摘要
现有研究表明通过对输入的人脸图片施加扰动能够导致人脸识别系统发生误判,即对抗样本.当前,许多对抗样本攻击方法通过在扰动生成过程中对扰动进行旋转、调整尺度、添加随机噪声等变换,以实现增强攻击性的目的.该文首次发现对抗样本在由ndarray格式压缩为PNG(Portable Network Graphics)格式,再重建成ndarray格式时对抗性会得到增强.基于此,提出了基于掩膜的人脸压缩重建对抗攻击增强方法——在对抗样本的迭代生成中,在预定迭代次数下设置断点,并在断点处反复地对对抗图片的掩膜区域进行压缩重建(Compression&Reconstruction,C&R).在IFW人脸检测数据集上分别进行了单模型攻击和集成模型攻击的实验,结果证明,该方法生成的对抗样本在白盒场景下攻击成功率最高提高了2.3%,在黑盒场景中攻击成功率也有小幅提升.最后,分别通过两组超参数实验探讨了参数的不同选取对该方法攻击效果的影响,并给出了最优参数以供后续研究参考.
国家科技期刊平台
NSTL
维普
万方数据