买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：杭州师范大学

摘要：本发明提出了一种人脸验证攻击方法和装置。将生成对抗网络中的注意力生成器G载入经过本发明优化后的模型参数，能够根据输入的不同被攻击者人脸图像，生成对应的对抗样本xadv，再攻击黑盒人脸识别模型的人脸验证任务，实现高质量可迁移的灰盒人脸验证攻击。本发明方法生成的对抗样本真实自然，攻击方式贴近人脸识别模型的现实使用场景，且大大减少了计算开销。基于生成对抗网络的模型在训练完成后不再需要借助白盒人脸识别模型，也能高效进行黑盒攻击，对抗样本具有可迁移性，能够有效迁移到更多的人脸识别模型中。

主权项：1.一种人脸验证攻击方法，其特征在于该方法包括以下步骤：步骤一、对被攻击者的原始人脸图像xoriginal进行预处理，得到预处理后的图像x，随机选取一张与原始人脸图像x属于同一对象的其他人脸图像作为非定向攻击的目标图像y；步骤二、将预处理后的图像x输入到注意力生成器G得到对抗噪声Gx；再对对抗噪声Gx使用服从二维高斯分布的卷积核进行卷积操作，即对图像进行高斯滤波操作得到对抗噪声Gx′original，将高斯模糊后的对抗噪声Gx′original进行裁剪操作，将图像的像素值控制在有效范围内，得到对抗噪声Gx′；最后将对抗噪声Gx′加入到预处理操作前的原始人脸图像xoriginal上，形成对抗样本xadv；xadv＝xoriginal+Gx′1步骤三、根据对抗噪声Gx′计算扰动损失Lperturbation，其计算方法如下：Lperturbation＝Ex[Maxε，||Gx′||2]2其中||·||2表示L2范数，ε为设置的对抗噪声扰动上限，Ex表示与处理后的整张图像x的期望值；步骤四、将对抗样本xadv传输给样本判别器D1，样本判别器D1用于对被攻击者的输入人脸图像与其对应生成的对抗样本之间进行图像真实性的判断，并以此计算生成对抗网络的对抗损失LGAN，其公式如3所示：LGAN＝Ex[logD1x]+Ex[log1-D1xadv]3式中D1x表示样本判别器D1对被攻击者人脸图像x的判别结果；D1xadv表示对对抗样本xadv的判别结果；步骤五、将对抗样本xadv传输到由本地白盒人脸识别模型作为身份判别器的D2，由本地白盒人脸识别模型对对抗样本xadv和目标人脸图像y提取特征，再对特征计算余弦相似度，并以此计算身份判别损失Lidentity，如公式4所示；Lidentity＝Ex[Fxadv，y]4其中，Fxadv，y表示由图像y和对抗样本xadv的特征向量计算余弦相似度；步骤六、根据步骤三、四、五得到的损失Lperturbation、LGAN、Lidentity和对应的权重，累加得到总损失L，如公式5所示；然后通过模型的反向传播，以最小化总损失L为生成对抗网络训练的最终目标，对注意力生成器G和样本判别器D1的参数进行更新，而不对身份判别器D2的参数进行更新；L＝LGAN+λiLidentity+λpLperturbation5式中λi和λp分别是身份判别损失Lidentity和扰动损失Lperturbation的权重系数；步骤七、利用步骤六反向传播更新后的注意力生成器G和样本判别器D1，重复步骤二至六，进行下一次的迭代训练；模型的训练将不停迭代优化总损失函数L，直至达到预设的迭代次数；步骤八、向注意力生成器G载入经过步骤七最终训练得到的最优攻击成功率的模型参数，根据输入的不同被攻击者人脸图像，生成对应的对抗样本xadv；步骤九、使用步骤八生成的对抗样本xadv攻击黑盒人脸识别模型的人脸验证任务，实现高质量可迁移的灰盒人脸验证攻击。

全文数据：

权利要求：

百度查询： 杭州师范大学 一种人脸验证攻击方法和装置