本發明針對人臉識別模型的安全性問題，公開了一種基于空間敏感度的人臉對抗樣本檢測方法。所述方法首先通過視頻流和幀采樣獲取人臉圖像數據集，然后計算人臉圖像數據集和基于攻擊方法生成的人臉對抗樣本集之間的空間域敏感度作為樣本特征，訓練由全連接FC層和批量歸一化BN層構成的二分類器，來區分人臉圖像中的對抗樣本和正常樣本。本發明方法可以對人臉圖像數據過濾對抗樣本，加固人臉識別系統的安全性。

技術領域

本發明涉及對抗樣本的防御技術領域，具體涉及人臉識別系統中的安全性問題，提出了一種基于空間敏感度的人臉對抗樣本檢測方法。

背景技術

受益于大數據的出現和大規模計算能力的提升，基于深度學習的人臉檢測和識別技術已經取得了良好的性能，已大大超越了傳統的算法，廣泛應用于金融驗證、偵察安防、手機登錄等現實場景中。但其深度學習模型存在微小調整的輸入樣本導致輸出錯誤問題，這種問題稱為對抗樣本。對抗樣本的存在會使深度學習模型在現實場景中造成巨大的安全威脅，成為人臉識別模型進一步要解決的關鍵問題。

人臉對抗樣本攻擊的形式主要分為兩種，物理和數字形式的對抗攻擊。物理對抗樣本攻擊來源于采集人臉圖像的攝像頭獲取了實物化的對抗樣本因子，如眼鏡、帽子等。數字對抗樣本攻擊來源于數據傳輸中的數據包劫持被替換為對抗樣本。現今的對抗樣本防御方法主要分為僅檢測與完全防御兩類，在一定程度上都達到了抵御對抗攻擊的效果。但在安全敏感的人臉識別應用領域中，完全防御方法需要大量的人臉樣本訓練，具有較差的可行性。僅檢測防御方法可以通過無監督的方法，在少量的樣本數據上獲取對抗樣本和正常樣本的差異特征，從而得到良好性能的人臉對抗樣本的分類器。

發明內容

為了降低對抗樣本對人臉識別系統造成錯誤判斷的影響，本發明提供一種基于空間敏感度的人臉對抗樣本檢測方法，能夠準確地檢測來自實時人臉數據中的對抗性樣本，解決具有挑戰性的微小擾動的人臉對抗樣本攻擊的問題。本發明的技術方案特征包括以下步驟：

步驟一：設置人臉檢測區域，通過攝像頭獲得實時視頻流，經過幀采樣得到人臉圖像數據集X；

步驟二：對人臉圖像數據集X歸一化預處理得到原始樣本數據集X_data，同時劃分訓練集與測試集，選定神經網絡模型M進行訓練和測試，得到具有良好分類性能的基礎模型M_data及其預測置信度m_data；

步驟三：基于迭代對抗樣本攻擊方法，利用梯度優化在原始人臉圖像數據集X的特征值上生成變化細微的人臉對抗樣本集X_adv；

步驟四：對人臉圖像數據集X，使用線性降維方法對人臉圖像數據進行空間域轉換，得到空間變換域WT的樣本數據集X_tran；

步驟五：使用樣本數據X_tran在神經網絡模型M進行訓練和測試，得到與基礎模型M_data預測標簽相同的域轉換模型M_wt；

步驟六：使用人臉對抗樣本集X_adv在域轉換模型M_wt上進行再次訓練，得到對抗樣本攻擊后的域轉換模型M_awt及其預測置信度m_awt；

步驟七：對輸入的人臉圖像數據，計算x_i的空間敏感度值S(x_i)，其中1≤i≤n,公式如下：

S(x_i)＝{m_data(x_i)-m_awt(x_i)}

步驟八：搭建由全連接FC層和批量歸一化BN層組成的二分類器，將空間敏感度值S(x_i)作為深度神經網絡二分類器的輸入，訓練得到二分類模型D；