针对身份证文本识别的黑盒攻击算法研究

扫码查看

原文链接

万方数据
维普

中文摘要：身份证认证场景多采用文本识别模型对身份证图片的字段进行提取、识别和身份认证，存在很大的隐私泄露隐患。并且，当前基于文本识别模型的对抗攻击算法大多只考虑简单背景的数据(如印刷体)和白盒条件，很难在物理世界达到理想的攻击效果，不适用于复杂背景、数据及黑盒条件。为缓解上述问题，本文提出针对身份证文本识别模型的黑盒攻击算法，考虑较为复杂的图像背景、更严苛的黑盒条件以及物理世界的攻击效果。本算法在基于迁移的黑盒攻击算法的基础上引入二值化掩码和空间变换，在保证攻击成功率的前提下提升了对抗样本的视觉效果和物理世界中的鲁棒性。通过探索不同范数限制下基于迁移的黑盒攻击算法的性能上限和关键超参数的影响，本算法在百度身份证识别模型上实现了 100％的攻击成功率。身份证数据集后续将开源。

外文标题：Research on Black-box Attack Algorithm by Targeting ID Card Text Recognition

外文摘要：Identity card authentication scenarios often use text recognition models to extract,recognize,and au-thenticate ID card images,which poses a significant privacy breach risk.Besides,most of current adversarial attack algorithms for text recognition models only consider simple background data(such as print)and white-box condi-tions,making it difficult to achieve ideal attack effects in the physical world,and is not suitable for complex back-grounds,data,and black-box conditions.In order to alleviate the above problems,this paper proposes a black-box attack algorithm for the ID card text recognition model by taking into account the more complex image back-ground,more stringent black-box conditions and attack effects in the physical world.By using the transfer-based black-box attack algorithm,the proposed algorithm introduces binarization mask and space transformation,which improves the visual effect of adversarial examples and the robustness in the physical world while ensuring the at-tack success rate.By exploring the performance upper limit and the influence of key hyper-parameters of the trans-fer-based black-box attack algorithm under different norm constraints,the proposed algorithm achieves 100％at-tack success rate on the Baidu ID card recognition model.The ID card dataset will be made publicly available in the future.

外文关键词：

Adversarial examplesblack-box attackID card text recognitionphysical worldbinarization mask

作者：

徐昌凯、冯卫栋、张淳杰、郑晓龙、张辉、王飞跃

展开 >

作者单位：

北京交通大学计算机与信息技术学院信息科学研究所北京 100044

现代信息科学与网络技术北京市重点实验室北京 100044

中国科学院自动化研究所多模态人工智能系统全国重点实验室北京 100190

中国科学院自动化研究所复杂系统管理与控制国家重点实验室北京 100190

中国科学院大学人工智能学院北京 100049

北京航空航天大学交通科学与工程学院北京 100191

展开 >

关键词：

对抗样本黑盒攻击身份证文本识别物理世界二值化掩码

基金：

科技创新2030——"新一代人工智能"重大项目北京市自然科学基金国家自然科学基金国家自然科学基金中国人工智能学会——昇腾CANN学术基金OpenI启智社区资助

项目编号：

2020AAA0108401JQ200226207202672225011

出版年：

2024

DOI：

10.16383/j.aas.c230344

自动化学报

中国自动化学会中国科学院自动化研究所

自动化学报

CSTPCD北大核心

影响因子：1.762

ISSN：0254-4156

年,卷(期)：2024.50(1)

参考文献量44