对基于深度学习的人脸识别模型的对抗攻击

作     者：李奇璋 

作者单位：哈尔滨工程大学 

学位级别：硕士

导师姓名：王科俊

授予年度：2021年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081104[工学-模式识别与智能系统] 080203[工学-机械设计及理论] 0802[工学-机械工程] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：深度神经网络 对抗样本 人脸识别 图像分类 

摘      要：近年来,依靠深度学习的发展,大量的人工智能技术被应用到了日常生活之中,如人脸识别、语音识别、自动驾驶、行人重识别等等。在计算机视觉领域中,基于深度学习的人脸识别技术应用得最为广泛。然而,很多研究证明了深度神经网络容易受到对抗样本的攻击,对抗样本的发现引起了国内外学者的关注。对抗攻击指对干净样本做人眼难以察觉的修改,通常是在干净样本基础上加上人为设置的噪声,使模型作出错误的预测,这种带有干扰信息的样本被称为对抗样本。在人脸识别任务中,对抗攻击即对人类面部图像做微小的改动,使模型识别错误。对人脸识别的对抗攻击的研究不仅对大数据时代人脸隐私保护有重要意义,还为如何防御人脸识别任务中的恶意攻击、提高模型的鲁棒性提供十分重要的启示。本文分析了目前攻击方法的优劣:一方面,人脸识别系统通常会对用户访问模型次数作出限制,目前一些基于查询的攻击方法需要大量访问模型,易被检测;另一方面,从保护人脸隐私的目的来说,通常是被动地被目标模型访问,不能主动访问目标模型。因此选择基于迁移的对抗攻击方式,并为了提高对抗样本的迁移性提出三个改进方法:(1)自适应角度与长度联合优化(A-C&L)。分析了仅最小化人脸对抗样本与原样本的特征间的余弦相似度作为优化目标的缺点,即会使人脸对抗样本特征向量的范数减小,在源模型上过拟合,导致对抗样本的迁移性差。针对这一问题,提出加入人脸特征长度项的自适应角度与长度联合优化,提高了对抗攻击的成功率。(2)部分线性反向传播算法(PLB)。分析了对抗样本的线性假设,即对抗样本的存在及其较强的迁移性源于深度神经网络模型的线性特性。基于这一假设,提出部分线性反向传播算法,保持正向计算不变,反向计算时跳过部分非线性激活函数。(3)基于多隐层输出的迁移性增强算法(H-ILA)。分析了利用初次攻击生成的对抗样本进一步生成新的迁移性更强的对抗样本的中间层攻击(ILA)算法的不足,即忽略了初次攻击迭代过程中的历史信息。针对这一不足,提出基于多隐层输出的迁移性增强算法,利用了更多的隐层输出,缓解对抗样本对源模型的过拟合。通过大量实验证明,这三种改进方法均能提高人脸识别模型对抗样本的迁移性。不仅限于人脸识别,还验证了在人脸识别的上游任务——图像分类任务中,PLB和H-ILA两种改进方法也能提高对抗攻击的成功率,证明了PLB和H-ILA方法的一般性。