摘要
近年来随着人工智能技术的不断发展,人脸识别已经广泛应用于人们的生产和生活中,其涉及的应用安全和隐私问题也受到越来越多的关注。研究表明,尽管人脸识别模型具有极高的识别准确率,但向原始图像添加微小的扰动后得到的对抗样本,仍会使得人脸识别模型决策出错。此外,随着社交网络的发展,用户在社交网络上分享的人脸图像,存在用户隐私泄露的风险。为探究对抗样本对人脸识别模型鲁棒性的影响,并有效保护社交网络用户图像的隐私安全,本文对人脸验证的对抗攻击和隐私保护方法进行了研究。主要工作如下: 首先,针对现有对抗攻击方法需要以白盒方式获取目标人脸识别模型信息进行攻击,图像不够真实自然或无法对不同的人脸识别模型实现较好的攻击效果。本文提出了一种基于生成对抗网络的半白盒可迁移对抗样本生成方法。该方法引入注意力生成器,并采用高斯滤波保留扰动的低频分量,提高对抗样本的迁移性。分别定义了三种损失函数约束对抗样本的扰动幅度、感知真实度和对抗攻击效果,并提出一种新颖的损失函数权重自适应调整策略,进一步增强对抗样本的攻击效果。实验结果表明,该方法在白盒人脸识别模型上实现了99.98%的攻击成功率。在多种黑盒人脸识别模型上均实现了更好的攻击迁移。 其次,针对现有的社交网络人脸图像去识别化方法无法再满足社交网络图像分享的可用性要求,隐私保护过程存在信息泄露风险且抗压缩效果较差,本文基于对抗样本,提出了一种针对社交网络人脸图像的协同隐私保护方法。通过以对抗扰动代替原始人脸图像进行迁移,用户端和服务器端协同构造隐私保护对抗样本,避免了服务器端由于上传和存储图像而导致的信息泄露。该方法在训练阶段,引入频域限制模块限制图像的高频分量,以增强经过社交网络JPEG压缩后的隐私保护效果。实验结果表明,该方法能够生成真实自然的隐私保护图像,在跨姿态和跨年龄等不同数据集和人脸识别模型上均实现了较好的隐私保护效果,且经过图像压缩处理后仍具有较好的隐私保护效果。
NETL