摘要
近年来,对抗样本的出现威胁着深度神经网络的发展,针对对抗样本攻击及防御方法研究成为了深度学习领域极为重要的课题。对抗样本的存在不仅影响了学术研究领域,更会对实际生产生活的各个方面造成了不可估量的损失。例如关乎民生的金融领域在线支付人脸识别技术,可能会因为对抗样本的存在,给交易双方带去巨大的安全隐患。 本篇论文将针对人脸识别系统,深入研究人脸识别场景下对抗样本的攻击能力和迁移能力,全篇由以下两组研究要点构成: 1.从人脸图像表达的角度,探究如何提升人脸图像对抗样本的迁移攻击能力。本文提出了基于深度图像先验的人脸识别黑盒攻击方法DIP-Fawkes。该方法创新性地使用了隐编码和生成器网络对人脸图像进行表达,使人脸图像优化参数转换为生成器网络参数,参数搜索空间进一步扩张,参数量由2.5万增至200万,为求得最优解提供了更多的可能性。实验结果显示,DIP-Fawkes在LFW数据集上对FaceNet以及Arcface进行攻击时,相较于Fawkes方法,攻击精度分别提升6%和5%,在FaceNet和Arcface上的人脸验证率分别保持在28%和30%左右,在客观评价指标上具有显著优势,大幅提升了人脸对抗样本的迁移攻击能力。 2.从损失优化方法的角度,探究如何在DIP-Fawkes基础上进一步提升人脸图像对抗样本的迁移攻击能力。本文在优化过程引入了指向性特征和视觉掩膜两种迁移性提升的操作,改进后的方法分别记作DIP-Fawkes-T和DIP-Fawkes-TM。实验结果显示,指向性特征可以有效的引导人脸对抗样本特征方向的选择,确实能够提升人脸对抗样本攻击的可迁移性,相较于DIP-Fawkes方法,DIP-Fawkes-T在FaceNet和Arcface中攻击精度均提升约1%。此外,视觉掩膜也能够对人脸对抗样本的迁移攻击起到一定的积极作用,相较于DIP-Fawkes-T方法,DIP-Fawkes-TM在Arcface中攻击精度提升约2%。
NETL