對(duì)抗樣本生成在人臉識(shí)別中的研究與應(yīng)用

張加勝 劉建明 韓 磊 紀(jì) 飛 劉 煌

(桂林電子科技大學(xué)計(jì)算機(jī)與信息安全學(xué)院 廣西 桂林 541000)

0 引 言

隨著深度學(xué)習(xí)技術(shù)的發(fā)展，深度神經(jīng)網(wǎng)絡(luò)DNN(Deep Neural Network)在人臉識(shí)別，交通標(biāo)識(shí)識(shí)別，安防監(jiān)控等安全敏感性任務(wù)中得到了廣泛的應(yīng)用[1-3]。然而Szegedy等首次揭示了深度神經(jīng)網(wǎng)絡(luò)脆弱性的存在，極易受到對(duì)抗性樣本的影響，即通過(guò)對(duì)原始輸入樣本進(jìn)行不可察覺(jué)的微小的擾動(dòng)，可以使深度神經(jīng)網(wǎng)絡(luò)以較高的置信度錯(cuò)誤分類(lèi)[10]。進(jìn)而，Goodfellow解釋了對(duì)抗樣本存在的根本原因，深度模型高度線性的本質(zhì)[14]，并提出了相關(guān)對(duì)抗樣本生成策略，如FGSM[13]、I-FGSM[5]、RAND+FGSM[7]等，通過(guò)在熊貓的圖片中加入微小的擾動(dòng)向量，在人眼不易察覺(jué)的情況下成功使神經(jīng)網(wǎng)絡(luò)以高置信度分類(lèi)為長(zhǎng)臂猿。然而這些攻擊算法的設(shè)計(jì)都需要攻擊者對(duì)目標(biāo)系統(tǒng)的體系結(jié)構(gòu)或訓(xùn)練參數(shù)有充分的了解(白盒)。由于在現(xiàn)實(shí)世界中很難獲取到目標(biāo)系統(tǒng)的內(nèi)部信息，對(duì)于攻擊者來(lái)說(shuō)，目標(biāo)系統(tǒng)完全就是一個(gè)黑盒。先前的研究表明，不同學(xué)習(xí)模型之間存在著遷移性[8-9,11]，也就是說(shuō)，采用不同攻擊算法生成的攻擊樣本能夠使多個(gè)模型同時(shí)錯(cuò)誤分類(lèi)。這一屬性為攻擊者在未知目標(biāo)系統(tǒng)內(nèi)部信息情景下能夠?qū)崿F(xiàn)黑盒攻擊奠定了基礎(chǔ)。那么，現(xiàn)實(shí)世界中基于深度學(xué)習(xí)的黑盒系統(tǒng)的安全性受到了一定威脅[6]，例如，在人臉識(shí)別系統(tǒng)中，攻擊者通過(guò)對(duì)人臉圖像做精心設(shè)計(jì)的改動(dòng)，使系統(tǒng)誤認(rèn)為是攻擊者想要的身份，從而侵入系統(tǒng)導(dǎo)致安全威脅；對(duì)于無(wú)人駕駛系統(tǒng)而言，稍微修改“STOP”標(biāo)識(shí)圖像使得深度神經(jīng)網(wǎng)絡(luò)錯(cuò)誤識(shí)別為其他標(biāo)識(shí)而不及時(shí)停車(chē)，將造成安全事故；再比如在安防監(jiān)控系統(tǒng)中，攻擊者往往通過(guò)化妝、裝飾物(包括眼鏡、假發(fā)、首飾等)進(jìn)行偽裝迷惑監(jiān)控系統(tǒng)，從而混入非法分子。所以，研究對(duì)抗樣本的生成過(guò)程，分析基于深度學(xué)習(xí)的系統(tǒng)存在的安全漏洞，這將有助于設(shè)計(jì)更加安全有效的防御機(jī)制。

對(duì)于人臉識(shí)別系統(tǒng)，攻擊者往往利用合法用戶(hù)的照片，通過(guò)添加微小的、不可察覺(jué)的擾動(dòng)試圖入侵系統(tǒng)，如圖1所示。然而目前大部分人臉識(shí)別系統(tǒng)都針對(duì)此類(lèi)攻擊設(shè)計(jì)了相應(yīng)的防御機(jī)制，來(lái)抵御微小擾動(dòng)的干擾，例如通過(guò)對(duì)抗性訓(xùn)練新的網(wǎng)絡(luò)，MagNet等檢測(cè)器的設(shè)計(jì)[4,16]。對(duì)于攻擊者而言，唯有增加擾動(dòng)量卻極易被系統(tǒng)檢測(cè)出對(duì)抗樣本的可能性。進(jìn)而，相關(guān)研究者提出了高亮貼片的概念[12,15]，這類(lèi)貼片樣本擺脫了以往的束縛，即不要求生成的樣本在人眼看來(lái)仍然是原來(lái)的圖片，貼片樣本示例如圖2所示。攻擊者通過(guò)打印生成的對(duì)抗貼片樣本貼在交通標(biāo)識(shí)牌、眼鏡框等顯眼位置，不僅不會(huì)引起警覺(jué)，同樣可以欺騙深度學(xué)習(xí)系統(tǒng)。基于該思想，本文通過(guò)生成對(duì)抗網(wǎng)絡(luò)原理設(shè)計(jì)出一種新穎的對(duì)抗眼鏡貼片樣本，并且可以應(yīng)用于任何真實(shí)場(chǎng)景中，從而揭示了現(xiàn)實(shí)世界中深度學(xué)習(xí)模型的脆弱性依然存在。

圖1 對(duì)抗擾動(dòng)

圖2 對(duì)抗貼片樣本

1 相關(guān)工作

1.1 黑盒攻擊

在現(xiàn)實(shí)世界中，由于攻擊者很難獲取到目標(biāo)模型(即攻擊對(duì)象)的內(nèi)部結(jié)構(gòu)信息，包括訓(xùn)練數(shù)據(jù)、模型體系結(jié)構(gòu)以及訓(xùn)練參數(shù)等。那么，對(duì)于攻擊者而言，目標(biāo)系統(tǒng)完全就是一個(gè)黑盒，攻擊者只能通過(guò)原始的輸入獲得對(duì)應(yīng)的反饋結(jié)果。這種情況下，攻擊者就很難設(shè)計(jì)出具有很強(qiáng)攻擊性的對(duì)抗樣本。然而，先前的研究表明，不同的深度學(xué)習(xí)模型之間存在著遷移性，這為攻擊者間接地去實(shí)現(xiàn)同樣的攻擊效果提供了基礎(chǔ)。比如，攻擊者可以根據(jù)已知任務(wù)去訓(xùn)練一個(gè)替代模型，此時(shí)的替代模型對(duì)于攻擊者而言即為白盒，進(jìn)而一系列的攻擊策略可以設(shè)計(jì)去生成對(duì)抗樣本，然后利用模型遷移性的性質(zhì)，將生成的對(duì)抗樣本應(yīng)用于未知模型的黑盒系統(tǒng)。

假設(shè)X∈RD表示D維的特征空間,Y={y1,y2,…,yc}表示c個(gè)不同標(biāo)簽的標(biāo)簽集合。給定合成數(shù)據(jù)集data={(xi,yi)|1≤i≤N}，xi∈X表示第i個(gè)訓(xùn)練樣本，yi∈Y表示第i個(gè)樣本查詢(xún)目標(biāo)模型的反饋標(biāo)記。黑盒攻擊的過(guò)程是從data學(xué)習(xí)一個(gè)替代模型F(x)，然后選用某種攻擊算法為該模型生成攻擊樣本x*，即通過(guò)最優(yōu)化以下目標(biāo)損失函數(shù)使得神經(jīng)網(wǎng)絡(luò)模型以最大概率錯(cuò)誤分類(lèi)為目標(biāo)標(biāo)簽yt：

Loss=max{F(x*|x+r)y:y≠yt}-F(x*|x+r)yt

(1)

式中：r表示添加到原始輸入樣本的微小的擾動(dòng)向量。

然后將該樣本遷移到目標(biāo)模型O(x)，使目標(biāo)模型也錯(cuò)誤分類(lèi),即O(x)≠O(x*)。詳細(xì)攻擊流程如圖3所示。

圖3 黑盒攻擊流程圖

本文著重探討深度學(xué)習(xí)模型的脆弱性，那么替代模型也可選擇深層模型，即n個(gè)帶參函數(shù)f(θ,x)的分層組合，來(lái)模擬高維輸入x，定義如下:

F(x)=fn(θθ,fn-1(θn-1,…,f2(θ2,f1(θ1,x))))

(2)

1.2 生成對(duì)抗網(wǎng)絡(luò)

生成對(duì)抗網(wǎng)絡(luò)GAN是一種深度學(xué)習(xí)模型，主要由生成器(Generator)和判別器(Discriminator)兩個(gè)模塊構(gòu)成。其中生成器的作用是盡可能地學(xué)習(xí)真實(shí)的數(shù)據(jù)分布，輸入變量z，則G盡可能地生成服從真實(shí)數(shù)據(jù)分布的樣本G(z)。判別器的作用是判別其輸入數(shù)據(jù)是來(lái)自生成器G，還是來(lái)自真實(shí)的數(shù)據(jù)x，如果輸入來(lái)自G(z)，則標(biāo)注為0，并判別為偽，否則標(biāo)注為1，并判別為真。這里生成器G的目標(biāo)是使其生成的偽數(shù)據(jù)G(z)在判別器D上的表現(xiàn)和真實(shí)數(shù)據(jù)x在D上的表現(xiàn)一致。G和D互相博弈學(xué)習(xí)并迭代優(yōu)化的過(guò)程使得它們的性能不斷提升，隨著D的判別能力提升，并且無(wú)法判別其數(shù)據(jù)來(lái)源時(shí)，就認(rèn)為G已學(xué)到真實(shí)的數(shù)據(jù)分布，如圖4所示。在實(shí)際應(yīng)用中一般均使用深度神經(jīng)網(wǎng)絡(luò)作為G和D，一個(gè)較好的生成式對(duì)抗網(wǎng)絡(luò)(GAN)應(yīng)用需要有良好的訓(xùn)練方法，否則可能由于神經(jīng)網(wǎng)絡(luò)模型的自由行而導(dǎo)致輸出不理想。

圖4 生成對(duì)抗網(wǎng)絡(luò)框架圖

GAN的訓(xùn)練需迭代進(jìn)行，通過(guò)反向傳播更新G和D的參數(shù)。G的訓(xùn)練通過(guò)最小化以下目標(biāo)函數(shù):

(3)

當(dāng)G誤導(dǎo)D(即當(dāng)D(G(z))取值為1)，該損失達(dá)到最小值。D的訓(xùn)練通過(guò)最大化以下目標(biāo)函數(shù):

(4)

當(dāng)D對(duì)真實(shí)樣本發(fā)出1時(shí)，GainD最大化，否則為0。目前已經(jīng)提出了幾種GAN體系結(jié)構(gòu)和訓(xùn)練過(guò)程來(lái)訓(xùn)練GAN，本文主要以Wasserstein GAN為主。

2 基于GAN對(duì)抗樣本生成策略

本節(jié)主要描述提出的基于GAN的對(duì)抗樣本生成策略以迷惑深度神經(jīng)網(wǎng)絡(luò)。第一部分明確了我們的威脅模型，第二部分詳細(xì)描述攻擊框架的設(shè)計(jì)。

2.1 威脅模型

假設(shè)一個(gè)攻擊者能夠成功侵入一個(gè)已經(jīng)訓(xùn)練好的人臉識(shí)別系統(tǒng)來(lái)發(fā)動(dòng)攻擊。由于攻擊者不能通過(guò)注入錯(cuò)誤標(biāo)記的數(shù)據(jù)或修改訓(xùn)練數(shù)據(jù)來(lái)危害人臉識(shí)別系統(tǒng)的參數(shù)。因此，只能通過(guò)改變輸入以紊亂深度神經(jīng)網(wǎng)絡(luò)的分類(lèi)。

攻擊者的目標(biāo)是通過(guò)不易察覺(jué)地偽裝自己并呈現(xiàn)在人臉識(shí)別系統(tǒng)前，然后被錯(cuò)誤地歸類(lèi)為除了自己以外的人。考慮這種攻擊的兩種變體，在定向攻擊中，攻擊者試圖使人臉識(shí)別系統(tǒng)錯(cuò)誤分類(lèi)為特定的其他人；在非定向攻擊時(shí)，攻擊者試圖使人臉識(shí)別系統(tǒng)錯(cuò)誤分類(lèi)為任意其他人，不用特定到某個(gè)人。通常假設(shè)攻擊者在白盒場(chǎng)景下運(yùn)行。也就是說(shuō)，攻擊者知道特征空間(RGB圖像表示，這在DNN圖像分類(lèi)中是常用的)以及被攻擊系統(tǒng)的內(nèi)部(體系結(jié)構(gòu)和參數(shù))。在白盒假設(shè)條件下研究DNN的脆弱性是本文的重點(diǎn)。此外，黑盒攻擊可以使用本地替代模型進(jìn)行白盒攻擊，然后將其轉(zhuǎn)移到黑盒中。

2.2 攻擊框架

除了少數(shù)幾種攻擊方法以外，在傳統(tǒng)深度神經(jīng)網(wǎng)絡(luò)逃避攻擊中，攻擊者直接改變正常輸入樣本來(lái)最大化或最小化一個(gè)預(yù)先定義的函數(shù)與預(yù)期的錯(cuò)誤分類(lèi)相關(guān)的函數(shù)。與以往的攻擊不同，本文提出了通過(guò)訓(xùn)練神經(jīng)網(wǎng)絡(luò)來(lái)產(chǎn)生可用于達(dá)到預(yù)期目的的輸出。也就是說(shuō)，與其反復(fù)調(diào)整正常樣本輸入，使之成為對(duì)抗性樣本，不如嘗試迭代更新深度神經(jīng)網(wǎng)絡(luò)的權(quán)值來(lái)調(diào)整將產(chǎn)生導(dǎo)致錯(cuò)誤分類(lèi)的輸出。

更具體地說(shuō)，本文通過(guò)訓(xùn)練生成對(duì)抗神經(jīng)網(wǎng)絡(luò)來(lái)生成眼鏡的貼片并可以打印貼在眼鏡鏡框上，當(dāng)攻擊者佩戴時(shí)，不易被察覺(jué)，卻能使人臉識(shí)別系統(tǒng)紊亂，產(chǎn)生定向或非定向的攻擊效果。為了達(dá)到不顯眼的攻擊效果，我們要求這些神經(jīng)網(wǎng)絡(luò)產(chǎn)生的眼鏡圖片與真實(shí)的眼鏡設(shè)計(jì)相似。與傳統(tǒng)的GAN訓(xùn)練類(lèi)似，不同于GAN的是，還需要產(chǎn)生對(duì)抗性的輸出(即包含眼鏡的人臉圖像)，能夠誤導(dǎo)用于人臉識(shí)別的神經(jīng)網(wǎng)絡(luò)模型。

所以，本文提出的方法需要訓(xùn)練三個(gè)深度神經(jīng)網(wǎng)絡(luò):一個(gè)生成器G、一個(gè)判別器D和一個(gè)預(yù)訓(xùn)練的分類(lèi)函數(shù)為F(·)。當(dāng)輸入x到DNN時(shí)，通過(guò)最小化G來(lái)生成不引人注目的對(duì)抗輸出，能夠迷惑F(·)，優(yōu)化目標(biāo)如下:

(5)

其中損失函數(shù)LossG同式(1)定義，通過(guò)最小化該損失的目的是希望生成器生成真實(shí)的不顯眼的眼鏡圖像輸出，能夠誤導(dǎo)判別器D，使判別器認(rèn)為生成的眼鏡圖像即為真實(shí)圖像。LossF是在DNN的分類(lèi)中定義的損失函數(shù)，在訓(xùn)練G過(guò)程中，通過(guò)最大化該損失，從而使得生成的眼鏡圖像付在人臉圖像之上能夠成功欺騙深度神經(jīng)網(wǎng)絡(luò)F。LossF的定義又分為兩類(lèi)，分別針對(duì)定向和非定向而言。對(duì)于非定向攻擊而言，LossF損失定義如下:

Fyx(x+G(z))

(6)

通過(guò)最大化LossF，樣本x被DNN識(shí)別成真實(shí)標(biāo)簽yx的概率大大降低，使識(shí)別成其他標(biāo)簽的概率增加，從而實(shí)現(xiàn)非定向攻擊的效果。對(duì)于定向攻擊而言，LossF損失定義如下:

LossF(x+G(z))=Fyt(x+G(z))-

(7)

通過(guò)最大化LossF, 樣本x被DNN識(shí)別成攻擊者指定的目標(biāo)標(biāo)簽yt的概率會(huì)增加。

判別器D的訓(xùn)練作為訓(xùn)練過(guò)程的一部分，目標(biāo)使式(4)中定義的收益GainD最大化。通過(guò)調(diào)整判別器D的權(quán)重進(jìn)而激勵(lì)生成器G生成更真實(shí)的實(shí)例，兩者相互博弈，實(shí)現(xiàn)互利共贏。與D和G相反，F(xiàn)(·)的權(quán)重在訓(xùn)練過(guò)程中是不需要改變(因?yàn)橄Ｍ跍y(cè)試階段，生成的對(duì)抗輸出能夠成功欺騙相同的DNN)。整個(gè)訓(xùn)練過(guò)程如算法1所示。

算法1基于GAN對(duì)抗眼鏡貼片樣本生成過(guò)程

輸入：X，G，D，F(xiàn)(·)，data，Z，Ne，sb,κ∈{0,1}

輸出：對(duì)抗輸出G

1：e←0；

2：foreinrange(1,Ne)

3： 按照大小sb分塊data獲得mini-batches

4：forbatchinmini-batches:

5：z←從Z中抽樣sb個(gè)樣本；

6：gen←G(z);

7：batch←合并(gen,batch)

8：ifeveniteration：

//更新生成器D

9： 通過(guò)反向傳播求?GainD/?batch更新D;

10：elifF(·)錯(cuò)誤輸出：

11：return；

12：d1←-?GainD/?gen;

13：x←從X中抽樣sb個(gè)樣本；

14：x←x+gen;

15：d2←-?LossF/?gen;

16：d1，d2←歸一化(d1，d2)

17：d←κ·d1+(1-κ)·d2;

18： 通過(guò)反向傳播求d更新G

19：endfor

該算法以一組正常樣本X作為輸入，一個(gè)預(yù)初始化的生成器和鑒別器，一個(gè)用于人臉識(shí)別的神經(jīng)網(wǎng)絡(luò)，實(shí)際示例的數(shù)據(jù)集(生成器的輸出應(yīng)該類(lèi)似于這些數(shù)據(jù)集; 在我們的例子中這是一個(gè)眼鏡的數(shù)據(jù)集)，一個(gè)可以從G的潛在空間(Z)中采樣的函數(shù)，最大訓(xùn)練周期(Ne)，mini-batches的大小sb，和κ(0和1之間的值)。這個(gè)訓(xùn)練過(guò)程的結(jié)果是一個(gè)對(duì)抗的生成器，它創(chuàng)建輸出(即眼鏡圖像)以迷惑用于人臉識(shí)別的深度神經(jīng)網(wǎng)絡(luò)F(·)。在每次訓(xùn)練迭代中，D或G都使用隨機(jī)選擇的數(shù)據(jù)子集進(jìn)行更新。D的權(quán)值通過(guò)梯度上升來(lái)更新，以增加增益。相反，G的權(quán)值通過(guò)梯度下降來(lái)更新，使式(3)定義的損失值最小化。為了平衡生成器的兩個(gè)目標(biāo)，分別將GainD和LossF的導(dǎo)數(shù)進(jìn)行結(jié)合，通過(guò)對(duì)這兩個(gè)導(dǎo)數(shù)進(jìn)行歸一化得到這兩個(gè)值的歐幾里德范數(shù)(算法中第16行)。

然后通過(guò)設(shè)置κ來(lái)控制這兩個(gè)目標(biāo)中的哪一個(gè)該獲得更多的權(quán)重(算法中的第17行)。當(dāng)κ接近零的時(shí)候,會(huì)有更多的權(quán)重用以迷惑F(·), 分配更少的權(quán)重使G的輸出更真實(shí)。相反,當(dāng)κ接近一個(gè)1時(shí)，會(huì)分配更大的權(quán)重使G的輸出類(lèi)似于真實(shí)的例子。當(dāng)達(dá)到最大訓(xùn)練周期時(shí)，訓(xùn)練結(jié)束，或者當(dāng)F(·)被迷惑時(shí)，即定向或非定向攻擊已完成。

3 實(shí) 驗(yàn)

為了驗(yàn)證上述對(duì)抗樣本生成策略的有效性，在收集的眼鏡數(shù)據(jù)集上進(jìn)行了對(duì)抗眼鏡樣本的合成，并在經(jīng)典的人臉識(shí)別模型OpenFace,VGG上驗(yàn)證了提出的方法的攻擊性能。需要如下準(zhǔn)備:(1) 收集訓(xùn)練中使用的真實(shí)眼鏡數(shù)據(jù)集;(2) 選擇生成器和鑒別器的架構(gòu)，實(shí)例化它們的權(quán)值;(3) 訓(xùn)練可用于評(píng)估攻擊的DNNs;(4) 設(shè)定攻擊的參數(shù)。

3.1 數(shù)據(jù)集采集

一個(gè)真實(shí)的眼鏡框架設(shè)計(jì)數(shù)據(jù)集是必要的，以訓(xùn)練生成器創(chuàng)建真實(shí)的攻擊。我們使用谷歌搜索的搜索“眼鏡”及其同義詞(如“眼鏡”、“護(hù)目鏡”)，有時(shí)使用形容詞修飾，我們使用的形容詞主要包括顏色(如“棕色”、“藍(lán)色”)、趨勢(shì)(如“極客”、“龜甲”)和品牌(如“拉夫·勞倫”、“普拉達(dá)”)。總共做了430個(gè)獨(dú)特的API查詢(xún)，收集了26 520張圖片。

收集的圖像不僅僅是眼鏡; 我們還發(fā)現(xiàn)了杯子、花瓶和眼鏡品牌的標(biāo)識(shí)阻礙了訓(xùn)練過(guò)程；此外，這些圖像還包括模特佩戴的眼鏡和深色背景下的眼鏡圖像。我們發(fā)現(xiàn)這些圖像很難用生成網(wǎng)絡(luò)進(jìn)行建模。因此，我們訓(xùn)練了一個(gè)分類(lèi)器來(lái)幫助我們檢測(cè)和保存在白色背景下的眼鏡圖像，從而不包括模特們佩戴時(shí)的圖像。使用250張手工標(biāo)記的圖片，訓(xùn)練了一個(gè)分類(lèi)器，并將其調(diào)整為100%的精確度和65%的召回率。在對(duì)數(shù)據(jù)集中的所有圖像進(jìn)行應(yīng)用后，仍有8 340幅眼鏡圖像，手動(dòng)檢查這些圖片并沒(méi)有發(fā)現(xiàn)假陽(yáng)性的一個(gè)子集。

使用這個(gè)數(shù)據(jù)集的原始圖像，可以訓(xùn)練一個(gè)能發(fā)出不同圖案、形狀和方向的眼鏡的生成器。不幸的是，形狀和方向的變化使得這種眼鏡在運(yùn)行算法1時(shí)難以有效和合理地對(duì)準(zhǔn)人臉圖像。因此對(duì)數(shù)據(jù)集中的圖像進(jìn)行預(yù)處理，并將模式從它們的幀轉(zhuǎn)移到一個(gè)固定的形狀，可以很容易地對(duì)齊到人臉圖像。我們使用的形狀的剪影如圖5所示，然后我們訓(xùn)練生成器生成這種形狀的眼鏡的圖像，但是它們有不同的顏色和質(zhì)地。將眼鏡的顏色和紋理轉(zhuǎn)換成固定的形狀，對(duì)圖像進(jìn)行了識(shí)別，以檢測(cè)幀的區(qū)域。然后使用紋理合成技術(shù)將框架的紋理合成到固定形狀上，圖6顯示了紋理合成結(jié)果的示例。

圖5 眼鏡生成輪廓

圖6 原始眼鏡圖像(左)與合成眼鏡圖像(右)

3.2 實(shí)驗(yàn)設(shè)置與結(jié)果分析

3.2.1預(yù)訓(xùn)練生成器與判別器

當(dāng)訓(xùn)練GANs時(shí)，我們希望生成器構(gòu)造出清晰的、真實(shí)的、多樣的圖像。只發(fā)射一小組圖像表明生成器的功能不能很好地接近底層數(shù)據(jù)分布。為了實(shí)現(xiàn)這些目標(biāo)，也為了能夠進(jìn)行有效的訓(xùn)練，我們選擇了深度卷積生成對(duì)抗網(wǎng)絡(luò)DCGAN(Deep Convolutional GAN)，一個(gè)具有少量參數(shù)的極簡(jiǎn)主義架構(gòu)。然后探索了發(fā)生器潛在空間的各種可能性，輸出維度，以及G和D中的權(quán)重?cái)?shù)(通過(guò)調(diào)整過(guò)濾器的深度)。最終發(fā)現(xiàn)一個(gè)潛在的空間[-1; 1]25，(即二十五維25-dimensional向量之間的實(shí)數(shù)-1和1), 和輸出的包含64×176像素的圖像可產(chǎn)生最好看、最多樣化的效果。

為了確保攻擊能夠迅速融合，將G和D初始化到一個(gè)狀態(tài)，在這個(gè)狀態(tài)中，生成器才能夠有效生成真實(shí)的眼鏡圖像。為此選擇了200次迭代進(jìn)行預(yù)訓(xùn)練，并存儲(chǔ)它們以初始化以后的運(yùn)行。此外，本文還借鑒了Salimans提出的基于軟標(biāo)簽來(lái)訓(xùn)練生成器。圖7和圖8展示了在訓(xùn)練結(jié)束時(shí)生成器器生成的眼鏡圖像。

圖7 對(duì)抗眼鏡圖像

圖8 原始人臉圖像(左)與對(duì)抗人臉圖像(右)

3.2.2人臉識(shí)別模型

本文評(píng)估了對(duì)兩個(gè)體系結(jié)構(gòu)中的DNNs的攻擊。一個(gè)神經(jīng)網(wǎng)絡(luò)是建立在超分辨率測(cè)試序列(VGG)神經(jīng)網(wǎng)絡(luò)上[17]。最初的VGG DNN在人面數(shù)據(jù)庫(kù)(LFW)基準(zhǔn)測(cè)試中，在被標(biāo)記的面孔上顯示了最先進(jìn)的結(jié)果，以98.95%的準(zhǔn)確率進(jìn)行面部驗(yàn)證[18]。另外一個(gè)DNN是在OpenFace神經(jīng)網(wǎng)絡(luò)上構(gòu)建的，它使用了谷歌FaceNet體系結(jié)構(gòu)[19]。OpenFace的主要設(shè)計(jì)考慮是提供高精度DNN，低訓(xùn)練和預(yù)測(cè)時(shí)間，使DNN可以部署在移動(dòng)設(shè)備和物聯(lián)網(wǎng)設(shè)備上。

VGG網(wǎng)絡(luò)訓(xùn)練： 原始的VGG網(wǎng)絡(luò)需要一個(gè)224×224像素對(duì)齊的臉部圖像用以輸入，并產(chǎn)生了一個(gè)具有高度鑒別性的4 096維的面部描述符(即用矢量表示法展示臉部圖像)。在歐幾里德空間中，兩個(gè)描述同一人的圖像的描述符比兩個(gè)描述不同人的圖像的描述符更接近。使用描述符來(lái)訓(xùn)練兩個(gè)簡(jiǎn)單的神經(jīng)網(wǎng)絡(luò)，將圖幅面積描述符映射到身份集合上的概率提高。如此，原來(lái)的VGG網(wǎng)絡(luò)就有效地充當(dāng)了特征提取器的角色。

OpenFace網(wǎng)絡(luò)訓(xùn)練：原始的OpenFace網(wǎng)絡(luò)需要一個(gè)96×96像素對(duì)齊的臉部圖像作為輸入和輸出128維的描述符。與VGG網(wǎng)絡(luò)相似，同一個(gè)人的圖像描述符在歐幾里得空間中接近，而不同人物形象的描述符卻相差甚遠(yuǎn)。與VGG相反，OpenFace的描述符位于一個(gè)單位球面上。首先嘗試訓(xùn)練神經(jīng)網(wǎng)絡(luò)，使用與VGG DNNs相似的架構(gòu)將OpenFace描述符映射到身份數(shù)據(jù)集，找到了這些神經(jīng)網(wǎng)絡(luò)來(lái)得到有競(jìng)爭(zhēng)力的精確度。然而，與VGG DNNs類(lèi)似，它們也很容易受到閃避的攻擊。與VGG DNNs不同，簡(jiǎn)單的數(shù)據(jù)增加并不能提高DNNs的穩(wěn)健性。我們認(rèn)為這可能是由于使用線性分隔符對(duì)球面數(shù)據(jù)進(jìn)行分類(lèi)的局限性。

3.2.3結(jié)果分析

為了評(píng)估提出的攻擊策略的攻擊性能，隨機(jī)為VGG和OpenFace選取10個(gè)攻擊者。對(duì)于每個(gè)攻擊者和DNN的組合，使用攻擊者的單個(gè)人臉圖像來(lái)創(chuàng)建定向或非定向攻擊。在非定向攻擊中，目標(biāo)是隨機(jī)選擇的。為了避免評(píng)估成功率的不確定性，本文使用攻擊者的三個(gè)不同的圖像重復(fù)每一次攻擊。表1描述了模型的測(cè)試準(zhǔn)確率以及被攻擊時(shí)的平均成功率和標(biāo)準(zhǔn)誤差。實(shí)驗(yàn)結(jié)果表示基于GAN生成的眼鏡貼片成功攻擊了用于人臉識(shí)別的VGG和OpenFace模型。對(duì)于非定向而言更具挑戰(zhàn)性，成功率有所降低。

表1 人臉識(shí)別模型性能

然后進(jìn)一步探討了生成的攻擊樣本的遷移性，即在黑盒攻擊場(chǎng)景中，提出的基于GAN的對(duì)抗眼鏡貼片的有效性，實(shí)驗(yàn)結(jié)果如表2所示。實(shí)驗(yàn)結(jié)果表明提出的餓攻擊策略在黑盒攻擊領(lǐng)域仍獲得了不錯(cuò)的攻擊效果。另外，還發(fā)現(xiàn)OpenFace體系結(jié)構(gòu)的攻擊僅在有限次的嘗試中就成功地愚弄了VGG體系結(jié)構(gòu)(10%～12%)。相比之下，在63.33%的嘗試中，成功攻擊VGG的同時(shí)也成功攻擊了OpenFace。

表2 黑盒攻擊性能

4 結(jié) 語(yǔ)

本文旨在探索深度學(xué)習(xí)模型存在的脆弱性并運(yùn)用生成對(duì)抗網(wǎng)絡(luò)，設(shè)計(jì)出一種新穎的光亮眼鏡貼片樣本，能夠成功欺騙基于卷積神經(jīng)網(wǎng)絡(luò)的人臉識(shí)別系統(tǒng)。通過(guò)在收集的眼鏡數(shù)據(jù)集上進(jìn)行合成實(shí)驗(yàn)，并在OpenFace、VGG等常用的人臉識(shí)別模型上驗(yàn)證了所提想法的性能，并證明了現(xiàn)實(shí)世界中深度學(xué)習(xí)模型的脆弱性依然不容忽視，設(shè)計(jì)有效的防御機(jī)制成為未來(lái)研究的重點(diǎn)。