本发明涉及人脸识别,尤其涉及基于gan的人脸识别对抗攻击防御方法。
背景技术:
1、人脸识别技术的迅猛发展带来了巨大的社会影响。社交媒体、公共场所监控等场景中的人脸数据收集成为常态,然而,这也使得个体隐私更容易受到侵犯。人脸识别系统可用于识别社交媒体资料,并通过大规模照片分析跟踪用户关系。这种对用户的过度监控迫切需要一种有效的方法来帮助个人保护他们的面部图像免受未经授权的人脸识别系统的攻击。
2、目前来说,对人脸隐私保护的方法主要有:混淆技术、数据投毒攻击和利用对抗示例发起规避。
3、利用对抗示例发起规避是现在主流的人脸隐私保护方法,其通过有意制作迷惑性输入来欺骗面部识别系统,使其在实际应用中产生错误的方法。主流的对抗示例发起规避攻击的方法主要为冒充,即让生成的对抗示例被识别为指定target(目标身份)。对抗性示例是通过对输入数据进行微小但有针对性的扰动而生成的,这种扰动足够小,以至于人眼难以察觉,但足以使机器学习模型产生错误的输出。如,近年火热的amt-gam,设计了一个基于特征解纠缠的正则化模块来提高对抗性图像的视觉质量,然后开发了一个联合训练管道来训练生成器、鉴别器和正则化模块,生成器就可以同时完成两个任务,化妆传输和对抗性攻击,并在不同的数据流形之间建立鲁棒的映射。其对各种商业化的人脸识别api都有较好的效果,但是对抗示例的生成过度依赖化妆的参考图像,且生成的带妆容的对抗示例很不自然,尤其是对男性人脸图像生成对抗示例时。现有的对抗示例发起规避的方法大多存在生成的对抗示例不自然和对抗示例被人脸识别模型识别为目标身份的成功率不高的问题。
技术实现思路
1、本发明提供一种基于gan的人脸识别对抗攻击防御方法,以克服现有的大多数人脸隐私保护方法中存在的生成对抗示例不自然、攻击成功率不高、攻击模型可转移性低的问题。
2、为了实现上述目的,本发明的技术方案是:
3、一种基于gan的人脸识别对抗攻击防御方法,包括:
4、s1:将原始人脸图像和人脸面部表情单元输入全局gan生成器,并使用判别器进行对抗训练,得到符合所述人脸面部表情单元的原始对抗示例图像;
5、s2:将所述原始人脸图像进行裁剪,得到眼睛、鼻子和嘴巴的图像;构建整体gan生成器、眼睛gan生成器、鼻子gan生成器和嘴巴gan生成器;并将所述原始人脸图像和所述眼睛、鼻子和嘴巴的图像与所述人脸面部表情单元输入所述整体gan生成器、眼睛gan生成器、鼻子gan生成器和嘴巴gan生成器中,得到生成的整体、眼睛、鼻子和嘴巴图像;
6、s3:将所述原始对抗示例图像进行裁剪,得到眼睛、鼻子和嘴巴的对抗图像;将所述生成的整体、眼睛、鼻子和嘴巴图像和所述原始对抗示例图像、眼睛、鼻子和嘴巴的对抗图像进行dct变换,并去除高频分量;计算经dct变换和去除高频分量后生成的整体、眼睛、鼻子和嘴巴图像与原始对抗示例图像、眼睛、鼻子和嘴巴的对抗图像的自然度损失函数;
7、s4:输入待测目标整体图像并将所述待测目标整体图像裁剪为眼睛、鼻子和嘴巴的目标图像,将所述原始对抗示例图像、所述眼睛、鼻子和嘴巴的对抗图像、所述待测目标整体图像和所述眼睛、鼻子和嘴巴的目标图像分别经过dct变换,并去除低频分量,计算经dct变换和去除低频分量后原始对抗示例图像、眼睛、鼻子和嘴巴的对抗图像与待测目标整体图像和眼睛、鼻子和嘴巴的目标图像的攻击成功率损失函数;
8、s5:构建k个预训练好的人脸识别模型,将所述原始对抗示例图像经过输入多样性函数tp进行概率变换,攻击所述人脸识别模型,得到关于输入多样性函数tp处理的对抗示例和所述待测目标整体图像经过人脸识别模型得到的特征图像的多样性攻击损失函数;
9、s6:使用所述三种损失函数更新所述全局gan生成器和所述判别器的参数,将原始人脸图像输入更新后的全局gan生成器和判别器,生成最终的对抗示例。
10、进一步的,将原始人脸图像和人脸面部表情单元输入全局gan生成器,并使用判别器进行对抗训练,得到符合所述人脸面部表情单元的原始对抗示例图像,包括:
11、s11、将原始人脸图像和人脸面部表情单元输入全局gan生成器,得到原始对抗示例图像;
12、s12、使用判别器对所述原始人脸图像和所述原始对抗示例图像进行评估,与所述全局gan生成器进行对抗训练,对抗训练过程如公式(1)和(2)所示,
13、
14、其中,表示判别器损失,表示全局gan生成器损失,d表示判别器,g表示全局gan生成器,λc表示判别损失权重,λgp表示梯度惩罚损失权重,代表原始人脸图像,a0代表原始人脸图像本身的人脸面部表情单元,ai代表输入的人脸面部表情单元,x*代表原始人脸图像与生成的图像的随机插值分布。
15、进一步的,s3将所述原始对抗示例图像进行裁剪,得到眼睛、鼻子和嘴巴的对抗图像;将所述生成的整体、眼睛、鼻子和嘴巴图像和所述原始对抗示例图像、眼睛、鼻子和嘴巴的对抗图像进行dct变换,并去除高频分量;计算经dct变换和去除高频分量后生成的整体、眼睛、鼻子和嘴巴图像与所述眼睛、鼻子和嘴巴的对抗图像的自然度损失函数,包括:
16、s31、将所述原始对抗示例图像进行裁剪,得到眼睛、鼻子和嘴巴的对抗图像;
17、s32、将所述生成的整体、眼睛、鼻子和嘴巴图像和所述眼睛、鼻子和嘴巴的对抗图像进行dct变换,得到dct分量;
18、s33、设大于所述dct分量的值为高频分量,将所述高频分量重置为0,去除所述高频分量;
19、s34、计算去除高频分量后的整体、眼睛、鼻子和嘴巴图像与眼睛、鼻子和嘴巴的对抗图像的自然度损失函数,所述自然度损失函数包括ssim损失和mse损失,整体图像做ssim损失,局部特征做mse损失,所述自然度损失函数如公式(3)所示,
20、
21、
22、其中,表示图像经过dct变换并去除高频分量后得到的dct分量,λg表示全局自然损失权重,gp表示局部gan生成器,为眼睛gan生成器、鼻子gan生成器和嘴巴gan生成器,λl表示局部自然损失权重,cropp将对抗示例裁剪得到的眼睛、鼻子和嘴巴的对抗图像。
23、进一步的,s4输入待测目标整体图像并将所述待测目标整体图像裁剪为眼睛、鼻子和嘴巴的目标图像,将所述原始对抗示例图像、所述眼睛、鼻子和嘴巴的对抗图像、所述待测目标整体图像和所述眼睛、鼻子和嘴巴的目标图像分别经过dct变换,并去除低频分量,计算经dct变换和去除低频分量后原始对抗示例图像、眼睛、鼻子和嘴巴的对抗图像与待测目标整体图像和眼睛、鼻子和嘴巴的目标图像的攻击成功率损失函数,包括:
24、s41、输入待测目标整体图像并将所述待测目标整体图像裁剪为眼睛、鼻子和嘴巴的目标图像;
25、s42、将所述原始对抗示例图像、所述眼睛、鼻子和嘴巴的对抗图像、所述待测目标整体图像和所述眼睛、鼻子和嘴巴的目标图像分别经过dct变换,得到dct分量;
26、s43、设小于所述dct分量的值为低频分量,将所述低频分量重置为0,去除所述低频分量;
27、s44、计算去除所述低频分量的原始对抗示例图像、眼睛、鼻子和嘴巴的对抗图像与待测目标整体图像和眼睛、鼻子和嘴巴的目标图像的攻击成功率损失函数,使用mse损失计算所述攻击成功率损失函数,如公式(4)所示,
28、
29、其中,表示图像经过dct变换并去除低频分量后得到的dct分量,xt表示目标图像,λ1表示全局攻击损失权重,λ2表示局部攻击损失权重,m代表经过dct变换后的图像的中位数。
30、进一步的,s5构建k个预训练好的人脸识别模型,将所述原始对抗示例图像经过输入多样性函数tp进行概率变换,攻击所述人脸识别模型,得到关于输入多样性函数tp处理的对抗示例和所述待测目标整体图像经过人脸识别模型得到的特征图像的多样性攻击损失函数,包括:
31、s51、构建k个预训练好的人脸识别模型;
32、s52、将所述原始对抗示例图像经过输入多样性函数tp进行概率变换,并将输入多样性函数tp处理后的对抗示例和目标图像输入所述k个预训练好的人脸识别模型,得到关于对抗示例和目标图像的k个特征图像;
33、s53、计算所述对抗示例的k个特征图像和所述目标图像的k个特征图像的多样性攻击损失函数,如公式(5)所示,
34、
35、其中,λtrans表示可转移增强损失权重,k表示k个人脸识别模型,ck(.)表示经过人脸识别模型k得到的特征图像。
36、进一步的,s6使用所述三种损失函数更新所述全局gan生成器和所述判别器的参数,将原始人脸图像输入更新后的全局gan生成器和判别器,生成最终的对抗示例,包括:
37、s61、根据所述三种损失函数,使用反向传播算法计算所述全局gan生成器生成参数和所述判别器判别参数的梯度值,并根据所述梯度值和gmaa方法中的学习率计算新的生成参数和判别参数;
38、s62、使用所述新的生成参数和判别参数更新所述全局gan生成器生成参数和所述判别器判别参数,生成gan生成器权重文件并保存,根据所述gan生成器权重文件配置新的全局gan生成器,得到更新后的全局gan生成器和判别器;
39、s63、将原始人脸图像输入所述更新后的全局gan生成器,生成对抗示例,并使用所述更新后的判别器对所述原始人脸图像和所述对抗示例进行评估,得到评估后的损失函数;
40、s64、根据所述损失函数进行所述更新后的全局gan生成器和所述更新后的判别器的对抗训练,得到最小的损失函数,生成最终的对抗示例。
41、本发明相对于传统混淆技术来说,通过将图像进行dct变换处理,有更高的攻击准确率,可以生成更自然的人脸图像,攻击训练好的人脸识别模型,提高了对抗示例可攻击模型的多样性;该方法保证生成的人脸图像在社交媒体上正常使用,同时有效保护人脸图像免受非法人脸识别系统的侵害。
1.一种基于gan的人脸识别对抗攻击防御方法,其特征在于,包括:
2.根据权利要求1所述的基于gan的人脸识别对抗攻击防御方法,其特征在于,s1将原始人脸图像和人脸面部表情单元输入全局gan生成器,并使用判别器进行对抗训练,得到符合所述人脸面部表情单元的原始对抗示例图像,包括:
3.根据权利要求1所述的基于gan的人脸识别对抗攻击防御方法,其特征在于,s3将所述原始对抗示例图像进行裁剪,得到眼睛、鼻子和嘴巴的对抗图像;将所述生成的整体、眼睛、鼻子和嘴巴图像和所述原始对抗示例图像、眼睛、鼻子和嘴巴的对抗图像进行dct变换,并去除高频分量;计算经dct变换和去除高频分量后生成的整体、眼睛、鼻子和嘴巴图像与所述眼睛、鼻子和嘴巴的对抗图像的自然度损失函数,包括:
4.根据权利要求1所述的基于gan的人脸识别对抗攻击防御方法,其特征在于,s4输入待测目标整体图像并将所述待测目标整体图像裁剪为眼睛、鼻子和嘴巴的目标图像,将所述原始对抗示例图像、所述眼睛、鼻子和嘴巴的对抗图像、所述待测目标整体图像和所述眼睛、鼻子和嘴巴的目标图像分别经过dct变换,并去除低频分量,计算经dct变换和去除低频分量后原始对抗示例图像、眼睛、鼻子和嘴巴的对抗图像与待测目标整体图像和眼睛、鼻子和嘴巴的目标图像的攻击成功率损失函数,包括:
5.根据权利要求1所述的基于gan的人脸识别对抗攻击防御方法,其特征在于,s5构建k个预训练好的人脸识别模型,将所述原始对抗示例图像经过输入多样性函数tp进行概率变换,攻击所述人脸识别模型,得到关于输入多样性函数tp处理的对抗示例和所述待测目标整体图像经过人脸识别模型得到的特征图像的多样性攻击损失函数,包括:
6.根据权利要求1所述的基于gan的人脸识别对抗攻击防御方法,其特征在于,s6使用所述三种损失函数更新所述全局gan生成器和所述判别器的参数,将原始人脸图像输入更新后的全局gan生成器和判别器,生成最终的对抗示例,包括:
