本申請涉及一種人臉對抗樣本生成模型的構(gòu)建方法、裝置及設(shè)備。其中，基于生成對抗網(wǎng)絡(luò)，通過獲取人臉圖像樣本并輸入生成器，可以得到生成器輸出的人臉掩碼；將人臉掩碼和原始人臉圖像之和作為人臉對抗樣本輸入判別器可以得到判別結(jié)果；然后將人臉對抗樣本輸入目標攻擊模型得到輸出結(jié)果，如此即完成一次訓(xùn)練；之后根據(jù)訓(xùn)練結(jié)果更新生成器和判別器的參數(shù)，并重復(fù)進行預(yù)設(shè)次數(shù)的訓(xùn)練最終即可得到參數(shù)最優(yōu)的生成器和判別器，也即得到所需的人臉對抗樣本生成模型。并進一步可以通過人臉對抗樣本生成模型自動生成人臉對抗樣本，其相對于傳統(tǒng)的人臉對抗樣本生成方法，生成速度顯著提升，且生成的人臉對抗樣本的質(zhì)量更好。

技術(shù)領(lǐng)域

本申請涉及人工智能安全領(lǐng)域，尤其涉及一種人臉對抗樣本生成模型的構(gòu)建方法、裝置及設(shè)備。

背景技術(shù)

從手機解鎖，到機場登機，人臉識別系統(tǒng)的普及是顯而易見的。卷積神經(jīng)網(wǎng)絡(luò)(CNN)和大規(guī)模人臉數(shù)據(jù)集使得人臉識別系統(tǒng)能夠?qū)崿F(xiàn)高達99％的正確率，0.1％錯誤接受率。然而，盡管人臉識別系統(tǒng)的性能很好，但人臉識別系統(tǒng)仍然容易受到對抗樣本日益增長的威脅。在這種背景下，人臉對抗樣本的相關(guān)研究越來越火熱，人臉對抗樣本是一種能夠欺騙人臉識別模型做出錯誤判斷的一類樣本。

目前的人臉對抗樣本攻擊方法分為兩大類：①物理攻擊(例如打印人臉照片去解鎖手機等)；②面向CNN模型攻擊(例如：FGSM/CWattacks生成人臉對抗樣本；GAN生成人臉對抗樣本等)，也即通過模型生成人臉對抗樣本去攻擊基于CNN的人臉識別模型。而通過第②種方法，有助于發(fā)現(xiàn)人臉識別模型中潛在的安全問題。不過，現(xiàn)有的面向CNN模型攻擊生成人臉對抗樣本的方法效率和準確率較低。

發(fā)明內(nèi)容

本申請?zhí)峁┮环N人臉對抗樣本生成模型的構(gòu)建方法、裝置及設(shè)備，以解決現(xiàn)有的面向CNN模型攻擊生成人臉對抗樣本的方法效率和準確率較低的問題。

本申請的上述目的是通過以下技術(shù)方案實現(xiàn)的：

第一方面，本申請實施例提供一種人臉對抗樣本生成模型的構(gòu)建方法，其包括：

基于生成對抗網(wǎng)絡(luò)，獲取人臉圖像樣本并輸入生成器，得到所述生成器合成并輸出的人臉掩碼；其中，所述人臉圖像樣本包括目標人臉圖像和原始人臉圖像；且在生成所述人臉掩碼的過程中使用L2范數(shù)約束擾動；

將所述人臉掩碼和所述原始人臉圖像之和作為人臉對抗樣本輸入判別器，得到判別結(jié)果，用于區(qū)分原始人臉圖像和人臉對抗樣本；

將所述人臉對抗樣本輸入預(yù)先訓(xùn)練的目標攻擊模型，得到輸出結(jié)果，以完成一次訓(xùn)練；

在每次訓(xùn)練后，基于對應(yīng)的判別結(jié)果和輸出結(jié)果更新所述生成器和所述判別器的參數(shù)，并重復(fù)進行預(yù)設(shè)次數(shù)的訓(xùn)練，以基于最終確定的生成器和判別器得到人臉對抗樣本生成模型。

可選的，采用的生成對抗網(wǎng)絡(luò)為WGAN-GP。

可選的，使用L2范數(shù)約束擾動時采用的擾動損失函數(shù)為：

式中，x為人臉圖像樣本，G(x)為生成器合成的人臉掩碼，ε為允許擾動的最小值，取值范圍為[0,∞)。

可選的，對于無目標攻擊，去最小化原始人臉圖像和人臉對抗樣本之間的余弦相似度，其中使用的身份損失函數(shù)為：

L_identity＝Ex[F(x,x+G(x))]

式中，F(xiàn)(x)為x，y的人臉余弦相似度，用于監(jiān)督人臉對抗樣本模型的訓(xùn)練；

對于有目標攻擊，去最大化目標人臉圖像和人臉對抗樣本之間的余弦相似度，其中使用的損失函數(shù)為：

L_identity＝Ex[1-F(y,x+G(x))]

式中，y為目標人臉圖像。