[发明专利]人脸识别对抗攻击的防御方法及系统

说明书

本发明涉及一种人脸识别对抗攻击的防御方法及系统，所述防御方法包括：获取多个历史人脸图像；对各历史人脸图像进行对抗攻击，得到对应的对抗样本；根据各对抗样本，得到特征概率向量；对所述特征概率向量进行服从伯努利分布的随机二值采样，得到特征向量；根据所述特征向量及各对抗样本，构建奖励函数；根据所述奖励函数，采用强化学习方法，得到随机特征重构防御网络模型；基于所述随机特征重构防御网络模型，根据待处理对抗扰动图像，得到重构图像，以提高对对抗扰动图像识别的鲁棒性。

技术领域

本发明涉及图像处理技术领域，特别涉及一种人脸识别对抗攻击的防御方法及系统。

背景技术

深度学习是当前人工智能兴起的核心。在计算机视觉领域，它已经成为许多应用的主力军。特别是在对安全性要求较高的场景，如智能驾驶、人脸识别、语音助手等，除了需要神经网络有良好的性能外，还需要它有足够的鲁棒性。对抗样本的存在已经对深度学习模型的安全性造成了严重的威胁。

对抗样本的概念为，对人类视觉系统并不敏感的微小扰动，却能让神经网络过于敏感而产生错误的识别。在图像分类任务中，通过对原始图片添加敌对者精心构造的微小扰动，人类视觉系统难以分辨的情况下，却让分类模型产生了误判。

目前针对对抗样本防御方法主要分为三类：

对抗防御上存在三个主要方向：1.数据预处理；2.提高模型的鲁棒性；3.恶意检测。

目前的防御方法中，数据预处理是应用比较广泛的对抗防御方法，但是鲁棒性较差。

发明内容

为了解决现有技术中的上述问题，即为了提高对对抗扰动图像识别的鲁棒性，本发明的目的在于提供一种人脸识别对抗攻击的防御方法及系统。

为解决上述技术问题，本发明提供了如下方案：

一种人脸识别对抗攻击的防御方法，所述防御方法包括：

获取多个人脸图像；

对各人脸图像进行对抗攻击，得到对应的对抗样本；

根据各对抗样本，得到特征概率向量；

对所述特征概率向量进行服从伯努利分布的随机二值采样，得到特征向量；

根据所述特征向量及各对抗样本，构建奖励函数；

根据所述奖励函数，采用强化学习方法，得到随机特征重构防御网络模型；

基于所述随机特征重构防御网络模型，根据待处理对抗扰动图像，得到重构图像。

优选地，所述根据各对抗样本，得到特征概率向量，具体包括：

通过去噪自编码器对各对抗样本进行去噪处理，得到对应的去噪样本；

基于特征概率网络，根据各去噪样本，得到特征概率向量。

优选地，所述特征概率网络包括依次连接的卷积层、修正线性单元层、池化操作层、第一全连接层及第二全连接层；所述第二全连接层的激活函数为Sigmod。

对所述特征概率向量进行服从伯努利分布的随机二值采样，得到特征向量，具体包括：

根据所述特征概率向量，通过服从伯努利分布的随机二值采样，得到K个1，N-K个0的特征值，各特征值构成特征向量；

其中，特征值1表示对应的特征保留；特征值0表示对应的特征不保留。

根据以下公式，确定奖励函数：

；

；

；