本發明公開了一種基于黑盒的通用人臉檢測對抗攻擊的方法，將圖片進行預處理之后送入人臉檢測器，得到模型預測的分類分數。這個分類分數是一個三維的向量，其中第一個維度是圖片的數量；第二個維度為N個預測可能存在的人臉；第三個維度為2，是非人臉和人臉的概率分數。使用提取的人臉概率向量，在每一次迭代中將圖片依次送入這些模型提取人臉概率向量并進行求和作為損失函數并反向傳播來訪問攻擊圖像的梯度。通過圖像的梯度，可知模型在圖像的最大響應位置并添加噪聲，直到人臉檢測器無法檢測到人臉，停止迭代。通過本方法生成的對抗樣本可用于對抗訓練，人臉圖片不容易再被第三方進行利用從而加強數據安全，從而加強數據的安全性。

技術領域

本發明涉及計算機技術領域，尤其涉及一種基于黑盒通用人臉檢測對抗攻擊的方法、裝置及存儲介質。

背景技術

神經網絡在人臉檢測方面取得了巨大的成功，然而，它們很容易受到對抗樣本的影響-人類無法察覺的小擾動會導致人臉檢測器輸出錯誤的預測。當一個成熟的人臉系統被惡意攻擊成功時，可能會帶來嚴重后果，因此針對惡意攻擊行為的可靠性和健壯性就變得至關重要。

目前的人臉對抗攻擊方法大部分都知道人臉檢測模型結構(簡稱白盒攻擊)，基于白盒攻擊的方法通常是直接訪問人臉檢測模型模型內部，然后通過某些方法在原圖像上的某個位置生成補丁或者是添加噪聲，改動之后會留下明顯的改動痕跡，若更換了人臉檢測模型，則這個生成的圖片有極大的概率在這個新的人臉檢測模型中失效。所以基于白盒攻擊的人臉對抗攻擊方法不太適用與真實場景。真實情況往往是不知道人臉檢測模型結構的，往往只能訪問模型的輸入與輸出(簡稱黑盒攻擊)，因此，如何在人臉檢測模型上開發一個通用的黑盒攻擊方式是一個很需要解決的問題。

發明內容

通過本方法生成的對抗樣本可用于對抗訓練，人臉圖片不容易再被第三方進行利用從而加強數據安全，從而加強數據的安全性。

本發明旨在至少解決現有技術中存在的技術問題。為此，本發明公開了一種基于黑盒的通用人臉檢測對抗攻擊的方法，所述對抗攻擊的方法包括如下步驟：

步驟1，人臉檢測并提取最大分類分數；

步驟2，使用第一個過程提取的人臉概率向量循環攻擊。

更進一步地，所述步驟1進一步包括：將圖片進行預處理之后送入人臉檢測器，得到模型預測的分類分數，其中，所述分類分數是一個三維的向量，其中第一個維度是圖片的數量；第二個維度為N個預測可能存在的人臉；第三個維度為2，是非人臉和人臉的概率分數，在第三個維度進行排序，提取為人臉的概率最大的向量作為攻擊對象并送入下一步。

更進一步地，所述步驟2進一步包括：采用代理模式在每一次迭代中，使用多個人臉檢測器，將圖片依次送入這些模型提取人臉概率向量，把所述人臉概率向量進行求和作為損失函數并反向傳播來訪問攻擊圖像的梯度，通過圖像的梯度求得模型在圖像的哪些位置響應最大，在所述響應最大的位置添加噪聲，直到人臉檢測器無法檢測到人臉，停止迭代。

更進一步地，所述多個人臉檢測器可以選擇相同檢測器，也可以選擇不同的檢測器，當選擇不同人臉檢測模型組合時，所述多個人臉檢測器獲取更好效果。

更進一步地，所述添加噪聲進一步的計算形式為：利用圖像的梯度值除以圖像梯度值的范數，再設置一個學習率的較小的步長與其相乘后作為噪聲添加到圖像中。

更進一步地，所述代理模式進一步包括：綜合多個模型的結果，由于不同模型對同一張圖片的響應位置都不相同，綜合多個強模型的輸出，把它們的輸出向量的經softmax函數后逐一求和，再反向傳播，就能得到多樣性的梯度響應，從而使大多數人臉檢測模型失效，所述softmax函數為：

其中，Zi和Zj是分類器前級輸出單元的輸出，i標示類別索引，總的類別個數為C。