本公開(kāi)提供人臉識(shí)別攻擊樣本的生成方法、模型訓(xùn)練方法及相關(guān)設(shè)備。該方法包括：對(duì)生成對(duì)抗網(wǎng)絡(luò)模型進(jìn)行隱性向量初始化和噪聲輸入，生成虛擬的初始人臉圖像。基于參考人臉圖像和初始人臉圖像的相似度對(duì)模型參數(shù)進(jìn)行優(yōu)化，得到優(yōu)化的隱性向量和噪聲。基于優(yōu)化的隱性向量和噪聲生成訓(xùn)練人臉圖像。通過(guò)人臉識(shí)別模型計(jì)算訓(xùn)練人臉圖像與目標(biāo)人臉圖像的分類損失，并計(jì)算訓(xùn)練人臉圖像與參考人臉圖像的相似度損失，通過(guò)反向傳播算法更新對(duì)抗網(wǎng)絡(luò)模型的模型參數(shù)，直到更新后的對(duì)抗網(wǎng)絡(luò)模型生成的人臉圖像被人臉識(shí)別模型誤判為目標(biāo)人臉圖像。該方法可以生成更逼真的人臉圖像，并能使模型發(fā)生誤判，生成方法簡(jiǎn)單，擾動(dòng)較小，提升了攻擊樣本的隱蔽性和穩(wěn)定性。

技術(shù)領(lǐng)域

本公開(kāi)涉及人臉識(shí)別技術(shù)領(lǐng)域，具體而言，涉及一種人臉識(shí)別攻擊樣本的生成方法、模型訓(xùn)練方法及相關(guān)設(shè)備。

背景技術(shù)

人臉識(shí)別，是基于人的臉部特征信息進(jìn)行身份識(shí)別的一種生物識(shí)別技術(shù)，基于深度神經(jīng)網(wǎng)絡(luò)(CNN)提取人臉特征來(lái)實(shí)現(xiàn)。深度神經(jīng)網(wǎng)絡(luò)(CNN)容易受到“對(duì)抗樣本”的攻擊影響，對(duì)抗樣本通過(guò)添加人眼無(wú)法察覺(jué)的小擾動(dòng)，可以使模型產(chǎn)生不正確的預(yù)測(cè)。對(duì)抗性攻擊(Adversarial Attack)可以評(píng)估人臉識(shí)別系統(tǒng)在實(shí)際應(yīng)用中的魯棒性(Robustness)，識(shí)別深度神經(jīng)網(wǎng)絡(luò)模型的“弱點(diǎn)”并幫助深度神經(jīng)網(wǎng)絡(luò)模型提高魯棒性。

GAN網(wǎng)絡(luò)，全稱GenerativeAdversarialNetworks，中文叫生成式對(duì)抗網(wǎng)絡(luò)，最早是由Goodfellow等人提出的，目前已經(jīng)廣泛應(yīng)用于一系列無(wú)監(jiān)督和半監(jiān)督的圖像生成任務(wù)。GAN網(wǎng)絡(luò)主要包括生成器(Generator)和判別器(Discriminator)。其中，生成器負(fù)責(zé)依據(jù)隨機(jī)向量產(chǎn)生內(nèi)容，這些內(nèi)容可以是圖片、文字，也可以是音樂(lè)，目的是“騙過(guò)”判別器。判別器負(fù)責(zé)判別接收的內(nèi)容是真實(shí)的還是機(jī)器生成的，目的是找出生成器做的“假數(shù)據(jù)”。判別器通常他會(huì)給出一個(gè)概率，代表內(nèi)容的真實(shí)度。GAN網(wǎng)絡(luò)主要思想是將數(shù)據(jù)分布與對(duì)抗博弈過(guò)程相匹配，在對(duì)抗博弈過(guò)程中，生成器試圖欺騙判別器，該判別器旨在區(qū)分圖像是否來(lái)自真實(shí)的數(shù)據(jù)分布。

生成對(duì)抗網(wǎng)絡(luò)提出以來(lái)，相關(guān)研究和應(yīng)用場(chǎng)景催生出各種類型的變體，主要應(yīng)用于圖像數(shù)據(jù)生成、文本和語(yǔ)音生成等領(lǐng)域。目前基于GAN網(wǎng)絡(luò)對(duì)抗樣本生成多數(shù)是在真實(shí)圖像或其淺層特征中添加擾動(dòng)，需要輸入人臉圖像、人臉特征碼及目標(biāo)人臉特征碼，操作步驟復(fù)雜，人為干擾大。

需要說(shuō)明的是，在上述背景技術(shù)部分公開(kāi)的信息僅用于加強(qiáng)對(duì)本公開(kāi)的背景的理解，因此可以包括不構(gòu)成對(duì)本領(lǐng)域普通技術(shù)人員已知的現(xiàn)有技術(shù)的信息。

發(fā)明內(nèi)容

本公開(kāi)的目的在于提供人臉識(shí)別攻擊樣本的生成方法、模型訓(xùn)練方法及相關(guān)設(shè)備，用于至少在一定程度上克服由于相關(guān)技術(shù)的限制和缺陷而導(dǎo)致的一個(gè)或多個(gè)問(wèn)題。

根據(jù)本公開(kāi)實(shí)施例的第一方面，提供一種人臉識(shí)別攻擊樣本的生成方法，包括：

對(duì)生成對(duì)抗網(wǎng)絡(luò)模型進(jìn)行隱性向量初始化和噪聲輸入，生成虛擬的初始人臉圖像；

基于參考人臉圖像和所述初始人臉圖像的相似度對(duì)所述生成對(duì)抗網(wǎng)絡(luò)的模型參數(shù)進(jìn)行優(yōu)化，得到優(yōu)化的隱性向量和噪聲，其中，所述參考人臉圖像為真實(shí)的人臉圖像；

基于所述優(yōu)化的隱性向量和噪聲訓(xùn)練所述生成對(duì)抗網(wǎng)絡(luò)模型，生成訓(xùn)練人臉圖像；

通過(guò)人臉識(shí)別模型計(jì)算所述訓(xùn)練人臉圖像與目標(biāo)人臉圖像的分類損失函數(shù)，其中，所述目標(biāo)人臉圖像為要攻擊的定向目標(biāo)人臉圖像；

基于所述訓(xùn)練人臉圖像與所述參考人臉圖像的相似度計(jì)算相似度損失函數(shù)；

基于所述分類損失函數(shù)和所述相似度損失函數(shù)，通過(guò)反向傳播算法更新所述對(duì)抗網(wǎng)絡(luò)模型的模型參數(shù)，直到更新后的對(duì)抗網(wǎng)絡(luò)模型生成的人臉圖像被所述人臉識(shí)別模型誤判為目標(biāo)人臉圖像。