深度學(xué)習(xí)人臉識(shí)別系統(tǒng)的對(duì)抗攻擊算法研究

陳晉音，周嘉俊，沈詩婧，鄭海斌，宣 琦

(浙江工業(yè)大學(xué)信息工程學(xué)院，杭州310000)

E-mail:chenjinyin@zjut.edu.cn

1 引言

深度學(xué)習(xí)［1］由于其良好的特征學(xué)習(xí)能力而被廣泛應(yīng)用，包括圖像識(shí)別［2］、語音識(shí)別［3］、生物信息分析［4］、復(fù)雜網(wǎng)絡(luò)分析［5］、自然語言處理［6］等.但是，隨著研究的不斷深入，研究人員發(fā)現(xiàn)深度模型面對(duì)對(duì)抗攻擊存在脆弱性.以人臉識(shí)別系統(tǒng)為例，主要用于身份認(rèn)證，一旦出現(xiàn)漏洞被攻擊成功，后果十分嚴(yán)重.因此，研究針對(duì)此類應(yīng)用的攻擊，發(fā)現(xiàn)其中的脆弱性，對(duì)于提高模型的魯棒性具有重要意義.

目前人臉識(shí)別領(lǐng)域中的主流算法都是基于深度學(xué)習(xí)的，但深度模型易受細(xì)微擾動(dòng)的攻擊［7］.攻擊者通過細(xì)微修改輸入數(shù)據(jù)，使得擾動(dòng)無法被用戶肉眼察覺，但機(jī)器接受該數(shù)據(jù)后由原始的正確分類變?yōu)殄e(cuò)誤分類，這就是深度學(xué)習(xí)中的對(duì)抗攻擊.一般認(rèn)為，深度學(xué)習(xí)模型的高維線性等特征導(dǎo)致了對(duì)抗樣本的存在，利用對(duì)抗樣本干擾深度學(xué)習(xí)系統(tǒng)，這便是近年來人工智能領(lǐng)域出現(xiàn)的對(duì)抗攻擊.目前具有代表性的對(duì)抗攻擊方法有快速梯度符號(hào)法(Fast Gradient Sign Method，F(xiàn)GSM)［8］、基于雅可比的顯著圖的攻擊(Jacobian-based Saliency Map Attack，JSMA)［9］、C＆W 攻擊法 (Carlini and Wagner Attacks，C＆W)［10］、基本迭代法(Basic Iterative Methods，BIM)［11］以及DeepFool［12］等.圖1為圖像對(duì)抗攻擊的一個(gè)例子.大熊貓的照片，添加算法生成的微小噪聲后，圖像識(shí)別模型以99.3%的概率將其錯(cuò)誤分類為長臂猿［13］，但對(duì)于人眼來說，無法區(qū)分兩張圖的差別.近期研究發(fā)現(xiàn)，對(duì)抗樣本也可以存在于真實(shí)環(huán)境中［14］，因?yàn)閷?duì)抗樣本經(jīng)過打印后，仍具備欺騙系統(tǒng)的效果，該攻擊被稱為物理攻擊.圖2為物理攻擊的一個(gè)例子，不同的人帶著同一副眼鏡，被監(jiān)控識(shí)別為另一個(gè)人.還有一類情況，是同一個(gè)人帶著不同的眼鏡，可以冒充不同的人.

圖1 圖像對(duì)抗攻擊實(shí)例Fig.1 Image adversarial attack instance

圖2 物理攻擊實(shí)例Fig.2 Physical attack instance

本文主要研究對(duì)于人臉識(shí)別模型的黑盒對(duì)抗攻擊，通過面部配件對(duì)人臉識(shí)別系統(tǒng)進(jìn)行圖片和物理攻擊，發(fā)現(xiàn)模型面對(duì)對(duì)抗攻擊存在的脆弱性，為提高模型的魯棒性提供指導(dǎo).主要研究步驟為攻擊模型的設(shè)計(jì)、面部配件的設(shè)計(jì)、進(jìn)化策略的實(shí)現(xiàn)、數(shù)字與物理環(huán)境的實(shí)驗(yàn)測(cè)試與評(píng)估.主要研究對(duì)象為谷歌公司最新提出的FaceNet人臉識(shí)別框架.應(yīng)用于對(duì)抗攻擊的機(jī)器學(xué)習(xí)［16］算法主要涉及了進(jìn)化算法中的粒子群優(yōu)化［17］(particle swarm optimization，PSO).本文創(chuàng)新點(diǎn)如下:

1)提出了一種基于進(jìn)化計(jì)算的深度學(xué)習(xí)對(duì)抗攻擊方法，實(shí)現(xiàn)了電子空間與物理空間的黑盒攻擊;

2)將對(duì)抗攻擊應(yīng)用于目前最流行的FaceNet人臉識(shí)別系統(tǒng)，設(shè)計(jì)生物面部配件，實(shí)現(xiàn)電子空間與物理空間的真實(shí)場(chǎng)景的對(duì)抗攻擊.

3)通過本文設(shè)計(jì)的對(duì)抗攻擊算法生成大量對(duì)抗樣本，利用對(duì)抗樣本實(shí)現(xiàn)深度模型的對(duì)抗訓(xùn)練，從而有效提高其防御能力.

2 深度學(xué)習(xí)人臉識(shí)別模型的對(duì)抗攻擊算法

本節(jié)主要介紹了待攻擊的目標(biāo)模型、模型的訓(xùn)練、PSO進(jìn)化策略以及實(shí)現(xiàn)物理攻擊需要的面部配件設(shè)計(jì)與理論支撐.

2.1 FaceNet:谷歌人臉識(shí)別系統(tǒng)

FaceNet［15］是 Google開發(fā)的最新人臉識(shí)別算法，通過CNN將人臉圖像映射到歐式空間，將圖片相似度與空間距離相關(guān)聯(lián)來完成人臉識(shí)別任務(wù).FaceNet創(chuàng)造性的使用triplets損失函數(shù)，將一個(gè)個(gè)體的圖像與其他個(gè)體的圖像分開，擴(kuò)大類間距離，縮小類內(nèi)距離.在LFW(Labeled Faces in the Wild)數(shù)據(jù)集上實(shí)現(xiàn)了99.63%的識(shí)別率.

給定一個(gè)圖像，F(xiàn)aceNet的輸出結(jié)果是排名第一的類別和其置信度分?jǐn)?shù)，為適應(yīng)本文的實(shí)驗(yàn)要求，修改源碼使其返回排名前三的預(yù)測(cè)類別及其置信度分?jǐn)?shù).在這期間只修改輸出的類別數(shù)量，不修改算法的其他部分，保證不影響模型的內(nèi)部結(jié)構(gòu).

2.2 模型訓(xùn)練

為了演示冒充的攻擊，本文使用了官方在VGGFace2數(shù)據(jù)集上預(yù)訓(xùn)練的特征模型訓(xùn)練了兩個(gè)分類器Classifier-6，Classifier-47，分類對(duì)象包含了LFW數(shù)據(jù)集中的部分名人以及親自為本文測(cè)試真實(shí)物理攻擊的人員.

Classifier-47:包含17位LFW 數(shù)據(jù)集中的歐美人、17位CASIA-FaceV5數(shù)據(jù)集中的亞洲人以及12位自愿提供圖像的實(shí)驗(yàn)人員(作者以及11位同事)，每類約20張圖片進(jìn)行訓(xùn)練，用于測(cè)試算法生成的面部配件的圖片攻擊效果.

Classifier-6:包含2位LFW數(shù)據(jù)集中的名人以及4位自愿提供圖像的實(shí)驗(yàn)人員(作者以及三位同事)，每個(gè)人大約使用20張圖像進(jìn)行訓(xùn)練，用于測(cè)試算法生成的面部配件的圖片攻擊效果.

本文使用FaceNet自帶的人臉對(duì)齊算法將人臉圖像在訓(xùn)練之前進(jìn)行預(yù)處理，以規(guī)范姿態(tài)對(duì)齊，同時(shí)將輸出圖像調(diào)整為160×160(神經(jīng)網(wǎng)絡(luò)要求的輸入維度).最后利用FaceNet預(yù)訓(xùn)練模型訓(xùn)練這兩個(gè)分類器，在測(cè)試集上均取得了100%的識(shí)別率，表明模型本身具有良好的識(shí)別性能.

2.3 粒子群優(yōu)化(PSO)

粒子群優(yōu)化是一種啟發(fā)式和隨機(jī)算法，通過模擬鳥群的行為來發(fā)現(xiàn)優(yōu)化問題的解決方案［17］.鳥被抽象為N維空間中的粒子，只有位置與速度屬性，并包含一個(gè)由目標(biāo)函數(shù)決定的適應(yīng)度(fitness).在整個(gè)種群的運(yùn)動(dòng)過程中，每個(gè)粒子知道自己當(dāng)前位置、自己歷史最好位置(pbest)和整個(gè)種群發(fā)現(xiàn)的歷史最好位置(gbest).每一次迭代中，粒子通過gbest和pbest以如下公式更新自己的位置與速度.

其中，vi、xi分別為第i個(gè)粒子的速度與位置，rand()為介于(0，1)之間的隨機(jī)數(shù)，c1、c2為學(xué)習(xí)因子.公式(1)、公式(2)為PSO算法位置和速度更新的標(biāo)準(zhǔn)形式.

優(yōu)化后的PSO加入了慣性因子w，使得粒子能保持運(yùn)動(dòng)慣性.其值較大時(shí)，全局搜索能力較強(qiáng);其值較小時(shí)，局部搜索能力較強(qiáng).因此采用動(dòng)態(tài)的慣性因子可以得到更好的尋優(yōu)結(jié)果.本文使用線性權(quán)值衰減策略，慣性因子更新如下:

其中Gk為最大迭代次數(shù)，wini為初始慣性因子，wend為迭代至最大進(jìn)化代數(shù)時(shí)的慣性因子.加入慣性因子后，新的PSO算法粒子速度更新如下:

之所以選擇線性權(quán)值衰減策略，是為了保證在對(duì)抗樣本進(jìn)化初期有較強(qiáng)的全局色彩搜索能力，盡可能避免陷入局部最優(yōu);在進(jìn)化后期，有較強(qiáng)的局部搜索能力，保證算法快速收斂.

此外，粒子的位置受xmax限制，為避免描述對(duì)抗樣本的粒子脫離有效解空間，本文使用反射墻，一旦粒子的某一維達(dá)到邊界，則改變粒子速度方向，使得粒子始終處于有效解空間范圍.

2.4 進(jìn)化過程設(shè)計(jì)

為將PSO應(yīng)用于本文的研究，本文將一張人臉圖片渲染上不同純色面部配件后的初始對(duì)抗樣本作為不同粒子，粒子編碼方式如下:擾動(dòng)的所有像素點(diǎn)處的RGB值作為粒子的位置矩陣x，顏色(RGB)變化速度作為粒子的速度矩陣v，通過PSO迭代進(jìn)化最終得到最優(yōu)的對(duì)抗樣本.

每一次迭代中，算法對(duì)所有的粒子進(jìn)行預(yù)測(cè)獲取Top-3置信度，同時(shí)也獲取每個(gè)粒子的擾動(dòng)像素信息.根據(jù)設(shè)計(jì)的目標(biāo)函數(shù)計(jì)算每個(gè)粒子的適應(yīng)值(fitness)根據(jù)每個(gè)粒子的fitness更新進(jìn)化過程中的gbest與pbest.再通過更新后的gbest與pbest，利用公式(4)和公式(2)更新每個(gè)粒子的速度與位置信息.

在以上過程中，保存每一粒子的歷史最優(yōu)(pbest)以及種群的歷史最優(yōu)粒子(gbest).繼續(xù)下一次迭代進(jìn)化.

黑盒攻擊時(shí)，輸入一張圖片，可以得到的輸出僅為人臉識(shí)別后預(yù)測(cè)的前三類以及它們的置信度分?jǐn)?shù)，本文將這個(gè)預(yù)測(cè)過程建模為O(x)，輸出稱為Top-3.返回的Top-3實(shí)際為一個(gè)有序列表，包含的三個(gè)類別以置信度分?jǐn)?shù)降序排列.對(duì)于原始圖像(未加入擾動(dòng))，其Top-3中排名第一的即為真實(shí)身份類標(biāo)label;而對(duì)于一張成功實(shí)現(xiàn)目標(biāo)攻擊的對(duì)抗圖像，其Top-3中排名第一的為攻擊者設(shè)定的目標(biāo)標(biāo)簽target.

由于黑盒模型FaceNet只返回預(yù)測(cè)的前三類，如果目標(biāo)在迭代預(yù)測(cè)的Top-3中，PSO可以取得進(jìn)展，更新粒子速度與位置;若目標(biāo)不在迭代預(yù)測(cè)的Top-3中，該算法無法計(jì)算適應(yīng)度函數(shù)，無法獲得進(jìn)化反饋.為解決這一問題，本文通過一種中間模擬的算法，來保證PSO的連續(xù)運(yùn)行.

為了使得PSO迭代時(shí)，對(duì)抗性目標(biāo)函數(shù)能夠收斂，對(duì)于一張圖像的預(yù)測(cè)結(jié)果，本文考慮以下情景:

a)若target在Top-3中，則當(dāng)前目標(biāo)curr_target為攻擊者設(shè)定的target;

b)若target不在Top-3中，則將第二高置信度分?jǐn)?shù)的類作為當(dāng)前目標(biāo)curr_target;若出現(xiàn)前一次迭代預(yù)測(cè)中未出現(xiàn)的新類，則將新類作為當(dāng)前目標(biāo)curr_target.

算法的目的是通過在連續(xù)運(yùn)行的PSO迭代中通過對(duì)不同目標(biāo)進(jìn)行中間模擬來達(dá)到最終目標(biāo)，嘗試中間冒充可以使得種群離開原先的解空間，朝著可能使target被返回到Top-3的解空間移動(dòng).

2.5 物理可實(shí)現(xiàn)性

2.5.1 面部輔助配件設(shè)計(jì)

數(shù)字環(huán)境的臉部像素?cái)_動(dòng)雖然可以在圖片攻擊時(shí)實(shí)現(xiàn)人臉冒充，但可能無法成功應(yīng)用于物理場(chǎng)景.為解決這一問題，本文使用面部配件(主要是眼鏡框)來實(shí)現(xiàn)物理攻擊.使用面部配件的一個(gè)優(yōu)點(diǎn)是它可以相對(duì)容易的在實(shí)際場(chǎng)景中使用，不會(huì)輕易被人為識(shí)破.打印出的眼鏡框等面部配件可以使攻擊合理且隱蔽，讓攻擊者看起來更加自然.

在本文的實(shí)驗(yàn)中，先后使用了圖3所示的眼鏡框.將這些鏡框部署到對(duì)齊后的人臉圖像時(shí)，鏡框幀分別占據(jù)了大約7%.

圖3 未加擾動(dòng)之前的面部配件(眼鏡框)模板Fig.3 Facial accessories(glasses frame)template before undisturbed

為尋找實(shí)現(xiàn)冒充攻擊所需的配件顏色，本文首先將配件顏色初始化為純色.隨后將配件渲染到需要攻擊的對(duì)象的人臉圖像上，通過PSO算法迭代更新配件的顏色.

2.5.2 擾動(dòng)的對(duì)抗性

擾動(dòng)的對(duì)抗性，即生成的配件渲染在臉部圖像上后所能達(dá)到的攻擊效果.擾動(dòng)的對(duì)抗性越好，生成的配件越容易實(shí)現(xiàn)攻擊目標(biāo).

在PSO進(jìn)化過程中，最終的目標(biāo)是最小化適應(yīng)度函數(shù)(fitness)，即由f(x+r)定義的目標(biāo)函數(shù)最小化，其中r是應(yīng)用于圖像x的擾動(dòng).f(.)是根據(jù)預(yù)測(cè)輸出的Top-3計(jì)算得到的.本文的研究中，按如下公式定義擾動(dòng)的對(duì)抗性函數(shù):

其中，scorelabel表示真實(shí)標(biāo)簽在Top-3中時(shí)真實(shí)類label的置信度分?jǐn)?shù)，scoretop表示Top-3中排名最高的類的置信度分?jǐn)?shù)，當(dāng) label不在 Top-3中時(shí)，便以 top代替 label;scorecurr_target是當(dāng)前目標(biāo)的置信度分?jǐn)?shù)，curr_target根據(jù)2.4中定義的方法來確定，rank表示它在Top-3中的排名.當(dāng)target不在Top-3中時(shí)，PSO運(yùn)行在中間模擬過程，函數(shù)應(yīng)該增加MF(文設(shè)定它是一個(gè)足夠大的懲罰項(xiàng)，遠(yuǎn)遠(yuǎn)大于gbest或pbest).如此設(shè)計(jì)對(duì)抗性函數(shù)保證盡可能的提高target的置信度分?jǐn)?shù)，降低label的置信度分?jǐn)?shù)，最終使得target的分?jǐn)?shù)排名第一，而label的排名降低甚至掉出Top-3，從而成功實(shí)現(xiàn)對(duì)抗目標(biāo).

2.5.3 擾動(dòng)的平滑性

自然圖像一般具有較好的平滑性和漸變性.為了使得打印得到的面部配件更具有現(xiàn)實(shí)特征，更容易被接受，本文需要提高擾動(dòng)的平滑性.此外，考慮到采樣噪聲的影響，擾動(dòng)中相鄰像素之間的極端差異不容易被相機(jī)精準(zhǔn)捕捉.因此，不平滑的擾動(dòng)不太具有物理可行性和隱蔽性.

為保證擾動(dòng)的平滑性，對(duì)于擾動(dòng)r，本文定義了平滑度函數(shù)T(r):

其中ri，j是坐標(biāo)(i，j)處的r中的RGB三通道像素值的平均.當(dāng)相鄰像素的值彼此接近時(shí)(即擾動(dòng)平滑)，T(r)較低，否則較高.因此，通過最小化T(r)，本文改善了擾動(dòng)的平滑度并提高了物理可實(shí)現(xiàn)性.

同時(shí)，本文定義了兩種像素?cái)_動(dòng)模式，點(diǎn)擾動(dòng)與塊擾動(dòng).點(diǎn)擾動(dòng)模式下，配件區(qū)域的每個(gè)像素點(diǎn)以各自的進(jìn)化速度擾動(dòng);塊擾動(dòng)模式下，配件按坐標(biāo)劃分區(qū)塊，同一區(qū)塊中的像素點(diǎn)按相同進(jìn)化速度擾動(dòng)，不同區(qū)塊間的像素點(diǎn)按不同進(jìn)化速度擾動(dòng).

2.5.4 目標(biāo)函數(shù)

最終，為確保能使圖像分類錯(cuò)誤并成功冒充目標(biāo)的擾動(dòng)是平滑和有效的，本文需要通過求解以下多目標(biāo)優(yōu)化問題來尋找擾動(dòng):

其中k是多目標(biāo)函數(shù)的平衡系數(shù)，本文稱之為平滑系數(shù)，x是攻擊的原始圖像.

3 實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)平臺(tái):i7-7700K 4.20GHzx8(CPU)，TITAN Xp 12GiBx2(GPU)，32GBx4 memory(DDR4)，Ubuntu 16.04(OS)，Python 3.6，Tensorflow-gpu-1.3，Tflearn-0.3.21.

3.1 點(diǎn)擾動(dòng)鏡框?qū)嶒?yàn)

本文在實(shí)驗(yàn)初期主要針對(duì)面部配件中的眼鏡框進(jìn)行了4組點(diǎn)擾動(dòng)實(shí)驗(yàn)，分別攻擊2.2節(jié)中提出的兩種分類器，在每組實(shí)驗(yàn)中，本文改變了分類器和平滑系數(shù)，具體設(shè)置如表1所示.

表1 點(diǎn)擾動(dòng)鏡框?qū)嶒?yàn)設(shè)置Table 1 Glasses frame experiment settings of point perturbation

在每組實(shí)驗(yàn)中，作者從相應(yīng)分類器被訓(xùn)練的對(duì)象中挑選了4個(gè){label-target}對(duì)，進(jìn)行4組測(cè)試.其中兩對(duì)隨機(jī)選擇，另外兩對(duì)進(jìn)行挑戰(zhàn)性的測(cè)試，即target不在FaceNet針對(duì)源圖像預(yù)測(cè)返回的Top-3中，用于檢測(cè)本文提出的中間模擬算法的有效性.

每次進(jìn)行冒充攻擊，在PSO運(yùn)算時(shí)，通過隨機(jī)生成60幅不同顏色的純色眼鏡，將之渲染到源圖像，初始化60個(gè)粒子.PSO的迭代周期設(shè)置為750，MF設(shè)置為40，gbest和pbest的權(quán)重 c1、c2設(shè)置為2，慣性因子從0.9 衰減到0.5.

在2.4節(jié)的算法設(shè)計(jì)中，規(guī)定了適應(yīng)值(fitness)低于設(shè)定閾值且在連續(xù)60次迭代周期中不再減小，或者超過最大迭代周期數(shù)，則PSO運(yùn)算結(jié)束.對(duì)于冒充攻擊，衡量攻擊成功的標(biāo)準(zhǔn)是源圖像被預(yù)測(cè)分類為指定的目標(biāo).根據(jù)PSO運(yùn)算結(jié)束時(shí)的樣本預(yù)測(cè)情況，成功率統(tǒng)計(jì)如表2所示.

實(shí)驗(yàn)1-實(shí)驗(yàn)3針對(duì)分類器Classifier-6，平滑系數(shù)遞增.圖4展示了實(shí)驗(yàn)1-實(shí)驗(yàn)3的源-目標(biāo)對(duì)以及在不同平滑系數(shù)下生成的對(duì)抗樣本，列(a)為執(zhí)行攻擊的冒充者(label)，列(b)至(d)分別為平滑系數(shù)等于 0.005、0.01、0.05 時(shí)的對(duì)抗樣本，列(e)為冒充對(duì)象(target).表3展示了實(shí)驗(yàn)1-實(shí)驗(yàn)3攻擊成功時(shí)的結(jié)果數(shù)據(jù).表3中iter_num為攻擊成功時(shí)的迭代輪數(shù)，score為預(yù)測(cè)對(duì)抗樣本時(shí)target的置信度分?jǐn)?shù)，T(r)為生成擾動(dòng)的平滑分?jǐn)?shù)，fadv為生成擾動(dòng)的對(duì)抗性分?jǐn)?shù).

表2 鏡框?qū)嶒?yàn)成功率Table 2 Glasses frame experiment success rate

在實(shí)驗(yàn) 1-實(shí)驗(yàn) 3 中，平滑系數(shù)設(shè)置分別為 0.005、0.01、0.05.這是一個(gè)參數(shù)調(diào)節(jié)過程，在保證攻擊成功的情況下，尋找盡可能使擾動(dòng)更平滑的系數(shù)約束.以實(shí)驗(yàn)2的測(cè)試2為例，Zhoujiajun被指定冒充Jincongcong，源圖像以91.46%的高置

圖4 實(shí)驗(yàn)1-實(shí)驗(yàn)3成功冒充案例Fig.4 Example of successful impersonation in experiment 1-3

表3 實(shí)驗(yàn)1-實(shí)驗(yàn)3測(cè)試結(jié)果數(shù)據(jù)匯總Table 3 Experiment 1-3 test result data summary

實(shí)驗(yàn)4中4組測(cè)試只有一組成功實(shí)現(xiàn)冒充.根據(jù)實(shí)驗(yàn)設(shè)置進(jìn)行分析，對(duì)于攻擊成功率低的原因總結(jié)如下:

1)多目標(biāo)函數(shù)中的擾動(dòng)對(duì)抗性和平滑性相互制約，擾動(dòng)越平滑不一定代表對(duì)抗性越好，從而導(dǎo)致目標(biāo)函數(shù)雖然收斂但未能達(dá)到攻擊成功的效果;

2)擴(kuò)充數(shù)據(jù)集時(shí)，訓(xùn)練的分類器類標(biāo)過多，可能導(dǎo)致中間模擬過程向有效解空間移動(dòng)更加困難，可能導(dǎo)致攻擊成非目標(biāo)類;

3)代碼優(yōu)化問題.

針對(duì)上述原因，在后續(xù)實(shí)驗(yàn)中修改設(shè)置，繼續(xù)嘗試攻擊.

3.2 塊狀擾動(dòng)鏡框?qū)嶒?yàn)

為了使眼鏡上的擾動(dòng)與現(xiàn)實(shí)世界中設(shè)計(jì)的眼鏡框架紋理更貼近，本文將眼鏡擾動(dòng)按坐標(biāo)區(qū)分為若干塊.點(diǎn)擾動(dòng)模式下，配件區(qū)域的每個(gè)像素點(diǎn)以各自的進(jìn)化速度擾動(dòng);塊擾動(dòng)模式下，同一區(qū)塊中的像素點(diǎn)按相同進(jìn)化速度擾動(dòng)，不同區(qū)塊間的像素點(diǎn)按不同進(jìn)化速度擾動(dòng).針對(duì)塊擾動(dòng)，本文進(jìn)行了2組實(shí)驗(yàn)，分別攻擊2.2節(jié)中提出的兩種分類器，在每組實(shí)驗(yàn)中，設(shè)置了不同的平滑系數(shù)，具體設(shè)置如表4所示。

表4 塊擾動(dòng)鏡框?qū)嶒?yàn)設(shè)置Table 4 Glasses frame experiment settings of block perturbation

實(shí)驗(yàn)5針對(duì)同一{label-target}對(duì)，在不同區(qū)塊數(shù)量設(shè)置下進(jìn)行了三組對(duì)比測(cè)試，圖5展示了實(shí)驗(yàn)5在8、16、32區(qū)塊擾動(dòng)下生成的對(duì)抗樣本.

圖5 實(shí)驗(yàn)5中不同數(shù)量區(qū)塊擾動(dòng)對(duì)抗樣本對(duì)比Fig.5 Comparison of disturbance examples from different quantity blocks in experiment 5

實(shí)驗(yàn)6針對(duì)Classifier-47分類器，選擇同實(shí)驗(yàn)1-實(shí)驗(yàn)3中相同的4個(gè)label進(jìn)行實(shí)驗(yàn).考慮到數(shù)據(jù)集擴(kuò)充后，增加類標(biāo)數(shù)量對(duì)攻擊成功率的影響，故將平滑系數(shù)設(shè)為0，即從目標(biāo)函數(shù)中刪除平滑指標(biāo)，僅保留對(duì)抗性指標(biāo)，盡可能提高攻擊成功率，因此，攻擊成功率可達(dá)到100%.圖6展示了實(shí)驗(yàn)6的源-目標(biāo)對(duì)以及在不同區(qū)塊下生成的對(duì)抗樣本，圖6(a)為執(zhí)行攻擊的冒充者(label)，圖6(b)至圖6(c)分別為區(qū)塊為16，32時(shí)的對(duì)抗樣本，圖6(d)為冒充對(duì)象(target).表5展示了實(shí)驗(yàn)6攻擊成功時(shí)的結(jié)果數(shù)據(jù).表5中block_num為劃分的區(qū)塊數(shù)，iter_num為攻擊成功時(shí)的迭代輪數(shù)，score為預(yù)測(cè)對(duì)抗樣本時(shí)target的置信度分?jǐn)?shù)，fadv為生成擾動(dòng)的對(duì)抗性分?jǐn)?shù).

表5 實(shí)驗(yàn)6測(cè)試結(jié)果數(shù)據(jù)匯總Table 5 Experiment 6 test result data summary

相比于實(shí)驗(yàn)1-實(shí)驗(yàn)3中的點(diǎn)擾動(dòng)和平滑指標(biāo)約束，實(shí)驗(yàn)6因采用塊擾動(dòng)，且刪去了平滑指標(biāo)，加快了平均攻擊成功時(shí)間;但塊擾動(dòng)因具有相對(duì)簡單的像素分布，故具有的對(duì)抗性較弱，使得攻擊成功時(shí)traget的置信度分?jǐn)?shù)較低;有趣的是，實(shí)驗(yàn)6-4的結(jié)果中 fadv等于0，因?yàn)閷?duì)抗樣本經(jīng)FaceNet檢測(cè)返回的Top-3中不存在原始對(duì)象label，即原始對(duì)象label的置信度排名已經(jīng)跌出前三，從而達(dá)到了公式期望的最佳攻擊效果.

圖6 實(shí)驗(yàn)6成功冒充案例Fig.6 Example of successful impersonation in experiment 6

3.3 對(duì)抗訓(xùn)練

對(duì)于實(shí)驗(yàn)6分類的模型，進(jìn)行四次對(duì)抗訓(xùn)練，每次訓(xùn)練向訓(xùn)練集中加入部分?jǐn)_動(dòng)樣本.分別用干凈樣本(Clean test set)和對(duì)抗樣本(Adv test set)進(jìn)行測(cè)試，模型識(shí)別精度如表6所示.

表6 對(duì)抗訓(xùn)練的測(cè)試精度Table 6 Test accuracy for adversarial training

未經(jīng)過對(duì)抗訓(xùn)練的情況下，分類器對(duì)對(duì)抗測(cè)試集的識(shí)別精度為0，經(jīng)過對(duì)抗訓(xùn)練之后，分類器能成功識(shí)別部分對(duì)抗樣本.經(jīng)過4次對(duì)抗訓(xùn)練，對(duì)抗樣本對(duì)模型的攻擊效果為0，分類器能正確識(shí)別所以對(duì)抗樣本.除此之外，經(jīng)過對(duì)抗訓(xùn)練后，分類器對(duì)干凈樣本的測(cè)試精度也有一定的降低，但是降低幅度略小，不影響分類器識(shí)別效果.

對(duì)抗訓(xùn)練作為傳統(tǒng)的對(duì)抗防御策略，能在一定程度上加強(qiáng)模型的魯棒性.對(duì)對(duì)抗樣本的預(yù)測(cè)能力隨著對(duì)抗訓(xùn)練輪數(shù)的增加而提高，圖7顯示了隨著對(duì)抗訓(xùn)練輪數(shù)的增加，模型在對(duì)抗樣本正確標(biāo)簽的預(yù)測(cè)置信上的表現(xiàn).

隨著對(duì)抗訓(xùn)練輪數(shù)增加，模型對(duì)對(duì)抗樣本正確標(biāo)簽的預(yù)測(cè)置信度不斷提高，最終預(yù)測(cè)正確，達(dá)到防御的效果.

4 結(jié)語

圖7 對(duì)抗訓(xùn)練后對(duì)抗樣本分類為正確類標(biāo)的置信度Fig.7 Confidence in classifying adversarial example into correct class after adversarial training

目前圖像識(shí)別的對(duì)抗攻擊多數(shù)局限于數(shù)字環(huán)境，本文通過固定擾動(dòng)位置，針對(duì)適合進(jìn)行物理攻擊的人臉識(shí)別場(chǎng)景，通過生物面部配件對(duì)最新的人臉識(shí)別框架FaceNet進(jìn)行了人臉對(duì)抗攻擊.本文通過使用改進(jìn)的PSO進(jìn)化策略生成對(duì)抗配件，在數(shù)字環(huán)境中實(shí)現(xiàn)了較好的攻擊效果;通過打印并佩戴對(duì)抗配件，在真實(shí)環(huán)境中依然能實(shí)現(xiàn)冒充攻擊，證明了物理攻擊的可實(shí)現(xiàn)性.最后利用對(duì)抗訓(xùn)練進(jìn)行了防御測(cè)試，驗(yàn)證了該方法能提高模型魯棒性.