗攻击图像生成方法、装置、电子设备和存储介质
[0001]本申请涉及计算机
,尤其涉及一种对抗攻击图像生成方法、装置、电子设备和存储介质。
技术介绍
[0002]随着技术的不断发展,人脸识别模型广泛的应用于各领域。例如,对用户上传视频中的人脸进行识别,以审核该视频是否存在侵权的问题。因此,要求人脸识别模型具有很好的鲁棒性,能够对经过修改的人脸图像进行准确的识别。
[0003]目前,一般基于优化扰动方法,来评估神经网络模型鲁棒性的手段。但该优化扰动方法仅适用于针对通用图像分类的对抗攻击方法,评估人脸识别模型的鲁棒性的准确性不高。
技术实现思路
[0004]本申请实施例提供一种对抗攻击图像生成方法、装置、电子设备和存储介质,用以解决目前的对抗攻击方法评估人脸识别模型的鲁棒性的准确性不高的问题。
[0005]第一方面,本申请实施例提供一种对抗攻击图像生成方法,包括:获取待攻击人脸图像;对待攻击人脸图像进行扰动处理,得到初始扰动人脸图像;确定中间扰动人脸图像,包括:利用人脸识别模型对初始扰动人脸图像进行人脸识别对抗攻击,得到对抗攻击识别结果;基于预设损失函数、对抗攻击识别结果以及目标人脸识别结果确定损失值;根据损失值确定扰动参数,若根据损失值确定初始扰动人脸图像为待攻击人脸图像的对抗攻击图像,则将确定的扰动参数作为对抗扰动参数;基于扰动参数对初始扰动人脸图像进行迭代扰动处理,得到中间扰动人脸图像,中间扰动图像作为下一次对抗攻击的初始扰动人脸图像;重复执行确定中间扰动人脸图像的步骤,直至完成预设数量次对抗攻击,将预设数量次对抗攻击中得到的对抗扰动参数中的最小值确定为目标对抗扰动参数;根据目标对抗扰动参数对待攻击人脸图像进行扰动处理,
[0006]第二方面,本申请实施例提供一种对抗攻击图像生成装置,包括:
[0007]获取模块,用于获取待攻击人脸图像;
[0008]第一处理模块,用于对待攻击人脸图像进行扰动处理,得到初始扰动人脸图像
[0009]确定模块,确定中间扰动人脸图像,包括:利用人脸识别模型对初始扰动人脸图像进行人脸识别对抗攻击,得到对抗攻击识别结果;基于预设损失函数、对抗攻击识别结果以及目标人脸识别结果确定损失值;根据损失值确定扰动参数,若根据损失值确定初始扰动人脸图像为待攻击人脸图像的对抗攻击图像,则将确定的扰动参数作为对抗扰动参数;基于扰动参数对初始扰动人脸图像进行迭代扰动处理,得到中间扰动人脸图像,中间扰动图像作为下一次对抗攻击的初始扰动人脸图像;
[0010]执行模块,用于重复执行确定中间扰动人脸图像的步骤,直至完成预设数量次对抗攻击,将预设数量次对抗攻击中得到的对抗扰动参数中的最小值确定为目标对抗扰动参
数;
[0011]第二处理模块,用于根据目标对抗扰动参数对待攻击人脸图像进行扰动处理,得到目标对抗攻击图像。
[0012]第三方面,本申请实施例提供一种电子设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如第一方面中任一项的对抗攻击图像生成方法。
[0013]第四方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,当计算机程序在电子设备上运行时,使得电子设备执行如第一方面中任一项的对抗攻击图像生成方法。
[0014]第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序,该计算机程序在电子设备上运行时,使得电子设备执行如第一方面中任一项的对抗攻击图像生成方法。
[0015]本申请实施例提供一种对抗攻击图像生成方法、装置、电子设备和存储介质,本申请实施例是针对人脸识别模型的对抗攻击,通过基于预设损失函数,确定人脸识别模型对初始扰动人脸图像进行人脸识别对抗攻击得到的对抗攻击识别结果相对目标人脸识别结果的损失值,进而通过损失值确定目标对抗扰动参数,以得到准确的目标对抗攻击图像,若目标对抗攻击图像的对象与待攻击人脸图像的对象相同,可以确定人脸识别模型的鲁棒性较差,若目标对抗攻击图像的对象与待攻击人脸图像的对象不同,可以确定人脸识别模型的鲁棒性较好,从而实现准确评估人脸识别模型的鲁棒性。
附图说明
[0016]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
[0017]图1为本申请提供的对抗攻击图像生成方法的应用场景示意图;
[0018]图2为本申请一实施例提供的对抗攻击图像生成方法的流程示意图;
[0019]图3为本申请一实施例提供的确定中间扰动人脸图像的示意图;
[0020]图4为本申请一实施例提供的对抗攻击图像生成装置的结构示意图;
[0021]图5为本申请一实施例提供的电子设备的结构示意图。
[0022]通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
[0023]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0024]由于神经网络模型内在的脆弱性,神经网络模型在处理经过像素扰动的对抗样本图像时,识别性能急剧下降。目前,具有各种各样的对抗攻击方法,用于评估针对图像分类
应用的神经网络模型的鲁棒性。其中之一,是基于优化方法,即最小化像素扰动,同时使得神经网络模型误识别的方法。但是,该类方法存在着迭代要求高,耗时的特点。
[0025]此外,针对图像分类应用的神经网络模型是用于识别图像中目标对象的种类,如目标对象是动物、人类或者物品。而本申请实施例中针对人脸识别应用的神经网络模型是识别图像中人脸对象的人脸特征,进而与预先准备的目标人脸数据库进行相似度比较,以识别出人脸对象对应的对象身份。可见,针对图像分类应用的神经网络模型和针对人脸识别应用的神经网络模型在决策方式上存在本质差异,因此将目前的针对图像分类应用的神经网络模型的对抗攻击方法无法应用到人脸识别模型中,进而导致无法对人脸识别模型的鲁棒性进行评估。
[0026]基于上述问题,本申请实施例提供一种对抗攻击图像生成方法,是针对人脸识别模型的对抗攻击方法,通过基于预设损失函数,确定人脸识别模型对初始扰动人脸图像进行人脸识别对抗攻击得到的对抗攻击识别结果相对目标人脸识别结果的损失值,进而通过损失值确定目标对抗扰动参数,以得到目标对抗攻击图像,进而实现准确评估人脸识别模型的鲁棒性。
[0027]本申请实施例提供的对抗攻击图像生成方法可由电子设备执行,该电子设备可以是服务器,比如独立的物理服务器,也可以是多个物理服务器构成本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种对抗攻击图像生成方法,其特征在于,包括:获取待攻击人脸图像;对所述待攻击人脸图像进行扰动处理,得到初始扰动人脸图像;确定中间扰动人脸图像,包括:利用人脸识别模型对所述初始扰动人脸图像进行人脸识别对抗攻击,得到对抗攻击识别结果;基于预设损失函数、所述对抗攻击识别结果以及目标人脸识别结果确定损失值;根据所述损失值确定扰动参数,若根据所述损失值确定所述初始扰动人脸图像为所述待攻击人脸图像的对抗攻击图像,则将确定的扰动参数作为对抗扰动参数;基于所述扰动参数对所述初始扰动人脸图像进行迭代扰动处理,得到中间扰动人脸图像,所述中间扰动图像作为下一次对抗攻击的初始扰动人脸图像;重复执行所述确定中间扰动人脸图像的步骤,直至完成预设数量次对抗攻击,将所述预设数量次对抗攻击中得到的对抗扰动参数中的最小值确定为目标对抗扰动参数;根据所述目标对抗扰动参数对所述待攻击人脸图像进行扰动处理,得到目标对抗攻击图像。2.根据权利要求1所述的方法,其特征在于,所述基于预设损失函数、所述对抗攻击识别结果以及目标人脸识别结果确定损失值,包括:基于预设损失函数,确定所述对抗攻击识别结果和所述目标人脸识别结果的相似度;根据所述相似度和相似度阈值,确定所述损失值。3.根据权利要求2所述的方法,其特征在于,所述基于预设损失函数、所述对抗攻击识别结果以及目标人脸识别结果确定损失值之前,所述方法还包括:获取目标人脸图像,所述目标人脸图像对应的对象和所述待攻击人脸图像对应的对象不同;将所述目标人脸图像输入所述人脸识别模型,得到所述目标人脸识别结果。4.根据权利要求3所述的方法,其特征在于,所述根据所述损失值确定所述初始扰动人脸图像为所述待攻击人脸图像的对抗攻击图像,包括:若所述损失值大于预设阈值,则确定所述初始扰动人脸图像为对抗攻击图像。5.根据权利要求2所述的对抗攻击图像生成方法,其特征在于,所述基于预设损失函数、所述对抗攻击识别结果以及目标人脸识别结果确定损失值之前,所述方法还包括:将所述待攻击人脸图像输入...
【专利技术属性】
技术研发人员:刘彦宏,曾定衡,蒋宁,吴海英,
申请(专利权)人:马上消费金融股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。