如何提高针对人脸识别对抗样本的迁移性?
所属行业:人工智能技术领域:电气自动化发布类型:已产业技术发布者:田...状态:已发布
发布日期:2024-10-15
| 推广标签: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
深度神经网络的提出极大提高了人脸识别的效率,也推动人脸识别模型在身份认证等安全场景中的应用。但深度神经网络容易受到对抗样本的攻击,甚至对抗样本可以在物理空间以隐蔽的方式实现,比如路牌上的对抗补丁、带有噪音的对抗眼镜等,这些给人脸识别模型的实际应用带来了全新的安全问题。AI算法攻防研究是目前计算机视觉识别领域的热门研究方向,通过攻防升级不断提升模型的鲁棒性。本次分享的论文,RealAI提出一种“基于生成模型提升人脸识别中对抗样本迁移性”的方法。
针对黑盒模型的攻防研究具有现实意义,但黑盒模型无法获知模型参数、无法进行大量访问等信息,所以需采用对抗样本的可迁移性开展针对黑盒的对抗研究,即首先针对某白盒替代模型开展攻击研究,然后将对应的攻击样本迁移至目标的黑盒模型上。这篇论文在原本基于迁移性的攻击技术基础上进行了扩展。
在基于迁移性的方法下,对抗样本的迁移性对于初始值很敏感,当扰动幅度较大时,即添加的对抗图案过于明显时,样本的可迁移性下降,这也表明攻击样本过拟合替代模型。因此,RealAI算法团队提出在低维数据流形上正则化对抗样本,流形由在正常人脸图像上预先训练的生成模型表示。通过在数据流形上优化,将人脸特征作为对抗性扰动,可以将替代模型的响应与目标模型的响应之间的差距显著减小,提升对抗样本的迁移能力。在数字世界的大量实验也证明了该方法的攻击成功性可得到提高,而且可应用于物理世界。