結(jié)合高斯濾波與MASK 的G-MASK 人臉對(duì)抗攻擊

李倩，向海昀，張玉婷，甘昀，廖浩德

（西南石油大學(xué)計(jì)算機(jī)科學(xué)學(xué)院，四川 成都 610500）

0 引言

深度學(xué)習(xí)理論的不斷發(fā)展使得基于該技術(shù)的人工智能在各個(gè)行業(yè)領(lǐng)域中嶄露頭角，如圖像分類［1］、計(jì)算機(jī)視覺(jué)［2］、自然語(yǔ)言處理［3］、人臉識(shí)別［4］等。同時(shí)，隨著對(duì)神經(jīng)網(wǎng)絡(luò)的不斷深入研究，結(jié)構(gòu)更為復(fù)雜的網(wǎng)絡(luò)模型（如AlexNet［5］、VGGNet［6］、InceptionNet［7］、ResNet［8］等）相繼面世，它們的出現(xiàn)不僅能夠提升預(yù)測(cè)結(jié)果的精確度，還能夠滿足更多的場(chǎng)景需求。

但是隨著對(duì)抗攻擊的出現(xiàn)，導(dǎo)致深度神經(jīng)網(wǎng)絡(luò)模型分類錯(cuò)誤，為使用深度神經(jīng)網(wǎng)絡(luò)的人工智能系統(tǒng)帶來(lái)極大的安全風(fēng)險(xiǎn)。對(duì)于人臉識(shí)別系統(tǒng)，攻擊者通過(guò)在原圖像上添加細(xì)微的擾動(dòng)生成人臉對(duì)抗樣本，導(dǎo)致人臉系統(tǒng)識(shí)別錯(cuò)誤。文獻(xiàn)［9］提出對(duì)眼鏡進(jìn)行對(duì)抗性干擾的方法，使得佩戴眼鏡的攻擊者被錯(cuò)誤識(shí)別。現(xiàn)有人臉識(shí)別攻擊大多是通過(guò)白盒實(shí)現(xiàn)的，但是在現(xiàn)實(shí)世界中，攻擊者一般無(wú)法直接訪問(wèn)模型的詳細(xì)信息。因此，黑盒攻擊被進(jìn)一步提出，它是利用白盒攻擊生成對(duì)抗樣本的遷移能力實(shí)現(xiàn)的。但是由于不同模型的結(jié)構(gòu)和參數(shù)存在差異，因此使得對(duì)抗樣本出現(xiàn)“過(guò)擬合”［10］，因?qū)箻颖具w移能力較差，導(dǎo)致黑盒攻擊成功率降低。

為提高對(duì)抗樣本的遷移性，本文提出一種集成的對(duì)抗攻擊方法G-MASK，將基于梯度加權(quán)的類激活映射方法運(yùn)用于算法中生成掩碼區(qū)域，以確定擾動(dòng)添加的最佳區(qū)域，使得只需極少的擾動(dòng)就能實(shí)現(xiàn)有效的攻擊，該方法能夠有效增加對(duì)抗攻擊遷移性，提高攻擊成功率。同時(shí)對(duì)生成的擾動(dòng)進(jìn)行高斯平滑處理，使得生成擾動(dòng)的每個(gè)像素都與周圍的像素產(chǎn)生相關(guān)性，進(jìn)而降低集成模型之間擾動(dòng)的差異，增強(qiáng)對(duì)抗樣本隱蔽性，提升圖像質(zhì)量。

1 相關(guān)工作

1.1 對(duì)抗樣本生成算法

對(duì)抗樣本是指通過(guò)在原始圖像中加入人眼難以察覺(jué)的細(xì)小擾動(dòng)，使得人眼能正確識(shí)別圖像但機(jī)器識(shí)別出錯(cuò)的一類樣本。設(shè)輸入的樣本為x∈Rd，正確的類別分類為y，y=f(x)，添加的擾動(dòng)為δ，生成對(duì)抗樣本y*=f(x+δ)。對(duì)抗樣本的生成過(guò)程如式（1）和式（2）所示：

在深度學(xué)習(xí)領(lǐng)域中，將對(duì)抗攻擊方法分為3 類，分別為基于優(yōu)化、基于梯度、基于生成對(duì)抗網(wǎng)絡(luò)的方法。本文主要對(duì)基于梯度的經(jīng)典攻擊方法進(jìn)行簡(jiǎn)要敘述。

文獻(xiàn)［11］提出的快速梯度符號(hào)法（FGSM）是在損失減少的反方向上增加擾動(dòng)函數(shù)，然后不斷進(jìn)行梯度更新來(lái)實(shí)現(xiàn)對(duì)抗樣本的生成。對(duì)抗樣本的生成過(guò)程如式（3）所示：

其中：sign(·)為符號(hào)函 數(shù)；?xL(x，ytrue；θ)表示模型的梯度。

文獻(xiàn)［12］提出的基礎(chǔ)迭代方法（I-FGSM）是在快速梯度符號(hào)法的基礎(chǔ)上進(jìn)行改進(jìn)，將原有的單步更新改進(jìn)為迭代更新，將擾動(dòng)大小限制在一定大小的鄰域內(nèi)。I-FGSM 對(duì)抗樣本的生成過(guò)程如式（4）所示：

其中：α為步長(zhǎng)大??；；n為迭代次數(shù)。

文獻(xiàn)［13］提出的動(dòng)量迭代快速梯度符號(hào)方法（MI-FGSM）是在迭代方法基礎(chǔ)上進(jìn)行改進(jìn)，動(dòng)量的添加使得模型具有更強(qiáng)的遷移能力。MI-FGSM 對(duì)抗樣本的生成過(guò)程如式（5）和式（6）所示：

其中：gn+1為第n+1 次的迭代梯度；||·||1為L(zhǎng)1 范數(shù)。

1.2 集成模型攻擊

對(duì)抗樣本如果能夠欺騙多個(gè)模型，那么說(shuō)明它具有較強(qiáng)的遷移能力，可以將其運(yùn)用于其他黑盒模型中進(jìn)行攻擊。因此，通過(guò)對(duì)模型進(jìn)行集成可以實(shí)現(xiàn)更好的攻擊效果，達(dá)到更高程度的遷移目的。文獻(xiàn)［14］提出擾動(dòng)集成方法，將多個(gè)白盒模型的擾動(dòng)在迭代算法基礎(chǔ)上實(shí)現(xiàn)集成效果，從而側(cè)面提高黑盒攻擊成功率。與受到模型輸出維度限制的logits 集成方法相比，擾動(dòng)集成能夠滿足黑盒模型的決策邊界要求。因此，本文選擇使用擾動(dòng)集成方式進(jìn)行實(shí)驗(yàn)。擾動(dòng)集成的計(jì)算式如式（7）所示：

其中：δ表示對(duì)擾動(dòng)進(jìn)行集成；f為模型采用的對(duì)抗攻擊算法；θ為模型參數(shù)；y表示 真實(shí)標(biāo)簽；L={L1，L2，…，Ln}為白盒模型集合。

1.3 深度學(xué)習(xí)的人臉識(shí)別

人臉識(shí)別（FR）模型是通過(guò)檢測(cè)照片中的人臉，然后計(jì)算該人臉與其他人臉的距離對(duì)2 張人臉進(jìn)行匹配，確定是否屬于同1 張人臉。距離度量一般采用L2 范數(shù)或余弦相似度，將度量方式與閾值一起使用，以計(jì)算面部的貼近度。在DeepFace［15］和DeepID［16］中，將人臉 識(shí)別視為1 個(gè)多分類問(wèn)題，并通過(guò)深度神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)經(jīng)過(guò)Softmax 損失的特征。

本文選用7個(gè)基于深度學(xué)習(xí)訓(xùn)練的人臉識(shí)別網(wǎng)絡(luò)模型作為目標(biāo)模型展開(kāi)研究：ResNet 50，ResNet 101，ResNet 152［17］，SEResNet 50，SEResNet 101［18］，、Attention 56［19］，MobileNet［20］。其 中，ResNet 50、ResNet 101、ResNet 152 是3 個(gè)深度逐漸增加的殘差網(wǎng)絡(luò)。SEResNet 50、SEResNet 101 是將SE Block 嵌入到ResNet 中構(gòu)建的網(wǎng)絡(luò)。

2 方法實(shí)現(xiàn)

2.1 Grad-CAM 方法

Grad-CAM［21］是類激活映射方法，它是在梯度加權(quán)的基礎(chǔ)上實(shí)現(xiàn)的。Grad-CAM 用于突出輸入圖像中與網(wǎng)絡(luò)預(yù)測(cè)相關(guān)的重要區(qū)域，對(duì)深度神經(jīng)網(wǎng)絡(luò)中的卷積層梯度進(jìn)行計(jì)算，得到不同神經(jīng)元對(duì)樣本不同類別的重要程度，將這些區(qū)域進(jìn)行高亮顯示，從而生成注意力熱圖。Grad-CAM 的計(jì)算式如式（8）和式（9）所示：

其中：yt表示t類 別的logits；A為特征 圖；k表 示A的通道；i，j分別為A的橫縱坐標(biāo)；z為A的長(zhǎng)寬相乘。

基于此，本文嘗試在人臉圖像上生成注意力區(qū)域熱力圖，實(shí)驗(yàn)結(jié)果表明，面部區(qū)域的顏色更加突出，且五官區(qū)域的特征點(diǎn)更明顯。人臉關(guān)注區(qū)域熱力圖如圖1 所示。

圖1 人臉關(guān)注區(qū)域熱力圖Fig.1 Heatmap of facial focus area

2.2 高斯濾波

在圖像處理概念下將高斯濾波作為低通濾波器濾除低頻噪聲，使圖像變得模糊以達(dá)到平滑的效果。本文在對(duì)抗樣本中加入高斯濾波的作用是讓每個(gè)產(chǎn)生擾動(dòng)的像素和它周圍的像素產(chǎn)生關(guān)聯(lián)，使得在各個(gè)不同模型之間的噪聲差異減小，達(dá)到較優(yōu)的遷移性能。二維高斯函數(shù)如式（10）所示：

2.3 損失函數(shù)

2.3.1 特征損失

在基于某個(gè)模型進(jìn)行攻擊時(shí)，為提高攻擊成功率，則希望攻擊前后人臉圖像的特征損失增大，即2 張人臉圖片特征向量的Cosine 相似度減小。Cosine 相似度越小說(shuō)明攻擊前后2 張圖像的相似度越小，就越有可能達(dá)到想要攻擊的目標(biāo)，攻擊成功率越大，具體計(jì)算式如式（11）和式（12）所示：

其中：fori表示在預(yù)處理過(guò)程中已經(jīng)事先提取好的特征向量；fadv為攻擊后生成的對(duì)抗樣本經(jīng)過(guò)特征網(wǎng)絡(luò)提取出的特征向量。

2.3.2 擾動(dòng)損失

為減小攻擊后的人臉圖片與原始人臉圖片之間的差異，本文提出擾動(dòng)損失L2_loss，減少對(duì)人臉圖像擾動(dòng)的添加，約束xadv盡可能地接近x，擾動(dòng)損失計(jì)算式如式（13）所示：

其中：x為原樣本；xadv為對(duì)抗樣本。

2.3.3 總損失

綜上所述，G-MASK 算法的總損失函數(shù)由特征損失、擾動(dòng)損失2 部分組成。特征損失主要用于減少生成對(duì)抗樣本與原始圖像的相似度，增大攻擊成功率。擾動(dòng)損失主要用于對(duì)擾動(dòng)大小進(jìn)行約束，保證圖片的質(zhì)量，使人眼無(wú)法察覺(jué)擾動(dòng)。具體的總損失計(jì)算式如式（14）所示：

其中：α、β分別為特征損失和擾動(dòng)損失的權(quán)重，用于平衡各項(xiàng)損失。

2.4 G-MASK 對(duì)抗攻擊方法

為保證在擾動(dòng)添加最少的條件下實(shí)現(xiàn)最大的攻擊成功率，本文提出G-MASK 算法，以提高生成對(duì)抗樣本的遷移能力。G-MASK算法具體架構(gòu)如圖2所示。

圖2 G-MASK 人臉對(duì)抗攻擊算法框架Fig.2 Framework of G-MASK facial adversarial attack algorithm

首先利用Grad-CAM 算法得到輸出樣本的有效攻擊區(qū)域，并將其作為掩碼MASK；然后將其與通過(guò)MI-FGSM［13］算法得到的干擾信息進(jìn)行疊加，對(duì)人臉識(shí)別過(guò)程中的總損失進(jìn)行約束；最后將所得到的噪聲圖進(jìn)行高斯平滑得到最終的對(duì)抗樣本。Grad-CAM 算法在掩碼區(qū)域中的具體計(jì)算式如式（15）和式（16）所示：

其中：Tth為施加在掩碼上的閾值；IGrad-CAM為利用Grad-CAM 得到的輸出樣本熱力圖。

為進(jìn)一步提高對(duì)抗樣本的遷移性，同時(shí)更充分利用目標(biāo)模型的信息，本文提出使用擾動(dòng)集成來(lái)進(jìn)行模型集成。受通用對(duì)抗擾動(dòng)［22］的啟發(fā)，擾動(dòng)集成的實(shí)現(xiàn)方式是在迭代梯度的條件下將白盒模型的擾動(dòng)進(jìn)行疊加，使得攻擊成功率最大，黑盒遷移能力得到提升。G-MASK 單模型算法和擾動(dòng)集成模型算法如算法1 和算法2 所示。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)設(shè)置

3.1.1 數(shù)據(jù)集

本文實(shí)驗(yàn)主要在LFW（Labeled Faces in the Wild）［23］數(shù)據(jù)集上進(jìn)行，該數(shù)據(jù)集約有13 000 張人臉圖片，每張人臉圖片對(duì)應(yīng)1 個(gè)姓名標(biāo)簽，其中有些人臉擁有不止1 張圖片。該數(shù)據(jù)集中人臉圖片的尺寸是固定的，都是250×250 像素。

3.1.2 攻擊模型與基線

為證明該方法的有效性，本文使用ResNet 50、ResNet 101、ResNet 152、SEResNet 50、SEResNet 101、Attention 56、MobileNet 7 個(gè)正常訓(xùn)練得到的模型。

為更好地評(píng)估本文算法的有效性，將該算法與3 種基線算法（FGSM［11］、I-FGSM［12］和MI-FGSM［13］）進(jìn)行比較，這3 種算法都是經(jīng)典的對(duì)抗攻擊算法。

3.1.3 參數(shù)設(shè)置

本文的算法環(huán)境在PyTorch 1.10.2 框架上設(shè)置，顯卡配置為NVIDIA GeForce RTX 3050 Ti 4 GB，batch_size 為4，使 用Adam［24］優(yōu)化方 法在標(biāo)準(zhǔn)的LFW 人臉數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn)。為保證實(shí)驗(yàn)結(jié)果的客觀性，3 種基線算法涉及到的參數(shù)按照原文獻(xiàn)設(shè)置。

3.1.4 評(píng)價(jià)指標(biāo)

攻擊成功率（ASR）是指圖像被錯(cuò)誤分類的概率。本文方法是一種無(wú)目標(biāo)黑盒攻擊，因此只要生成的對(duì)抗樣本與原圖分類出錯(cuò)即可認(rèn)為攻擊成功，將成功攻擊的樣本數(shù)與總樣本數(shù)進(jìn)行比較得到攻擊成功率。相應(yīng)的ASR（計(jì)算中用AASR）計(jì)算式如式（17）所示：

本文采用峰值信噪比（PSNR，計(jì)算中用PPSNR）和均方誤差（MSE，計(jì)算中用MMSE）作為圖像質(zhì)量的檢測(cè)指標(biāo)，具體計(jì)算式如式（18）和式（19）所示：

其中：m、n表示圖片的大??；I為未進(jìn)行攻擊的原始干凈圖像；MAXI是指圖像采樣點(diǎn)顏色的最大值，一般為255。

3.2 參數(shù)對(duì)比實(shí)驗(yàn)

本節(jié)對(duì)總損失函數(shù)中的2 個(gè)參數(shù)值α、β進(jìn)行對(duì)比實(shí)驗(yàn)，簡(jiǎn)要分析2 個(gè)不同參數(shù)取值對(duì)模型攻擊效果的影響。根據(jù)特征損失和擾動(dòng)損失取值大?。?5］，本文選用α=［0.000 1，0.000 2］和β=0.05 作為初始值，然后在此區(qū)間范圍內(nèi)上下浮動(dòng)取值進(jìn)行實(shí)驗(yàn)，設(shè)置6 組參數(shù)進(jìn)行測(cè)試，分別計(jì)算對(duì)抗樣本的峰值信噪比和均方誤差，判斷樣本的圖像質(zhì)量，具體計(jì)算結(jié)果如表1 所示。當(dāng)PSNR 值越大時(shí)，MSE 值越小，圖片質(zhì)量越好。

表1 對(duì)抗樣本的圖像質(zhì)量指標(biāo)Table 1 Image quality indicators of adversarial samples

從表1 可以看出，當(dāng)α=［0.000 1，0.000 2］，β=0.005 和α=［0.01，0.02］，β=0.05 時(shí)，圖像質(zhì)量表現(xiàn)最差，其原因?yàn)楫?dāng)α取值過(guò)大或β取值過(guò)小時(shí)，導(dǎo)致特征損失增大而擾動(dòng)損失減小，模型的擾動(dòng)約束越小則圖像中添加的擾動(dòng)就越明顯，擾動(dòng)掩蔽性越差，圖像質(zhì)量越低。為進(jìn)一步研究參數(shù)取值對(duì)攻擊成功率的影響，根據(jù)表1 結(jié)果選擇圖片質(zhì)量較高的參數(shù)組合（PSNR＞20）進(jìn)行實(shí)驗(yàn)，具體實(shí)驗(yàn)結(jié)果如表2所示。

表2 不同參數(shù)組合的攻擊成功率Table 2 Attack success rate among different parameter combinations %

從表2 可以看出，當(dāng)參數(shù)β取值一定時(shí)，減小α值使得模型攻擊效果更好。另外，當(dāng)α值一定時(shí)，β取值越大攻擊效果越好，表明在總損失中適當(dāng)增加特征損失權(quán)重，減少擾動(dòng)損失權(quán)重對(duì)模型效果有一定的提升。

由上述實(shí)驗(yàn)分析可得，在選取的6 種參數(shù)設(shè)置中，當(dāng)α=［0.000 01，0.000 02］，β=0.05 時(shí)，對(duì)抗樣本的PSNR 取得最大值，表示對(duì)抗樣本的圖像質(zhì)量在此時(shí)取得最好的效果。在后續(xù)實(shí)驗(yàn)中，均設(shè)置α=［0.000 01，0.000 02］，β=0.5。

3.3 單模型攻擊實(shí)驗(yàn)

本節(jié)將G-MASK 攻擊方法與3 種基線攻擊方法進(jìn)行單模型攻擊對(duì)比實(shí)驗(yàn)，在實(shí)驗(yàn)過(guò)程中，首先利用多任務(wù)卷積神經(jīng)網(wǎng)絡(luò)（MTCNN）［26］對(duì)原始圖像進(jìn)行人臉檢測(cè)，再將圖像對(duì)齊并裁剪為112×112像素大小，圖像的像素點(diǎn)總數(shù)為12 544。本文利用Grad-CAM 算法選擇輸出熱力圖中權(quán)重值最大的5 000 個(gè)像素點(diǎn)，對(duì)其進(jìn)行攻擊。其中，最大擾動(dòng)ε=20，衰減系數(shù)μ=0.04，迭代次數(shù)T=40。利用3 種基線攻擊方法和本文提出的G-MASK 方法在7 種模型上實(shí)現(xiàn)攻擊，并計(jì)算其攻擊成功率，具體實(shí)驗(yàn)結(jié)果如表3 所示，加粗表示最優(yōu)數(shù)據(jù)，*表示白盒攻擊。

表3 在單模型攻擊設(shè)置下不同方法的攻擊成功率Table 3 The success rate of attacks among different methods in single-model attack settings %

從表3 可以看出，G-MASK 攻擊成功率與3 種基線方法相比得到顯著提高，在白盒條件下，G-MASK方法的攻擊成功率在各模型上均能達(dá)到98.7%以上。在黑盒條件下，G-MASK 方法攻擊成功率得到顯著提升，在ResNet 50 模型上生成的對(duì)抗樣本用于SEResNet 101 模型攻擊時(shí)，G-MASK 攻擊成功率比基線方法MI-FGSM 增長(zhǎng)13.4 個(gè)百分點(diǎn)，G-MASK 方法與MI-FGSM 相比在7 個(gè)模型上的攻擊成功率分別增長(zhǎng)了12.4、13.0、7.0、12.9、19.4、14.7、6.6 個(gè)百分點(diǎn)。根據(jù)實(shí)驗(yàn)結(jié)果可知，本文方法不僅能夠在一定程度上提高白盒攻擊成功率，而且還有效提升了黑盒攻擊成功率，都優(yōu)于現(xiàn)有的方法，充分表明本文所提方法具有一定的有效性。

3.4 擾動(dòng)集成模型攻擊實(shí)驗(yàn)

本文雖然將上述方法用于單模型對(duì)抗攻擊中能實(shí)現(xiàn)較優(yōu)的黑盒攻擊性能，但是在攻擊有一定防御能力的模型時(shí)表現(xiàn)不佳。因此，本文在單模型攻擊方法的基礎(chǔ)上提出擾動(dòng)集成模型攻擊方法。將ResNet 50、ResNet 101、ResNet 152、SEResNet 50、SEResNet 101、Attention 56、MobileNet 模型每6 個(gè)集成后進(jìn)行白盒攻擊，再利用生成的對(duì)抗樣本對(duì)另1 個(gè)模型進(jìn)行黑盒攻擊。本文分別使用3 種基線對(duì)抗算法和G-MASK 擾動(dòng)集成算法進(jìn)行攻擊，實(shí)驗(yàn)結(jié)果如表4 所示。其中，-ens 代表擾動(dòng)集成，*表示白盒攻擊。

表4 在集成模型攻擊設(shè)置下不同方法的攻擊成功率Table 4 The success rate of attacks among different methods in integrated model attack settings %

從表4 可以看出，當(dāng)進(jìn)行擾動(dòng)攻擊集成后，4 種算法在白盒攻擊中均取得較好效果，成功率保持在98.5%以上，證明擾動(dòng)集成能夠提升白盒攻擊成功率。在黑盒攻擊中，G-MASK 方法相比3 種基線攻擊方法攻擊成功率始終提高10～20 個(gè)百分點(diǎn)。因此，G-MASK 方法的黑盒攻擊效果要優(yōu)于基線對(duì)抗攻擊算法，具有更強(qiáng)的遷移性。

與表3 中單一模型攻擊成功率的實(shí)驗(yàn)數(shù)據(jù)相比，經(jīng)過(guò)擾動(dòng)集成后的G-MASK 方法實(shí)現(xiàn)的黑盒攻擊成功率平均提升13 個(gè)百分點(diǎn)，充分證明擾動(dòng)集成方法能夠有效提升黑盒模型遷移能力和黑盒攻擊成功率。

3.5 高斯濾波的有效性

高斯濾波的加入是為了使模型集成過(guò)程中減少不同模型干擾噪聲之間的差異，同時(shí)提升對(duì)抗樣本運(yùn)用到其他黑盒模型上的攻擊成功率，增強(qiáng)對(duì)抗樣本掩蔽性。擾動(dòng)集成模型使用高斯濾波和未使用高斯濾波生成的對(duì)抗樣本準(zhǔn)確度、Cosine 相似度、L2 距離如圖3 所示。從圖3 可以看出，添加高斯濾波后G-MASK 生成的對(duì)抗樣本攻擊成功率在40 次迭代時(shí)達(dá)到穩(wěn)定，比未加入高斯濾波時(shí)MASK在20 次迭代達(dá)到穩(wěn)定耗費(fèi)的時(shí)間更多，但是它們相差結(jié)果不大且最終都能在40 次迭代時(shí)具有相同的攻擊效果。此外，加入高斯濾波后生成的對(duì)抗樣本余弦相似度顯著增加但L2 距離無(wú)明顯變化，表明生成的對(duì)抗樣本能夠在保持相同攻擊成功率的條件下降低與輸入樣本的圖像差異，提高圖像質(zhì)量，在一定程度上增加對(duì)抗樣本的掩蔽性，同時(shí)增大在模型防御場(chǎng)景下的攻擊成功率。

另外，本文對(duì)未添加高斯濾波攻擊方法（MASK）和添加高斯濾波攻擊方法（G-MASK）以及3 種基線攻擊方法生成的對(duì)抗樣本進(jìn)行對(duì)比分析，生成的對(duì)抗樣本如圖4 所示。從圖4 可以看出，在算法中添加高斯濾波之后生成的對(duì)抗樣本比原算法生成的對(duì)抗樣本掩蔽性更強(qiáng)，人眼幾乎不可察，證明高斯濾波的有效性。G-MASK 攻擊方法生成的對(duì)抗樣本掩蔽性明顯優(yōu)于其他基線攻擊方法，圖像質(zhì)量最高。本文方法所生成的對(duì)抗樣本能夠在保證較高峰值信噪比的同時(shí)，即圖片具有較少失真的情況下達(dá)到較 高的攻擊成功率，證明了本文所提方法的有效性。

圖4 不同攻擊方法生成的對(duì)抗樣本Fig.4 Adversarial samples generated by different attack methods

4 結(jié)束語(yǔ)

本文提出一種結(jié)合高斯濾波與人臉MASK 的人臉攻擊方法。通過(guò)引入Grad-CAM 方法選擇MASK區(qū)域進(jìn)行擾動(dòng)添加，限制擾動(dòng)添加區(qū)域；此外，使用擾動(dòng)集成模型提高黑盒攻擊遷移能力，增強(qiáng)黑盒模型攻擊成功率；同時(shí)對(duì)生成的擾動(dòng)進(jìn)行高斯平滑處理，增強(qiáng)擾動(dòng)掩蔽性，使用最小且掩蔽性最強(qiáng)的擾動(dòng)來(lái)達(dá)到最高的黑盒攻擊成功率。實(shí)驗(yàn)結(jié)果表明，與其他攻擊方法相比，本文方法具有更高的攻擊成功率和更優(yōu)的掩蔽性，黑盒表現(xiàn)更為優(yōu)秀。下一步將對(duì)算法速度的提高方法以及物理世界中更復(fù)雜的多人臉識(shí)別模型進(jìn)行研究，在保持較高攻擊成功率的前提下加快對(duì)抗樣本生成速度。