[发明专利]一种面向人脸识别的对抗补丁攻击方法

权利要求书

1.一种面向人脸识别的对抗补丁攻击方法，其特征在于：该方法包括以下步骤：

S1：选择随机补丁进行预处理，切割出口罩形状与输入类原图进行拼接，模拟口罩在人脸的图片做为初始输入；

S2：生成图片和原始图像交给网络进行特征提取，分别得到两个的图片的映射向量输出，并记录下特征值；

S3：将对抗补丁合成图片输出向量与真实类的输出向量带入损失函数计算，通过梯度方向更新补丁像素并生成全新的对抗补丁；

S4：进行迭代，重复第一步操作达到约设置迭代次数阈值，输出最终的对抗补丁。

2.根据权利要求1所述的一种面向人脸识别的对抗补丁攻击方法，其特征在于：所述S4中，进行迭代的迭代方法是对每张图片x连续重复m次训练，计算扰动r时复用上一步的梯度，为保证速度且增强隐蔽性，整体epoch会除以m；其中r的更新公式为：

r_t+1＝r_t+∈·sign(g)

其中sign(g)代表梯度方向，∈为预设的超参数来控制梯度方向到大小；其中输入x，标签y对于损失函数的梯度写为：

具体的迭代步骤算法如下：

对于原始输入样本x及对应的标签y，选择出书补丁p₀进行训练；在N/m次迭代过程中，每轮对补丁进行更新；在其中的每一轮内，第一步对图片x进行补丁的覆盖得到全新的人脸图片，进而模拟佩戴口罩；第二步通过损失函数L(x₀，y，θ)计算损失值；第三步计算损失函数对应的梯度第四步通过随机梯度下降方法更新模型参数θ，更新公式为：通过更新后的θ对输入x更新梯度，从而得到更新对抗补丁的梯度方向最终在原始补丁上累加上梯度方向单位值，即p₀←p₀+∈·sign(g_adv)；重复第四步m次直到得到梯度下降结束；

总的损失函数为：

其中P_adv代表生成的对抗补丁，P₀代表未进行迭代的初始补丁，这里选择随机噪声，x代表输入人脸图像，x_t代表目标对象；

相似损失函数对于定向攻击写成：

l_tsim(P_adv，x，x_t)＝cos(em(T(P_adv，x))，em(x_t))

其中em(...)代表将图片输入给人脸识别网络输出的映射向量(Embedding)，T(...)代表将将补丁转到人脸上的变换操作，cos(...)是向量之间的余弦距离；对于非定向攻击，相似损失函数的形式是：

l_utsim(P_adv，x，x_t)＝-cos(em(T(P_adv，x))，em(x))

通过最小化生成映射向量与目标向量的余弦距离来诱导网络误判；风格损失表示为生成补丁和初始补丁之间的格莱姆矩阵的差：

其中G(...)是格莱姆矩阵，用来表示特定图结构和计算相关性系数的矩阵，描述图中结点之间的关系和一个内部网层的结构；采用格拉姆矩阵来保持补丁来自原始的风格性；原始的格拉姆矩阵需要迭代网络的底层到高层，每次把最高层的输入带入损失一同参与迭代。