[发明专利]一种基于空间敏感度的人脸对抗样本检测方法

说明书

本发明针对人脸识别模型的安全性问题，公开了一种基于空间敏感度的人脸对抗样本检测方法。所述方法首先通过视频流和帧采样获取人脸图像数据集，然后计算人脸图像数据集和基于攻击方法生成的人脸对抗样本集之间的空间域敏感度作为样本特征，训练由全连接FC层和批量归一化BN层构成的二分类器，来区分人脸图像中的对抗样本和正常样本。本发明方法可以对人脸图像数据过滤对抗样本，加固人脸识别系统的安全性。

技术领域

本发明涉及对抗样本的防御技术领域，具体涉及人脸识别系统中的安全性问题，提出了一种基于空间敏感度的人脸对抗样本检测方法。

背景技术

受益于大数据的出现和大规模计算能力的提升，基于深度学习的人脸检测和识别技术已经取得了良好的性能，已大大超越了传统的算法，广泛应用于金融验证、侦察安防、手机登录等现实场景中。但其深度学习模型存在微小调整的输入样本导致输出错误问题，这种问题称为对抗样本。对抗样本的存在会使深度学习模型在现实场景中造成巨大的安全威胁，成为人脸识别模型进一步要解决的关键问题。

人脸对抗样本攻击的形式主要分为两种，物理和数字形式的对抗攻击。物理对抗样本攻击来源于采集人脸图像的摄像头获取了实物化的对抗样本因子，如眼镜、帽子等。数字对抗样本攻击来源于数据传输中的数据包劫持被替换为对抗样本。现今的对抗样本防御方法主要分为仅检测与完全防御两类，在一定程度上都达到了抵御对抗攻击的效果。但在安全敏感的人脸识别应用领域中，完全防御方法需要大量的人脸样本训练，具有较差的可行性。仅检测防御方法可以通过无监督的方法，在少量的样本数据上获取对抗样本和正常样本的差异特征，从而得到良好性能的人脸对抗样本的分类器。

发明内容

为了降低对抗样本对人脸识别系统造成错误判断的影响，本发明提供一种基于空间敏感度的人脸对抗样本检测方法，能够准确地检测来自实时人脸数据中的对抗性样本，解决具有挑战性的微小扰动的人脸对抗样本攻击的问题。本发明的技术方案特征包括以下步骤：

步骤一：设置人脸检测区域，通过摄像头获得实时视频流，经过帧采样得到人脸图像数据集X；

步骤二：对人脸图像数据集X归一化预处理得到原始样本数据集X_data，同时划分训练集与测试集，选定神经网络模型M进行训练和测试，得到具有良好分类性能的基础模型M_data及其预测置信度m_data；

步骤三：基于迭代对抗样本攻击方法，利用梯度优化在原始人脸图像数据集X的特征值上生成变化细微的人脸对抗样本集X_adv；

步骤四：对人脸图像数据集X，使用线性降维方法对人脸图像数据进行空间域转换，得到空间变换域WT的样本数据集X_tran；

步骤五：使用样本数据X_tran在神经网络模型M进行训练和测试，得到与基础模型M_data预测标签相同的域转换模型M_wt；

步骤六：使用人脸对抗样本集X_adv在域转换模型M_wt上进行再次训练，得到对抗样本攻击后的域转换模型M_awt及其预测置信度m_awt；

步骤七：对输入的人脸图像数据，计算x_i的空间敏感度值S(x_i)，其中1≤i≤n,公式如下：

S(x_i)＝{m_data(x_i)-m_awt(x_i)}

步骤八：搭建由全连接FC层和批量归一化BN层组成的二分类器，将空间敏感度值S(x_i)作为深度神经网络二分类器的输入，训练得到二分类模型D；