針對(duì)身份證文本識(shí)別的黑盒攻擊算法研究

徐昌凱 馮衛(wèi)棟 張淳杰 鄭曉龍 張 輝 王飛躍

近年來,以深度學(xué)習(xí)為核心的人工智能技術(shù)得到了快速的發(fā)展,廣泛應(yīng)用到了刷臉支付,自動(dòng)駕駛,內(nèi)容生成等多種生產(chǎn)生活場景.自從2012 年Krizhevsky 等[1]利用深度學(xué)習(xí)模型AlexNet 贏得ImageNet 競賽冠軍后,對(duì)于深度學(xué)習(xí)模型的研究開始呈現(xiàn)井噴式增長,在計(jì)算機(jī)視覺[2],語音識(shí)別[3],自然語言處理[4],強(qiáng)化學(xué)習(xí)[5]等領(lǐng)域不斷刷新著性能表現(xiàn).如第一個(gè)擊敗人類職業(yè)選手的圍棋高手Alpha-Go[6],觀測水平可以和人類利用冷凍電鏡相媲美的蛋白質(zhì)結(jié)構(gòu)預(yù)測模型AlphaFold[7],以及當(dāng)下非?；鸨纳墒街悄芰奶鞕C(jī)器人ChatGPT[8].海量數(shù)據(jù)和強(qiáng)大算力支撐了深度學(xué)習(xí)模型在人工智能技術(shù)中的核心地位,并深刻影響著人工智能技術(shù)的發(fā)展.隨著人工智能技術(shù)的發(fā)展,各種檢測和識(shí)別模型引起了人們對(duì)隱私問題的擔(dān)憂.各種包含隱私信息的圖片在傳輸過程中很容易被其他人獲取,并借助深度學(xué)習(xí)模型迅速獲取其中的隱私信息,存在很大的隱私泄露隱患.

深度學(xué)習(xí)模型在不同領(lǐng)域和任務(wù)上取得了優(yōu)異表現(xiàn),但是其在對(duì)抗場景下的脆弱性同樣值得關(guān)注.許多研究表明[9-14],深度學(xué)習(xí)模型容易受到對(duì)抗樣本的干擾,從而給出錯(cuò)誤的預(yù)測結(jié)果.對(duì)抗樣本是由攻擊者在正常樣本的基礎(chǔ)上,通過添加人類難以發(fā)現(xiàn)的細(xì)微對(duì)抗噪聲所惡意構(gòu)造的樣本數(shù)據(jù).以圖像分類模型為例,如圖1 所示,在正常樣本上表現(xiàn)良好的模型,在對(duì)抗樣本上卻給出了錯(cuò)誤的預(yù)測結(jié)果.對(duì)抗樣本廣泛存在于圖像、文本、語音等不同模態(tài),且針對(duì)各個(gè)模態(tài)的具體模型,如目標(biāo)檢測,文本識(shí)別,語音識(shí)別等都表現(xiàn)出較強(qiáng)的攻擊性能.不僅如此,數(shù)字世界中的對(duì)抗樣本還可以通過不同的方式(如印刷、噴繪、3D 打印等)轉(zhuǎn)換到物理世界[15-17],并且對(duì)環(huán)境因素的干擾具有一定的魯棒性.

圖1 針對(duì)圖像分類模型的對(duì)抗樣本[14] (左: 正常樣本,中: 對(duì)抗噪聲,右: 對(duì)抗樣本)Fig.1 Adversarial examples for the image classification model[14] (Left: normal samples,Middle: Adversarial noise,Right: Adversarial examples)

對(duì)抗樣本是在特定的攻擊條件下生成的,目前大多數(shù)工作將其分為白盒條件和黑盒條件.兩者的區(qū)別在于攻擊者掌握被攻擊對(duì)象(模型)信息的多少,白盒條件下攻擊者可以獲取被攻擊對(duì)象的全部資料,黑盒條件下只能獲取部分資料.黑盒條件較白盒條件的攻擊難度更高,且更貼近實(shí)際的攻擊場景.針對(duì)目標(biāo)檢測(2D/3D),文本識(shí)別,語音識(shí)別等模型的對(duì)抗攻擊算法已經(jīng)涌現(xiàn)出了許多研究工作,大多數(shù)工作都可以在白盒條件下達(dá)到較高的攻擊成功率(接近100%),但在黑盒條件下攻擊成功率依然較低.除此之外,目前大多數(shù)工作集中于單模態(tài)的模型架構(gòu),缺少對(duì)跨模態(tài)模型的探索.已有的針對(duì)跨模態(tài)模型(主要是光學(xué)字符識(shí)別模型)的對(duì)抗攻擊算法大多只考慮了簡單背景(如印刷體)的數(shù)據(jù)集和白盒條件的攻擊設(shè)定,不適用于復(fù)雜背景的圖像數(shù)據(jù)和更為嚴(yán)苛的黑盒攻擊條件.此外,大多數(shù)工作在生成物理世界中的對(duì)抗樣本時(shí),攻擊設(shè)定都是白盒條件;很少有工作同時(shí)考慮了物理世界和黑盒條件的攻擊設(shè)定.物理世界和黑盒條件的組合是一種攻擊難度極高的攻擊設(shè)定,非常具有挑戰(zhàn)性,卻也最貼近實(shí)際場景,具有較高的理論與應(yīng)用價(jià)值.

針對(duì)上述問題,本文對(duì)身份證隱私保護(hù)方法進(jìn)行研究,提出了一種針對(duì)身份證文本識(shí)別模型的黑盒對(duì)抗攻擊算法.身份證文本識(shí)別模型是由圖像到文本的跨模態(tài)模型,同時(shí)涉及到圖像特征提取和文本序列建模.與已有的針對(duì)文本識(shí)別模型的研究工作相比: 1) 本文同時(shí)考慮黑盒條件和物理世界攻擊設(shè)定,并且在商用身份證識(shí)別模型(百度身份證識(shí)別模型)上達(dá)到100%攻擊成功率;2) 針對(duì)黑盒條件下對(duì)抗樣本攻擊成功率較低的問題,本文探索了對(duì)抗樣本在不同范數(shù)限制下的攻擊能力上限,并在保證攻擊成功率的前提下使用二值化掩碼來改善對(duì)抗樣本的視覺效果;3) 針對(duì)物理世界中環(huán)境因素干擾的問題,本文在生成對(duì)抗樣本的過程中引入了空間變換,使得方法對(duì)于拍攝距離、光照等環(huán)境因素的干擾具有一定的魯棒性.

1 相關(guān)工作

本節(jié)將介紹相關(guān)研究工作.以圖像分類模型為例,闡述對(duì)抗樣本的定義,概述黑盒條件下的對(duì)抗攻擊算法,并梳理總結(jié)現(xiàn)有針對(duì)文本識(shí)別模型的對(duì)抗攻擊算法.

1.1 黑盒攻擊算法

本節(jié)首先給出對(duì)抗樣本的定義.令f(x;θ):x∈[0,1]d-→z∈Rn表示一個(gè)圖像分類模型,類別數(shù)為n,參數(shù)為θ.其中,x表示一張維度為d的圖像,取值范圍為0 到1,z表示一個(gè)n維的概率矩陣.假設(shè)f(x;θ) 可以正確識(shí)別輸入圖像x,預(yù)測結(jié)果為圖像x對(duì)應(yīng)的標(biāo)簽y.則對(duì)抗樣本x adv可以定義為:

式(1)中,δ表示對(duì)抗噪聲.在原始圖像x上添加δ之后,就生成了對(duì)抗樣本x adv,其必須滿足兩個(gè)限制條件:x adv必須導(dǎo)致分類器f輸出錯(cuò)誤的預(yù)測結(jié)果;x adv必須滿足一定的數(shù)值范圍T(x,?),如式(2)所示.首先限制了x adv的取值范圍為0 到1,保證對(duì)抗樣本和原始圖像的數(shù)值范圍相同;其次規(guī)定了對(duì)抗噪聲δ的lp范數(shù)小于等于范數(shù)限制?,目的是保證對(duì)抗噪聲的幅值較小,使得人類難以發(fā)現(xiàn),且不影響人類對(duì)于對(duì)抗樣本的判斷結(jié)果.在目前大多數(shù)研究工作中,p有三種取值,分別為0,2 和無窮.

黑盒條件下,攻擊者掌握被攻擊對(duì)象的資料信息有限,只能與被攻擊對(duì)象做特定形式的交互.例如,攻擊者想要攻擊某網(wǎng)站的圖像識(shí)別模型,攻擊者無法獲取模型結(jié)構(gòu),參數(shù)等信息,而只能上傳圖像或通過指定的程序接口(Application programming interface,API)調(diào)用其服務(wù).此時(shí),攻擊者能得到的信息只有模型返回的識(shí)別結(jié)果.黑盒條件是最不利于攻擊者的條件,但也是最貼近現(xiàn)實(shí)的攻擊條件.在黑盒條件下實(shí)現(xiàn)較高的攻擊成功率,其難度和挑戰(zhàn)性遠(yuǎn)遠(yuǎn)大于白盒條件.

黑盒條件下的對(duì)抗攻擊算法主要分為三類,基于分?jǐn)?shù)的對(duì)抗攻擊算法,基于決策的對(duì)抗攻擊算法和基于遷移的對(duì)抗攻擊算法,分類的依據(jù)是被攻擊對(duì)象輸出信息的多少.假設(shè)被攻擊對(duì)象是圖像分類模型,其輸出信息包含以下三種情況: 1)分類結(jié)果和每一類的概率(置信度);2)只有分類結(jié)果;3)只有分類結(jié)果,且攻擊者和被攻擊對(duì)象的交互次數(shù)會(huì)受到客觀限制,例如付費(fèi)識(shí)別時(shí)的經(jīng)濟(jì)成本.這三種情況中,攻擊者可以獲取到被攻擊對(duì)象的信息逐漸減少,攻擊難度逐漸增加.其中,基于分?jǐn)?shù)的算法適用于第一種情況,代表性算法有Zeroth order optimization (ZOO)[18],Natural evolution strategies gradient estimate (NES)[19],Simultaneous perturbation stochastic approximation (SPSA)[20]和Nattack[21];基于決策的算法適用于第二種情況,代表性算法有Boundary[22],Evolutionary[23]和 Geometric decision-based attack (GeoDA)[24];基于遷移的算法適用于第三種情況,代表性方法有Momentum iterative fast gradient sign method (MI-FGSM)[25],Nesterov iterative fast gradient sign method (NIFGSM)[26],Diverse inputs iterative fast gradient sign method (DI-FGSM)[27],Combination of translation-invariant method and the fast gradient sign method (TI-FGSM)[28],Variance tuning MIFGSM (VMI-FGSM)[29].

這幾種典型的基于遷移的黑盒攻擊算法可以大致分為兩類: 修改梯度更新過程,增加輸入變化來提升對(duì)抗樣本的泛化性.其中,MI-FGSM,NIFGSM,VMI-FGSM 和Variance tuning NI-FGSM(VNI-FGSM)屬于第一種.MI-FGSM 引入了動(dòng)量項(xiàng),修改了梯度的累積過程;NI-FGSM 利用Nesterov 來加速梯度的計(jì)算過程;VMI-FGSM 和VNIFGSM 分別在MI-FGSM 和NI-FGSM 的基礎(chǔ)上,通過采樣一定鄰域內(nèi)樣本的平均梯度,對(duì)動(dòng)量項(xiàng)做修正,更改了動(dòng)量的累積過程.Scale-invariant fast gradient sign method (SI-FGSM),TI-FGSM 和DI-FGSM 屬于第二種.SI-FGSM 增加了輸入樣本的幅值變化,創(chuàng)建了i個(gè)輸入樣本的副本,每個(gè)副本的幅值在原始幅值上縮小 2i倍;TI-FGSM 利用卷積神經(jīng)網(wǎng)絡(luò)的平移不變性,引入了符合高斯分布的卷積核,通過和梯度做卷積計(jì)算來增強(qiáng)梯度的泛化性;DI-FGSM 則通過輸入空間變換,即隨機(jī)縮放和填充,來增強(qiáng)輸入樣本的泛化性.這幾種典型的基于遷移的黑盒攻擊算法都是在基于梯度的對(duì)抗攻擊算法I-FGSM 的基礎(chǔ)上演化而來的,并且可以通過超參數(shù)的調(diào)整互相轉(zhuǎn)換,例如,當(dāng)VMI-FGSM 中的采樣鄰域范圍β變?yōu)? 時(shí),VMI-FGSM 就轉(zhuǎn)換為了MI-FGSM;當(dāng)MI-FGSM 中的動(dòng)量累積項(xiàng)系數(shù)μ變?yōu)? 時(shí),MI-FGSM 就變?yōu)镮-FGSM.同時(shí),這幾種算法也可以加入一系列的輸入變換方法,達(dá)到更好的攻擊性能.這幾種典型的對(duì)抗攻擊算法關(guān)系圖如圖2 所示.其中,VM(N)I-FGSM 分別表示VMI-FGSM 和VNI-FGSM,D(T,S)I-FGSM 分別表示DI-FGSM,TI-FGSM 和SI-FGSM.

圖2 幾種典型的黑盒遷移攻擊算法關(guān)系圖[29]Fig.2 Relationships among several transfer-based black-box adversarial attacks[29]

基于分?jǐn)?shù)和基于決策的黑盒攻擊算法雖然可以保證成功攻擊目標(biāo)模型,但是其需要大量訪問被攻擊對(duì)象的輸出結(jié)果(這一過程也稱之為查詢),導(dǎo)致攻擊成本不可控.目前,這兩個(gè)方向的研究工作集中于在保證攻擊性能的前提下,提升查詢效率,降低攻擊成本.基于遷移的黑盒攻擊算法攻擊成本較低,但之前的研究工作大多都假設(shè)替代模型和目標(biāo)模型的訓(xùn)練集相同,導(dǎo)致可能存在數(shù)據(jù)泄露的問題.而且這樣的設(shè)定與實(shí)際情況相悖,導(dǎo)致其在實(shí)際應(yīng)用中需要較強(qiáng)的對(duì)抗噪聲才可以實(shí)現(xiàn)較為滿意的攻擊效果.目前,這一方向的研究集中于更加貼近實(shí)際情況的攻擊設(shè)定和提升對(duì)抗樣本的視覺效果.

1.2 針對(duì)文本識(shí)別模型的對(duì)抗攻擊算法

文本識(shí)別模型屬于光學(xué)字符識(shí)別(Optical character recognition,OCR)模型中的一個(gè)組件,是由圖像到文本的跨模態(tài)模型.OCR 模型分為兩階段和端到端兩種設(shè)計(jì)架構(gòu).兩階段的OCR 模型包括文本檢測和文本識(shí)別,具體來說包括四個(gè)步驟:文本檢測,檢測框?qū)R,方向矯正和文本識(shí)別.其中,文本檢測用來檢測圖像中存在的文本位置;檢測框?qū)R將傾斜或者不規(guī)則排列的文本位置變?yōu)樗轿恢?方向矯正可以保證字體的角度是0 度,防止出現(xiàn)字體顛倒的情況.在保證字體位置水平且字體角度為0 度之后,將其送入文本識(shí)別模型進(jìn)行識(shí)別.端到端的OCR 模型在一個(gè)網(wǎng)絡(luò)中同時(shí)進(jìn)行文本檢測和文本識(shí)別,相比兩階段的OCR,其模型更小,速度更快,但性能也會(huì)出現(xiàn)下降.相比于端到端的OCR 模型,兩階段的OCR 模型更加成熟,在實(shí)際場景中應(yīng)用更加廣泛.

兩階段的OCR 模型中,基于CRNN+CTC架構(gòu)[30]的文本識(shí)別模型速度快,準(zhǔn)確率較高,且由于CTC 獨(dú)特的解碼方式,這種模型架構(gòu)可以識(shí)別任意長度的文字序列,不會(huì)受到不定長文字序列的影響,是一種主流的文本識(shí)別模型架構(gòu).如圖3 所示,模型架構(gòu)主要包含三部分,圖像特征提取模塊CNN,圖像上下文信息提取模塊BLSTM 和CTC損失.其中,CNN 一般使用主流的卷積神經(jīng)網(wǎng)絡(luò),如ResNet (桌面端),MobileNet (移動(dòng)端)等.文本圖像中存在大量的上下文信息,尤其是較長的文字序列.由于卷積神經(jīng)網(wǎng)絡(luò)更關(guān)注于圖像局部特征的建模,缺乏全局特征和上下文建模的能力,只使用卷積神經(jīng)網(wǎng)絡(luò)很難有效挖掘到文本圖像中的上下文信息.因此,CRNN 引入了雙向長短時(shí)記憶網(wǎng)絡(luò)(Bidirectional long short-term memory,BLSTM),不僅提供了上下文信息建模的能力,還解決了傳統(tǒng)循環(huán)神經(jīng)網(wǎng)絡(luò)中存在的長距離依賴問題.得到BLSTM 輸出的特征序列后,由于訓(xùn)練數(shù)據(jù)中文本圖像的標(biāo)簽不包含每個(gè)字符在圖像中的位置,無法將對(duì)應(yīng)時(shí)刻的輸出和CNN 的感受野進(jìn)行對(duì)齊,不能使用常見的交叉熵?fù)p失函數(shù)訓(xùn)練模型.為了解決這一問題,引入了CTC 損失,CTC 是一種不需要對(duì)齊的編碼方法,廣泛應(yīng)用于語音識(shí)別等領(lǐng)域[31].

圖3 CRNN 文本識(shí)別模型架構(gòu)圖[30] (CNN 表示卷積神經(jīng)網(wǎng)絡(luò).“-”表示空字符)Fig.3 CRNN text recognition model architecture diagram[30] (CNN stands for convolutional neural network.“-”indicates a null character)

近年來,針對(duì)文本識(shí)別模型的對(duì)抗攻擊算法涌現(xiàn)出了許多工作.我們簡要介紹幾篇代表性的研究工作,并總結(jié)分析已有工作與本工作的區(qū)別.

工作1[32]最先提出了針對(duì)文本識(shí)別模型的對(duì)抗攻擊算法.該算法采用基于優(yōu)化的白盒攻擊方法,其損失函數(shù)采用了與CW 算法相同的形式,目的是在保證攻擊成功率的前提下最小化對(duì)抗噪聲,使得生成的對(duì)抗樣本較為隱蔽.該工作探索了不同字體和字號(hào)對(duì)攻擊成功率的影響,并將對(duì)抗樣本嵌入到文本段落中,使其在其他下游任務(wù)(如郵件識(shí)別和影評(píng)等)展現(xiàn)攻擊效果.

工作2[33]采用基于梯度的白盒攻擊算法和全局性水印,通過計(jì)算梯度的權(quán)重確定水印的位置,再將對(duì)抗噪聲隱藏到水印中,可以在保證攻擊性能的前提下進(jìn)一步提升對(duì)抗樣本的隱蔽性.該工作探索了單詞級(jí)別和字符級(jí)別對(duì)抗樣本的攻擊性能,并探索了不同的水印形式對(duì)攻擊成功率的影響.值得關(guān)注的是,工作1 和工作2 都只考慮了白色背景的圖像數(shù)據(jù)和白盒條件,且沒有針對(duì)商用模型和物理世界進(jìn)行試驗(yàn).這樣的設(shè)定導(dǎo)致其攻擊難度大大降低,不利于算法在復(fù)雜背景數(shù)據(jù)和黑盒條件下的泛化.

工作3[34]提出了一種針對(duì)場景文本識(shí)別模型的對(duì)抗攻擊算法,可以自然地應(yīng)用到基于CTC 和基于注意力機(jī)制這兩種不同的場景文本識(shí)別模型架構(gòu)中.與之前的工作相比,該工作進(jìn)一步考慮了背景更加復(fù)雜的場景文本圖像,而不是簡單的白色背景圖像.但該算法只考慮了白盒條件,沒有考慮攻擊難度更高的黑盒條件.實(shí)驗(yàn)證明,該算法在白盒條件下可以達(dá)到非常高的攻擊成功率,但在黑盒條件下其攻擊成功率較低,只有20%左右.

工作4[35]在工作3 的基礎(chǔ)上,考慮了黑盒條件,提出了一種針對(duì)場景文本識(shí)別模型的黑盒攻擊算法,旨在更改更少的擾動(dòng)像素個(gè)數(shù)(即lp范數(shù)限制)下提高對(duì)抗樣本的攻擊成功率.為了確定被操縱像素的位置和值,作者提供了一個(gè)有效的自適應(yīng)-離散微分進(jìn)化框架,將連續(xù)搜索空間縮小到一個(gè)離散空間,有效地提高了查詢效率,在本地的黑盒模型上實(shí)現(xiàn)了較高的攻擊成功率.但由于其需要黑盒模型的部分先驗(yàn)知識(shí),即需要輸出每個(gè)字符和預(yù)測概率,導(dǎo)致其在攻擊商用模型時(shí)受限,在百度的場景文本識(shí)別模型上只實(shí)現(xiàn)了40%左右的攻擊成功率.

工作5[36]利用了對(duì)抗樣本的攻擊性和視覺友好性,將其轉(zhuǎn)換為魯棒性的驗(yàn)證碼,用于攻擊驗(yàn)證碼破解系統(tǒng).具體地,該算法針對(duì)驗(yàn)證碼破解系統(tǒng)中的不同步驟,設(shè)計(jì)了不同攻擊方法組合的形式,包括多目標(biāo)攻擊,集成對(duì)抗訓(xùn)練,可微逼近和期望順序組合.與之前的工作不同,該工作在系統(tǒng)層面設(shè)計(jì)了對(duì)抗樣本的生成算法,而不僅僅在模型層面.

工作6[37]將對(duì)抗樣本和圖像隱寫結(jié)合起來,提出了一種基于對(duì)抗攻擊的字符級(jí)隱寫算法.具體地,該工作通過攻擊局部模型來實(shí)現(xiàn)隱寫消息嵌入,通過捕獲發(fā)送方和接收方局部模型識(shí)別的結(jié)果與參考模型不同的字符來提取信息.該工作的重點(diǎn)在于圖像隱寫策略的創(chuàng)新性設(shè)計(jì),規(guī)定了發(fā)送方和接收方必須使用相同的OCR 模型這一應(yīng)用場景,而不在于提高對(duì)抗樣本的攻擊成功率.

工作7[38]第一次將對(duì)抗攻擊引入場景文本的識(shí)別,研究其對(duì)基于attention 的場景文本識(shí)別模型的影響.具體地,該工作通過將針對(duì)圖像分類、語義分割和圖像檢索等非序列任務(wù)設(shè)計(jì)的目標(biāo)函數(shù)調(diào)整為序列形式,然后,提出了一種新穎且有效的目標(biāo)函數(shù),以進(jìn)一步減少擾動(dòng)量,同時(shí)實(shí)現(xiàn)更高的攻擊成功率.

工作8[39]提出了一種水印攻擊方法,利用水印的偽裝來產(chǎn)生自然失真,從而避開人眼的檢測.具體地,此工作重點(diǎn)研究白盒,有針對(duì)性的攻擊,生成自然的水印樣式擾動(dòng).水印不會(huì)妨礙文本的可讀性,使得對(duì)抗樣本看起來更自然,并獲得與現(xiàn)有攻擊方法相似的攻擊性能.

工作9[14,40]提出了一種高效的基于優(yōu)化的對(duì)抗攻擊方法.具體地,此工作對(duì)抗攻擊目標(biāo)定義為找到一個(gè)與普通樣本非常相似(人眼幾乎不能發(fā)現(xiàn)差異)但識(shí)別結(jié)果卻差異很大的樣本.此工作通過優(yōu)化的方式生成對(duì)抗樣本,并在一些主流的場景文本識(shí)別模型上達(dá)到了較高的攻擊成功率.

當(dāng)前工作集中于一般類型的文本圖像,并沒有針對(duì)具體OCR 任務(wù)做優(yōu)化,且缺乏物理世界中的相關(guān)實(shí)驗(yàn).工作4 考慮到了黑盒條件和商用模型,但由于其需要部分黑盒模型的先驗(yàn)知識(shí)(即每個(gè)字符的識(shí)別概率),當(dāng)被查詢的商用模型不滿足輸出先驗(yàn)知識(shí)的要求或查詢成本較高時(shí),其在實(shí)際場景中的應(yīng)用就會(huì)受到限制,泛化性較差.物理世界和黑盒條件的組合攻擊難度較高,極具挑戰(zhàn)性,卻也最貼近實(shí)際場景,具有極高的應(yīng)用價(jià)值.本文在圖4中展示了當(dāng)前工作生成的對(duì)抗樣本示例,并且在表1中總結(jié)了當(dāng)前工作和本工作的區(qū)別.

表1 本工作與已有工作的對(duì)比Table 1 Comparison of this work with existing work

圖4 當(dāng)前工作生成的對(duì)抗樣本示例圖[32-37]Fig.4 Adversarial examples generated by recent work[32-37]

2 針對(duì)身份證識(shí)別模型的黑盒攻擊算法

本節(jié)將詳細(xì)介紹針對(duì)身份證識(shí)別模型的黑盒攻擊算法.首先,在基于遷移的黑盒攻擊算法框架下,給出了問題定義;其次,同時(shí)考慮黑盒條件和物理世界攻擊,在算法中分別設(shè)計(jì)了二值化掩碼和空間變換兩個(gè)組件來提升對(duì)抗樣本視覺效果和物理世界的魯棒性;最后,通過在本地身份證模型和百度身份證模型上的攻擊實(shí)驗(yàn)證明了本算法的有效性.

2.1 問題定義

本文將兩階段OCR 模型中的文本識(shí)別模型作為攻擊對(duì)象,原因如下: 1)文本檢測模型屬于目標(biāo)檢測模型的一個(gè)子類,涉及的模態(tài)類型只有圖像.而文本識(shí)別模型需要同時(shí)處理圖像和文字序列,更加符合對(duì)于跨模態(tài)模型對(duì)抗攻擊算法的探索.2)目前針對(duì)目標(biāo)檢測模型的對(duì)抗攻擊算法需要較強(qiáng)的局部擾動(dòng)(常以對(duì)抗補(bǔ)丁的形式存在[41-43])才能達(dá)到較高的攻擊成功率.這種較強(qiáng)的局部擾動(dòng)適用于圖像中面積較大的一般物體,但不適用于文字等結(jié)構(gòu)性較強(qiáng)的對(duì)象.例如,在圖像中某人的胸前生成擾動(dòng)性很強(qiáng)的圖案,并不影響人類判斷他是一個(gè)人;但是在某個(gè)字的局部生成擾動(dòng)性很強(qiáng)的圖案,就會(huì)干擾到人類對(duì)其的判斷,這與對(duì)抗樣本的定義相違背.3)相比文本檢測模型,文本識(shí)別模型的架構(gòu)更加統(tǒng)一,在不同場景下的通用性更強(qiáng).因此,針對(duì)文本識(shí)別模型的對(duì)抗攻擊算法在不同的OCR 模型間的泛化性更好.

下面給出問題定義: 假設(shè)有兩個(gè)身份證文本識(shí)別模型f1(θ1) 和f2(θ2),其參數(shù)分別為θ1和θ2.其中,f1的結(jié)構(gòu)和參數(shù)θ1是已知的,f2的結(jié)構(gòu)和參數(shù)θ2是未知的,分別代表替代模型與目標(biāo)模型.此外,攻擊者只能與f2(θ2) 做有限制次數(shù)的交互,得到f2(θ2)的輸出結(jié)果,且結(jié)果中不包含每個(gè)字符識(shí)別的概率值.針對(duì)輸入樣本x和對(duì)應(yīng)的標(biāo)簽y,兩個(gè)識(shí)別模型均可以將其正確識(shí)別.本文目標(biāo)是設(shè)計(jì)一種攻擊算法,求解對(duì)抗噪聲δ,生成對(duì)抗樣本x adv,使得f1(θ1) 和f2(θ2) 均識(shí)別出錯(cuò),且限制對(duì)抗噪聲的范數(shù)在一定范圍之內(nèi),如式(3)所示.

2.2 算法設(shè)計(jì)

2.2.1 二值化掩碼

由于目標(biāo)模型f2(θ2) 的參數(shù)和結(jié)構(gòu)都是未知的,且攻擊者只能與f2(θ2) 做有限制次數(shù)的交互,得到不包含概率值的識(shí)別結(jié)果,這樣的設(shè)定適用于基于遷移的黑盒攻擊算法.即先訓(xùn)練一個(gè)替代模型f1(θ1),使用白盒攻擊算法生成針對(duì)f1(θ1) 的對(duì)抗樣本,再使用基于遷移的黑盒攻擊算法將其攻擊性遷移到未知的f2(θ2).

對(duì)抗樣本的特點(diǎn)是在不影響人類判斷的前提下,干擾目標(biāo)模型的判斷.上述基于遷移的黑盒攻擊算法在生成對(duì)抗樣本時(shí),大多基于l ∞范數(shù)限制,即采用全局的對(duì)抗噪聲擾動(dòng),這有利于提升對(duì)抗樣本的攻擊性能.同時(shí),為了保證對(duì)抗樣本的隱蔽性,范數(shù)限制?通常較小,不會(huì)干擾到人類的判斷.針對(duì)身份證圖像,如果采用全局的對(duì)抗噪聲,那么關(guān)鍵字段上也會(huì)疊加噪聲,干擾人類的判斷.特別是當(dāng)增大范數(shù)限制之后,覆蓋在關(guān)鍵字段上的噪聲會(huì)更加明顯;而如果范數(shù)限制較小,就會(huì)降低對(duì)抗樣本的攻擊性能.如何平衡對(duì)抗樣本的攻擊性能和視覺效果,特別是在保證攻擊性能的前提下提升視覺效果,是本文重點(diǎn)考慮的問題之一.

為了緩解上述問題,更好地平衡對(duì)抗樣本的攻擊性能和視覺效果,本文引入了二值化掩碼M,并將其加入到對(duì)抗樣本的生成過程中,參與梯度的迭代計(jì)算.具體地,當(dāng)輸入樣本x的維度為(h,w,c)時(shí),定義二值化掩碼M如下:

其中,(h,w,c) 表示輸入樣本的(長,寬,通道數(shù)).二值化掩碼M的維度和輸入樣本的維度相同,只包含0 和1,其作用是分割身份證圖像的前景和背景.其中,前景為關(guān)鍵字段對(duì)應(yīng)的圖像區(qū)域,如姓名、性別和身份證號(hào)等,背景是除了前景文字以外的全部區(qū)域.由于身份證的前景和背景區(qū)域差異較為明顯,分割難度并不大,二值化掩碼的計(jì)算非常便捷,可以通過自適應(yīng)或者傳統(tǒng)的閾值分割方法計(jì)算得到,如自適應(yīng)閾值分割算法或大津法等.

在得到二值化掩碼M后,將其加入到對(duì)抗樣本的梯度計(jì)算過程中,通過點(diǎn)乘操作“⊙”就可以將對(duì)抗噪聲的覆蓋區(qū)域限制在背景上,避免全局的對(duì)抗噪聲對(duì)關(guān)鍵字段的覆蓋.以MI-FGSM 為例,加入二值化掩碼M后,對(duì)抗樣本x adv的計(jì)算過程如下:

2.2.2 空間變換

物理世界中對(duì)抗樣本的魯棒性是指對(duì)抗樣本在受到一定環(huán)境因素干擾后,保持其攻擊性能的能力.在物理世界中,對(duì)抗樣本可能會(huì)受到多種環(huán)境因素的干擾,如拍攝的角度、距離、光線的變化等,此時(shí),對(duì)抗樣本的攻擊性能和其對(duì)抗魯棒性成正比.受到期望損失函數(shù)的啟發(fā)[44],本文通過在生成對(duì)抗樣本的過程中引入一系列的輸入變換,增強(qiáng)了其在物理世界中的對(duì)抗魯棒性.具體地,本文考慮了三種輸入變換: 隨機(jī)縮放,亮度變化和高斯噪聲.隨機(jī)縮放不僅可以模擬拍攝距離的遠(yuǎn)近,還可以模擬攝像頭變焦的效果.由于CRNN 模型架構(gòu)對(duì)輸入圖像的長寬比例有一定的要求,隨機(jī)縮放需要限制縮放比例在一定范圍內(nèi).亮度變化模擬了拍攝環(huán)境光線的影響.高斯噪聲模擬了在拍攝時(shí)可能存在的噪點(diǎn)的影響.這些輸入變換以集合的形式存在,即針對(duì)一個(gè)輸入樣本,會(huì)以概率p將其順序做這三種變換,記為T(·;p).這些輸入變換可以與基于遷移的黑盒攻擊算法結(jié)合,提升對(duì)抗樣本在這些變換下的魯棒性.以MI-FGSM 為例,在加入二值化掩碼M和輸入變換T(·:p) 后,對(duì)抗樣本x adv的計(jì)算過程如下:

由于身份證文本識(shí)別模型需要特定的前處理流程,即在經(jīng)過文本檢測模型后,會(huì)將待識(shí)別的圖像區(qū)域通過仿射變換處理為水平的圖像,本文沒有考慮旋轉(zhuǎn)和平移這一類的空間變換.除此之外,由于文本圖像經(jīng)過旋轉(zhuǎn)或平移后可能會(huì)導(dǎo)致上下文信息的丟失.在這種情況下,即使不加對(duì)抗噪聲干擾,模型也無法給出正確的判斷結(jié)果,此時(shí)生成的對(duì)抗樣本是沒有意義的.

綜上,針對(duì)身份證識(shí)別模型的黑盒對(duì)抗攻擊算法流程圖如圖5 所示.以一張身份證圖像為例,在經(jīng)過文本檢測模型后,會(huì)輸出關(guān)鍵字段的圖像區(qū)域?qū)?yīng)的位置,之后會(huì)將關(guān)鍵字段的文本圖像裁剪下來.在裁剪完關(guān)鍵字段的文本圖像后,會(huì)同時(shí)生成對(duì)應(yīng)的二值化掩碼,一同送入本地的基于CRNN架構(gòu)的文本識(shí)別模型f1(θ1).利用本文提出的攻擊算法,同時(shí)考慮遷移性和對(duì)抗魯棒性,生成只包含背景噪聲的對(duì)抗樣本,具體流程見算法1.之后,將生成的對(duì)抗樣本復(fù)制到對(duì)應(yīng)的關(guān)鍵字段區(qū)域.最后利用生成的包含對(duì)抗樣本字段的身份證攻擊黑盒模型f2(θ2).圖5 中,為了簡潔表示,只畫出了姓名和身份證號(hào)字段的對(duì)抗樣本,其他字段的對(duì)抗樣本同理.

圖5 針對(duì)身份證識(shí)別模型的黑盒對(duì)抗攻擊算法流程圖(身份證信息為隨機(jī)生成)Fig.5 Pipeline of the black-box adversarial attack algorithm for ID card recognition model (Information on ID card is randomly generated)

算法1.針對(duì)身份證識(shí)別模型的黑盒對(duì)抗攻擊算法

2.3 實(shí)驗(yàn)設(shè)置與結(jié)果分析

2.3.1 數(shù)據(jù)集與實(shí)驗(yàn)設(shè)置

為了避免使用真實(shí)身份證數(shù)據(jù)帶來的隱私問題,本文自制了一批身份證數(shù)據(jù)用于模型的訓(xùn)練和攻擊算法的測試.身份證圖像共包含姓名、性別、民族、出生日期、住址和身份證號(hào)6 個(gè)關(guān)鍵字段信息,這6 個(gè)字段的信息包含中文,數(shù)字和一個(gè)特殊字符(身份證號(hào)中的X)三種字符類型.本文按照表2 中的標(biāo)準(zhǔn)生成關(guān)鍵字段信息所對(duì)應(yīng)的文本圖像.

表2 身份證關(guān)鍵字段文本圖像生成標(biāo)準(zhǔn)Table 2 ID card key field text image generation standard

如表2 所示,本文首先將關(guān)鍵字段信息分為兩大類,文字和數(shù)字(包括特殊字符X).其中,文字部分包括姓名和住址,對(duì)應(yīng)的字典長度為6 270,涵蓋了絕大部分的常用漢字和生僻字.姓名的長度為2到4,地址的長度為1 到11,均為隨機(jī)挑選.由于民族和性別字段的字體,字號(hào)和住址相同,且長度也在1 到11 之間,所以這兩部分字段的信息可以由住址代替,對(duì)文本識(shí)別模型的訓(xùn)練和算法測試沒有影響.數(shù)字部分包括出生日期和身份證號(hào)兩部分,對(duì)應(yīng)的字典長度為11 (數(shù)字0 到9 和一個(gè)特殊字符X),出生日期長度為1 到4,身份證號(hào)長度為18.其中,頻率代表字典中的每個(gè)字符出現(xiàn)的次數(shù),確保數(shù)據(jù)集中字符的分布不會(huì)出現(xiàn)長尾效應(yīng).訓(xùn)練集和測試集按照10 比1 的比例劃分,整個(gè)字段共包含297 625 張訓(xùn)練圖像和29 763 張測試圖像.此外,本文生成的關(guān)鍵字段信息符合身份證標(biāo)準(zhǔn)中字體,字號(hào)和身份證號(hào)編碼規(guī)則.圖6 展示了4 份身份證數(shù)據(jù)集樣張.

圖6 身份證數(shù)據(jù)集樣張F(tuán)ig.6 Examples of the ID card dataset

本文首先在本地訓(xùn)練了兩個(gè)身份證文本識(shí)別模型,這兩個(gè)模型均采用CRNN 架構(gòu)和CTC 損失函數(shù),區(qū)別是應(yīng)用了兩種不同的卷積神經(jīng)網(wǎng)絡(luò)作為圖像特征提取模塊(ResNet-34 和MobileNet-v3).為了簡化表述,本文將這兩個(gè)模型分別記為res34 和mbv3.其次,本文在本地的黑盒條件下,進(jìn)行了兩組實(shí)驗(yàn).第一組實(shí)驗(yàn)中,替代模型為res34,黑盒模型為mbv3;第二組實(shí)驗(yàn)中,替代模型為mbv3,黑盒模型為res34.兩組實(shí)驗(yàn)互為對(duì)照,可以更好地測試本文所提出的算法在不同實(shí)驗(yàn)設(shè)置中的性能.為了驗(yàn)證本文提出方法對(duì)基于attention 方法和基于transformer 方法的文本識(shí)別模型的有效性,在本地訓(xùn)練了一個(gè)基于attention 方法的文本識(shí)別模型和一個(gè)基于transformer 的文本識(shí)別模型,以黑盒條件進(jìn)行了第三組實(shí)驗(yàn).基于attention 方法的文本識(shí)別模型將res34 模型的解碼器改為seq2seq 結(jié)構(gòu),并基于attention 方法進(jìn)行解碼,為了簡化表述,將該模型稱為res34-att.基于transformer 方法的文本識(shí)別模型采用NRTR 方法,記為NRTR.第三組實(shí)驗(yàn),黑盒模型分別為res34-att 和NRTR,替代模型為mbv3.為了驗(yàn)證不同的基于遷移的黑盒攻擊算法的性能,本文共測試了7 種基于遷移的黑盒攻擊算法,分別為MI-FGSM,TMI-FGSM,SI-NITMI,DMI-FGSM,SI-NI-DMI,DI-TIM 和VNI-SIDI-TIM.算法中涉及到的具體參數(shù)設(shè)置如下: 迭代次數(shù)K=10,動(dòng)量因子μ=1,幅值縮放次數(shù)m=5,空間變化T(·;p) 的概率p=0.5,鄰域采樣數(shù)量N=20,鄰域采樣閾值β=1.5.之后,本文針對(duì)梯度卷積核ω尺寸進(jìn)行了消融實(shí)驗(yàn),用于選擇合適的卷積核來平衡視覺效果和攻擊成功率.為了測試本算法在實(shí)際場景中的表現(xiàn),本文將百度身份證識(shí)別模型作為攻擊對(duì)象,從測試集中挑選了合適的樣本作為新的攻擊數(shù)據(jù)集,并且針對(duì)二值化掩碼進(jìn)行了消融實(shí)驗(yàn),驗(yàn)證二值化掩碼對(duì)于視覺效果的提升作用.最后,本文在物理世界中驗(yàn)證了空間變換對(duì)于提升魯棒性的作用.

實(shí)驗(yàn)用的評(píng)價(jià)指標(biāo)包括攻擊成功率和編輯距離.其中,攻擊成功的標(biāo)準(zhǔn)是模型輸出和原始標(biāo)簽不同.編輯距離是指兩個(gè)字符串之間,由一個(gè)字符串轉(zhuǎn)換為另一個(gè)字符串所需要的最少操作次數(shù).可用的操作包括替換,插入和刪除.它可以量化模型輸出和原始標(biāo)簽之間的差異性,編輯距離越大,差異性越大,編輯距離越小,差異性越小.攻擊成功率(Attack sueccess rate,ASR)和平均編輯距離(Average edit distance,AED)的計(jì)算公式分別如式(7)和式(8)所示.

式(7)和(8)中,N代表樣本總數(shù),d[f(xadv)→y]表示對(duì)抗樣本的輸出結(jié)果和原始標(biāo)簽之間的編輯距離,l(y) 代表原始標(biāo)簽的長度.此處,平均編輯距離經(jīng)過了歸一化處理.

2.3.2 實(shí)驗(yàn)結(jié)果

經(jīng)過模型訓(xùn)練,res34 和mbv3 在測試集上分別達(dá)到了99.99%和99.81%的識(shí)別準(zhǔn)確率,滿足攻擊算法的測試要求.本文將所采用的基于遷移的黑盒攻擊算法VNI-D(T,S)I-FGSM 記為VNI-SI-DITIM.為了更加全面地評(píng)估算法的性能,實(shí)驗(yàn)中采用了不同大小的l ∞范數(shù)限制,對(duì)每種范數(shù)限制下的攻擊成功率和平均編輯距離都進(jìn)行了統(tǒng)計(jì),并且給出了這兩個(gè)指標(biāo)在不同范數(shù)限制下的均值.白盒條件下的兩組實(shí)驗(yàn)結(jié)果如表3 和表4 所示,黑盒條件下的兩組實(shí)驗(yàn)結(jié)果如表5 和表6 所示.這四個(gè)實(shí)驗(yàn)中,均采用了7 種不同大小的范數(shù)限制,從4 到80(以輸入圖像范數(shù)為0 到255 為量綱).

表3 第一組實(shí)驗(yàn)中針對(duì)替代模型res34 的白盒攻擊結(jié)果Table 3 White-box attack results against the surrogate model res34 in the first set of experiments

表4 第二組實(shí)驗(yàn)中針對(duì)替代模型mbv3 的白盒攻擊結(jié)果Table 4 White-box attack results against the surrogate model mbv3 in the second set of experiments

表6 第二組實(shí)驗(yàn)中針對(duì)黑盒模型res34 的黑盒攻擊結(jié)果Table 6 Black-box attack results against the black-box model res34 in the second set of experiments

由表3 和表4 可知,在白盒條件下,所測試算法的平均攻擊成功率都達(dá)到了97%,平均編輯距離大于0.6.平均編輯距離和攻擊成功率成正比關(guān)系,攻擊成功率越高,平均編輯距離也越大.即使是在較小的范數(shù)限制下,如4 或8,攻擊成功率幾乎都在90%以上.通過白盒條件下的這兩組實(shí)驗(yàn),充分說明了基于遷移的黑盒攻擊算法的有效性,同時(shí)也揭示了身份證識(shí)別模型在白盒條件下的脆弱性.

由表5 和表6 可知,在黑盒條件下,所測試算法的平均攻擊成功率在35%到65%之間,平均編輯距離在0.15 到0.45 之間.在兩組實(shí)驗(yàn)中,VNI-SIDI-TIM 的性能表現(xiàn)都是最好的,平均攻擊成功率分別為56.83% 和62.69%,平均編輯距離分別為0.28 和0.43.值得注意的是,在較小的范數(shù)限制下,如4 和8,所測試算法的攻擊成功率均較低,都在10%以下.而當(dāng)范數(shù)限制增加到一定閾值時(shí),如32或48,攻擊成功率才有了明顯的提升.

由表7 和表8 可知,在黑盒條件下,所測試算法的平均攻擊成功率在83%到88%之間,平均編輯距離在0.82 到0.83 之間.在兩組實(shí)驗(yàn)中,VNI-SIDI-TIM 的性能表現(xiàn)都是最好的,平均攻擊成功率分別為87.65%和87.04%,平均編輯距離分別為0.8340和0.8243.值得注意的是,ocr-att 模型和NRTR 模型在身份證數(shù)據(jù)集上的魯棒性表現(xiàn)弱于CRNN 結(jié)構(gòu)的識(shí)別模型,其具體表現(xiàn)為ocr-att 模型和NRTR模型很容易將擾動(dòng)噪聲誤解碼.

表7 第三組實(shí)驗(yàn)中針對(duì)黑盒模型res34-att 的黑盒攻擊結(jié)果Table 7 Black-box attack results against the black-box model res34-att in the third set of experiments

表8 第三組實(shí)驗(yàn)中針對(duì)黑盒模型NRTR 的黑盒攻擊結(jié)果Table 8 Black-box attack results against the black-box model NRTR in the third set of experiments

為了更加直觀地比較不同算法的攻擊效果,本文展示了不同范數(shù)限制下的各個(gè)算法的攻擊成功率,如圖7 所示.由圖7 可知,攻擊成功率與范數(shù)限制成正比關(guān)系,范數(shù)限制越大,攻擊成功率越高.VNI-SI-DI-TIM 與其他算法相比,在較小的范數(shù)限制下,如4 和8 時(shí),優(yōu)勢(shì)并不明顯;而在較大的范數(shù)限制下,如32 及以上,才具有較為明顯的攻擊成功率優(yōu)勢(shì).由于范數(shù)限制和視覺效果成反比,即范數(shù)限制越大,對(duì)抗噪聲就會(huì)越明顯,視覺效果越差.在達(dá)到相似的攻擊成功率時(shí),VNI-SI-DI-TIM 需要的范數(shù)限制較小,生成的對(duì)抗樣本視覺效果較好.

圖7 不同范數(shù)限制下的攻擊成功率趨勢(shì)圖 (上: 針對(duì)mbv3 的黑盒攻擊實(shí)驗(yàn),下: 針對(duì)res34 的黑盒攻擊實(shí)驗(yàn))Fig.7 Trend graph of attack success rate under different norm constraints (Top: Black-box attack experiment for mbv3;Bottom: Black-box attack experiment for res34)

為了測試梯度卷積核尺寸對(duì)于攻擊成功率的影響,本文進(jìn)行了兩組消融實(shí)驗(yàn).第一組實(shí)驗(yàn)中,黑盒模型為res34,第二組實(shí)驗(yàn)中,黑盒模型為mbv3.這兩組實(shí)驗(yàn)均選取了大小為5×5 和15×15 的兩種高斯卷積核,所選擇的基準(zhǔn)方法為TMI,因?yàn)槠渲话瑢?duì)梯度的卷積這一項(xiàng)輸入變化,排除了其他輸入變化的干擾.實(shí)驗(yàn)結(jié)果如表9 和表10 所示.

表9 卷積核尺寸消融實(shí)驗(yàn),第一組實(shí)驗(yàn)中針對(duì)黑盒模型res34 的攻擊結(jié)果Table 9 Convolution kernel size ablation experiment,the attack results against the black-box model res34 in the first set of experiments

表10 卷積核尺寸消融實(shí)驗(yàn),第二組實(shí)驗(yàn)中針對(duì)黑盒模型mbv3 的攻擊結(jié)果Table 10 Convolution kernel size ablation experiment,the attack results against the black-box model mbv3 in the second set of experiments

由表9 和表10 可得,卷積核尺寸由5×5 增加到15×15 后,平均攻擊成功率升高.第一組實(shí)驗(yàn)中,TMI 的平均攻擊成功率增加了8.66%,VNI-SI-DITIM 增加了5.85%;第二組實(shí)驗(yàn)中,TMI 的平均攻擊成功率增加了7.37%,VNI-SI-DI-TIM 增加了7.32%.為了更加直觀地觀察到這一現(xiàn)象,本文展示了不同卷積核尺寸下的攻擊成功率趨勢(shì)圖,如圖8所示.從圖中可以看出,在較大的范數(shù)限制下(大于16),增大卷積核可以明顯提升攻擊成功率.為了清晰地觀察到不同卷積核尺寸下生成對(duì)抗樣本的視覺效果,本文以姓名為“康憊憑”的文本圖像為例,在圖9 中展示了大小為5×5 和15×15 的兩組卷積核在不同范數(shù)限制下所生成的對(duì)抗樣本.可以觀察到,隨著范數(shù)限制的增大,對(duì)抗噪聲的幅值增加,顏色加深,生成的對(duì)抗樣本視覺效果變差.而較大的卷積核尺寸,使得生成的對(duì)抗噪聲更加平滑,提升了視覺效果.基于此,本文在后續(xù)實(shí)驗(yàn)中將高斯卷積核尺寸設(shè)置為15×15.

圖8 不同卷積核大小下的攻擊成功率趨勢(shì)圖 (左: 針對(duì)res34 的黑盒攻擊結(jié)果,右: 針對(duì)mbv3 的黑盒攻擊結(jié)果)Fig.8 Trend chart of attack success rate under different convolution kernel sizes (Left: Black-box attack results against res34;Right: Black-box attack results against mbv3)

圖9 不同卷積核尺寸生成的對(duì)抗樣本示例圖Fig.9 Adversarial examples generated with different convolution kernel sizes

為了測試本文的方法在實(shí)際場景中的攻擊性能,本文針對(duì)百度身份證識(shí)別模型進(jìn)行了實(shí)驗(yàn).首先,本文在測試集中挑選了兩種關(guān)鍵字段的文本圖像,姓名和身份證號(hào),每種類型的圖像各100 張,還有100 張相應(yīng)的身份證圖像,作為攻擊數(shù)據(jù)集.挑選的標(biāo)準(zhǔn)是關(guān)鍵字段的文本圖像可以被替代模型mbv3 正確識(shí)別.由于姓名和身份證號(hào)包含了幾乎是最重要的個(gè)人信息(出生,性別,住址的省市均可以由身份證號(hào)獲取),且同時(shí)含有文字,數(shù)字和特殊字符X,選擇這兩部分字段的文本圖像作為攻擊數(shù)據(jù)集不僅可以全面地分析算法的性能,而且可以控制百度身份證模型的調(diào)用成本.之后,利用VNI-SIDI-TIM 算法生成關(guān)鍵字段的對(duì)抗樣本,再將其替換回原有的關(guān)鍵字段區(qū)域,生成身份證圖像.最后,調(diào)用百度身份證識(shí)別模型接口進(jìn)行識(shí)別.由于在之前的實(shí)驗(yàn)中,范數(shù)限制大小在48 及以上時(shí),針對(duì)本地黑盒模型的攻擊成功率才達(dá)到了90%以上,本實(shí)驗(yàn)采用了48 到128 的5 種范數(shù)限制.此外,為了測試二值化掩碼對(duì)于視覺效果的提升作用,同步設(shè)計(jì)了消融實(shí)驗(yàn),實(shí)驗(yàn)結(jié)果如表11 所示.其中,? 表示加入二值化掩碼,×表示剔除二值化掩碼.

表11 針對(duì)百度身份證識(shí)別模型的攻擊結(jié)果Table 11 Attack results against Baidu ID card recognition model

由表11 可得,在較小的范數(shù)限制下,如48 和64,攻擊成功率均較低.當(dāng)范數(shù)限制增加到80 時(shí),攻擊成功率有了明顯的提高.當(dāng)范數(shù)限制達(dá)到128 時(shí),不論是否加入二值化掩碼,攻擊成功率均達(dá)到了100%.這說明,范數(shù)限制大小是影響攻擊成功率的主要因素.范數(shù)限制越大,對(duì)抗噪聲的搜索空間越大,攻擊成功率越高.然而,增大范數(shù)限制會(huì)降低視覺效果,如圖10 所示.尤其對(duì)于文本圖像而言,全局的范數(shù)限制會(huì)導(dǎo)致對(duì)抗噪聲覆蓋在字體上,嚴(yán)重干擾人類的判斷,這與對(duì)抗樣本的定義相違背,二值化掩碼的加入可以極大地改善這一問題.

圖10 二值化掩碼消融實(shí)驗(yàn)中生成的對(duì)抗樣本示例圖Fig.10 Adversarial examples generated in the ablation experiment of the binarized mask

如圖10,針對(duì)姓名字段,加入二值化掩碼的算法,平均攻擊成功率下降了1.4%;針對(duì)身份證號(hào)字段,平均攻擊成功率下降了1.2%.從實(shí)驗(yàn)結(jié)果看出,通過加入二值化掩碼,對(duì)抗樣本在視覺效果與攻擊效果之間達(dá)到一個(gè)平衡,在不顯著影響攻擊成功率的同時(shí),有效地增強(qiáng)視覺效果.

為了更加直觀地觀察到二值化掩碼對(duì)視覺效果的影響,本文在圖10 中展示了“康憊憑”這一姓名字段的對(duì)抗樣本,并且在圖11 中展示了其完整身份證圖像和百度身份證識(shí)別模型的輸出結(jié)果.

圖11 身份證對(duì)抗樣本及百度身份證模型識(shí)別結(jié)果(第一行: 加入二值化掩碼,第二行:剔除二值化掩碼)Fig.11 ID card adversarial examples and Baidu ID card recognition results (The first line: Add binarization mask;The second line: Cancel binarization mask)

從圖10 可以觀察到,加入二值化掩碼對(duì)于提升對(duì)抗樣本的視覺效果有較為顯著的作用.尤其是在較大的范數(shù)限制下,將對(duì)抗噪聲限制在背景區(qū)域是非常有必要的.從圖中可以觀察到,二值化掩碼是否存在,影響了生成的對(duì)抗噪聲的顏色和形狀.這說明,加入二值化掩碼并不是簡單地將字體上的對(duì)抗噪聲消除,而是在背景區(qū)域產(chǎn)生相似攻擊性的對(duì)抗噪聲.這樣的實(shí)驗(yàn)結(jié)果也從側(cè)面說明,基于CRNN 架構(gòu)的文本識(shí)別模型,其決策邊界容易受到所學(xué)的背景特征的影響.

如圖11 所示,百度身份證識(shí)別模型將這兩張身份證圖像中的姓名字段全部判斷出錯(cuò),而身份證號(hào)字段由于沒有檢測到,所以并沒有返回識(shí)別結(jié)果,其范數(shù)限制均為128.雖然這兩張對(duì)抗樣本身份證均可以攻擊成功,但剔除二值化掩碼所生成的對(duì)抗樣本,已經(jīng)顯著影響到了人類的觀察,而加入二值化掩碼可以有效地改善視覺效果,降低對(duì)人類觀察的影響.對(duì)于百度身份證識(shí)別模型的攻擊實(shí)驗(yàn)充分說明,模型架構(gòu)的差異對(duì)于攻擊成功率的影響非常大.由于本地的替代模型和訓(xùn)練用的數(shù)據(jù)集與百度的存在較大的差異性,在本地范數(shù)限制48 就可以達(dá)到90%以上攻擊成功率的算法,在百度身份證識(shí)別模型上需要幾乎兩倍的范數(shù)限制,才能達(dá)到類似的攻擊成功率.這說明在實(shí)際應(yīng)用場景中,替代模型和黑盒模型之間的差異性對(duì)于基于遷移性的黑盒攻擊算法影響非常大.

為了驗(yàn)證本方法在物理世界中的攻擊性能和空間變換對(duì)于對(duì)抗魯棒性的提升作用,本文在物理世界中進(jìn)行了實(shí)驗(yàn).首先,本文在數(shù)字世界中挑選了十張范數(shù)限制為128 的對(duì)抗身份證圖像,圖像分辨率為2 120×1 370 像素,且這十張圖像均可以成功攻擊百度身份證識(shí)別模型.之后,將其保存為便捷文檔格式(Portable document format,PDF)并利用打印機(jī)打印出來.最后用手機(jī)分別在三組不同拍攝距離和光照條件下進(jìn)行拍攝,共得到90 張對(duì)抗身份證圖像,利用其攻擊百度身份證識(shí)別模型.手機(jī)型號(hào)為小米9,鏡頭參數(shù)為默認(rèn)長焦,圖像分辨率均為4 000×2 250 像素.圖12 展示了其中一張身份證圖像對(duì)應(yīng)的9 張物理世界的對(duì)抗樣本.

圖12 不同拍攝距離和光照下的身份證對(duì)抗樣本Fig.12 ID card adversarial examples under different shooting distances and lighting conditions

如圖12 所示,在較強(qiáng)的亮度和較近的拍攝距離下,對(duì)抗樣本的視覺效果最好.圖中的9 張對(duì)抗樣本及全部的90 張對(duì)抗樣本均可以成功攻擊百度身份證識(shí)別模型,攻擊結(jié)果是姓名和身份證號(hào)全部識(shí)別出錯(cuò),其他的關(guān)鍵字段均可以正確識(shí)別.該實(shí)驗(yàn)充分證明了本方法在物理世界中的攻擊性能,并且說明了空間變換可以有效地增強(qiáng)對(duì)抗魯棒性.

3 總結(jié)

本文提出了針對(duì)身份證文本識(shí)別模型的黑盒攻擊算法,同時(shí)考慮了黑盒條件和物理世界兩種高難度的攻擊設(shè)定,在對(duì)比分析基于遷移的黑盒攻擊算法的基礎(chǔ)上,引入了二值化掩碼和空間變換,改善了較大范數(shù)限制下對(duì)抗樣本的視覺效果和其在物理世界中的魯棒性.二值化掩碼的加入,將對(duì)抗噪聲的搜索空間限制在了背景區(qū)域,只通過背景的改變就影響到了文本識(shí)別模型的決策邊界,從側(cè)面揭示了文本識(shí)別模型對(duì)字體所處的背景特征具有較強(qiáng)的依賴性.空間變換在數(shù)字世界建模了物理世界中光照,噪聲和拍攝距離的影響,使得對(duì)抗樣本對(duì)環(huán)境因素的干擾具有一定的魯棒性.在本地的黑盒身份證文本識(shí)別模型和商用的百度身份證文本識(shí)別模型上均達(dá)到了100%的攻擊成功率.與已有的針對(duì)文本識(shí)別模型的對(duì)抗攻擊算法不同,本算法在較復(fù)雜背景的數(shù)據(jù)集,黑盒攻擊條件,物理世界三個(gè)方面均具有良好的泛化優(yōu)勢(shì),攻擊設(shè)定更加貼近現(xiàn)實(shí)場景,實(shí)用價(jià)值較高.未來我們將在駕駛證,社保卡和銀行支票等自然場景文字識(shí)別應(yīng)用上進(jìn)一步將本文的結(jié)論進(jìn)行擴(kuò)展,以適應(yīng)更多的應(yīng)用場景.