[发明专利]基于主动防御图像对抗攻击的人脸识别方法

说明书

本发明公开了一种基于主动防御图像对抗攻击的人脸识别方法，包括以下步骤：(1)将人脸视频截取成帧图像，经IS‑FDC分割后添加人脸标签，以建立人脸库；(2)利用FaceNet模型提取静态帧图像的脸部特征；(3)利用LSTM网络提取人脸视频的行为特征后，将行为特征输入至AlexNet模型中，经提取获得微表情特征；(4)将脸部特征与微表情特征拼接获得最终脸部特征，根据人脸库中存储的人脸标签确定该最终脸部特征对应的人脸标签。该方法能够有效地防御图像对抗攻击，提高了人脸识别准确度。

技术领域

本发明属于人脸识别领域，具体涉及一种基于主动防御图像对抗攻击的人脸识别方法。

背景技术

人脸识别主要是从人脸图像中自动提取人脸特征，然后根据这些特征进行身份验证。随着信息技术、人工智能、模式识别、计算机视觉等新技术的快速发展，人脸识别技术在公安、交通等安全系统领域有着各种潜在的应用，因而受到广泛的关注。

目前人脸识别的深度学习网络主要有Deepface、VGGFace、Resnet以及Facenet等。它们都能识别静态人脸图片，而人脸作为生物特征具有相似性和易变性，人脸的外形很不稳定，人可以通过脸部的动作产生很多表情，而在不同观察角度，人脸的视觉差异性也很大。当前最先进的人脸识别模型可以正确识别被遮挡的人脸和静态的人脸图片，但是对做出表情的人脸识别正确率不高。

虽然深度学习模型在执行人脸识别的视觉任务中拥有很高的精度，但是深度神经网络却很容易受到图像中细小扰动的敌对攻击，这种细小的扰动对人类视觉系统来说几乎是不可察觉的。这种攻击可能完全颠覆神经网络分类器对图像分类的预测。更糟糕的是，被攻击的模型对错误的预测表现出很高的置信度。而且，相同的图像扰动可以欺骗多个网络分类器。

目前，对抗敌对攻击的防御措施正在沿着三个主要方向发展：

(1)在学习中使用改进的训练集或在测试中使用被改动过的输入。

(2)修改深度学习网络，例如通过添加更多的层/子网络。

(3)用外部模型作为网络附件对未知的样本进行分类。

修改训练的典型防御方法有防御对抗训练和数据压缩重构。对抗训练，也就是将对抗样本附带正确类标作为正常样本加入训练集进行训练，导致网络正规化以减少过度拟合，这反过来又提高了深度学习网络抵御对抗攻击的鲁棒性。重构方面，Gu和Rigazio引入了深度压缩网络(DCN)。它表明去噪自动编码器可以减少对抗噪声，实现对对抗样本的重构，基于l-bfgs的攻击则证明了DCN的鲁棒性。

Papernot等人利用“蒸馏”的概念来对抗攻击，本质上利用网络的知识来提高自身的鲁棒性。以训练数据的类概率向量的形式提取知识，并反馈来训练原始模型，这样做可以提高网络对图像中微小扰动的恢复能力。

李等人使用了流行的生成对抗性网络的框架来训练一个对类似于FGSM攻击具有鲁棒性的网络。他提出顺着一个会对目标网络产生扰动的网络去训练目标网络。在训练过程中，分类器一直试图对干净和添加了扰动的图像进行正确的分类。将这种技术归类为“附加”方法，因为作者提出始终以这种方式训练任何网络。在另一个以GAN为基础的防御中，Shen等人使用网络产生扰动的部位去纠正扰动的图像。

越来越多且有效的对抗攻击对深度学习神经网络的稳定性和防御能力提出了更高的要求。

发明内容

为了克服目前人脸识别方法易受攻击、对表情识别能力低的特点，本发明提供了一种基于主动防御图像对抗攻击的人脸识别方法，该方法通过多通道结合人脸识别、LSTM行为识别、微表情识别，能在受到图像对抗攻击的情况下正确识别人脸，抵御攻击。

本发明提供的技术方案为：

一方面，一种基于主动防御图像对抗攻击的人脸识别方法，包括以下步骤：