针对当前的深度神经 *** 在人脸识别方面的应用,存在很多不安全的隐患,作者提出了一种针对深度神经 *** 的黑盒攻击攻击 *** ,提出了一种新的基于遗传算法的攻击 *** ,数据集:Wild (LFW) and MegaFace实验结果表明:这种攻击 *** 即使在限制对模型的查询次数也很有效,并且将其用于真实的人脸识别环境中,也攻击成功了。
本文的主要贡献
(1)提出了一个在基于决策的黑盒场景下的进化攻击 *** ,可以对搜索方向的局部几何进行建模,同时降低搜索空间的维度。
(2)利用基于决策的黑盒攻击 *** ,对几种更先进的人脸识别模型(SphereFace, CosFace, ArcFace)做了鲁棒性测评,并展示了这些人脸模型的脆弱性。
(3)通过对真实世界中的人脸识别系统进行攻击,展示了提出的 *** 的实际适用性
人脸识别中有两个子任务:
(1) face verification:人脸配对
(2)face identification:人脸匹配当前常见的人脸识别 *** 包括:SphereFace、 CosFace 、ArcFace
当前基于DNN的人脸识别广泛用于各种场景,比如手机付款、公共场所身份验证、犯罪分子识别等。,但同时DNN却容易受到一些攻击,比如Adversarial generative nets、Accessorizeto a crime,以上的攻击都是白盒攻击,攻击者需要知道模型 *** 的结果和参数,这个在实际中并不现实,因此本文提出了针对人脸识别DNN模型的黑盒攻击 *** 。针对神经 *** 的黑盒攻击 *** 根据攻击的手段不同可以大致分为三类:
(1)transfer-based black box attack:基于神经 *** 的迁移性
(2)score-based black box attack:基于获得模型的预测概率
(3)decision-based black box attack:基于获得模型的预测硬标签。本文就是decision-based black box attack,这种情形是更符合实际情况的。
之前的优化求解 *** :
(1)The boundary attack method:基于在决策边界的随机移动
(2)The optimization-based method:将这个问题作为连续空间的优化问题,通过二分查找计算当前位置和决策边界的距离
(3)NES(natural evolution strategy)求解 *** ;以上的求解 *** 求解空间大,对神经 *** 模型的询问次数较多,且攻击效果不好(体现在对原样本的扰动较大),而本文提出的 *** 就克服了以上 *** 的不足。
攻击主要是将人脸验证问题(face verification)数学化为二分类问题,检测一张图或者是名字等是否是真正的这个人;将人脸识别问题(face recognition)数学化为多分类问题,判断一张图片是否是多个身份里面的某个人。给一张真实的照片x,攻击的目的是生成一个被模型错误分类的与x最近的假照片上述公式为优化函数的形式化表示。对于躲避攻击和模拟攻击,列出了两种不同的攻击准则。
本文提出了基于CMA-ES(协方差矩阵适应进化策略)的攻击 *** 下图为算法流程图:第3步:z表示对数据的扰动,产生扰动,其中C表示用于建模搜索方向的局部几何特征的协方差矩阵,是一个对角矩阵
第4步:选择K个坐标(即像素点),其中选择它们某个坐标的可讷讷个性与与C中该位置的元素大小成正比第5步:其他的像素点都置为0
第6步:通过线性二插值的 *** 将z扩充为Rn的向量,
第7步:增加一个偏置使得原图像与对抗样本的L2范数(距离评价)变小,其中μ是一个超参数。
第8步:判断是否得到一个更好的解,是的话就跳到第九步
第9步:更新更优解,并且更新协方差矩阵。
对于dodging attack(躲闪攻击),随机一个向量即可;对于impersonation attack(假冒攻击),将目标图像(即想要假冒的那个人的图像)作为初始向量。
依据论文A simple modification in cma-es achieving linear time and space complexity,本文提出了协方差矩阵C的更新策略:式3 pc表示进化方向,式4 Cii表示对角矩阵C的元素,pci是pc的第i个元素,cc和 ccov是两个超参数。
μ:采用1/5thsuccess rule式中Psuccess是过去几次迭代尝试的成果率Cc=0.01 Ccov=0.001,ε=0.01
用于攻击的人脸识别模型:SphereFace、CosFace、ArcFace数据集:Labeled Face in the Wild (LFW) MegaFace用于比较的攻击 *** :boundary attack method , optimization-based method and an extension of NES in the label-only setting (NES-LO)评价指标:生成的对抗样本和原始数据之间的mean square error
fig2表示在face verification上的结果。dodging attack是指只要生成的对抗样本没有被识别或者被识别错误,impersonation attack是指生成的对抗样本要假冒成其他的某个指定的类别(这种攻击具有更强的攻击性,同时难度也更大)。,图像中横轴表示对模型的query次数,纵轴表示MSE的变化,我们发现本文的 *** (evolutionary)的收敛速度更快,且求得的更优解均优于其他的解法。同理fig3表示在face identification上的实验结果图4表示针对dodging attack 和impersonation attack在Arcface上产生对抗样本的迭代过程结果示意图。上面的表示原本的两个是同一个人的脸部图像A和B,通过攻击使得右边的人脸B和左边的人脸A识别不是一个人并且给出了随着query的增加对抗样本的迭代过程。下面的C与D表示通过攻击使得模型对于D的图像识别为C图像中的人脸,并且给出了随着query结果的“进化”过程。
攻击对象:face verification API in Tencent AI Open Platform数据集:LFW dataset 设置更大询问次数:10000表4表示针对10对图像,攻击目的为impersonation attack,用不同的攻击 *** 的效果图6表示不同攻击 *** 获得的对抗样本图示,从图中以及表中的数据分析,可以得到采用本文的 *** 攻击获得的对抗样本与原图像具有更大的相似度(即对原始数据的扰动更小)
原文作者:Yinpeng Dong1, Hang Su1, Baoyuan Wu2, Zhifeng Li2, Wei Liu2, Tong Zhang3, Jun Zhu1
原文标题:Efficient Decision-based Black-box Adversarial Attacks on Face Recognition
论文链接:https://openaccess.thecvf.com/content_CVPR_2019/papers/Dong_Efficient_Decision-Based_Black-Box_Adversarial_Attacks_on_Face_Recognition_CVPR_2019_paper.pdf
原文来源:CVPR2019
笔记作者:张强
原文链接
文章转载自:香港地产资讯网 细单位热销,多个发展商乘势推主打细单位新盘,其中九建香港仔登丰街纯住宅项目「登峰‧南岸」近7成单位面积小于300平方呎,部署在7、8月开售,不会设示範单位,项目预计落成日...
尿不湿是宝宝的必备用品,不过市面上的纸尿布那么多,究竟好奇纸尿布有哪些不一样的地方吗,毕竟是和皮肤直接接触的,好奇纸尿布怎么样呢,好奇纸尿布虽然是一款比较贵的纸尿布,但是口碑还是不错的,究竟这款纸尿布...
打开城市想象力,赋予未来新憧憬。在消费升级与城市升级的时代背景下,商业空间正在被重新定义。 一座根植城市发展肌理的核心商业,往往以对城市运营和空间赋能的前瞻创想,激活区域发展动力,示范商业新形态...
本文导读目录: 1、推荐几本好的关于黑客方面的小说(科幻的) 2、求几本经典的黑客小说 3、谁介绍几本有关黑客的小说! 4、黑客类的小说介绍几本,谢了。 5、求一本小说 黑客小说 主角...
相信现在有很多的朋友们对于有房产证怎么落户口 房产证没下来可以落户吗都想要了解吧,那么今天小编就来给大家针对有房产证怎么落户口 房产证没下来可以落户吗进行一个介绍吧,希望小编介绍的内容能够为大家起到帮...
一天赚50上下手机游戏(传奇打金一天二百多)伴随着盛大游戏复古传奇的殒落及其一大批传奇爱好者的涌进,传奇sf变成复古传奇游戏玩家虚幻世界的栖息之地。而由于传奇sf的GM愈来愈多,再加上近些年各种各...