Adv-Makeup:一种新颖不易察觉且可迁移的人脸识别攻击方法
1 摘要
?現有的人臉識別系統的對抗樣本缺乏針對黑盒模型攻擊的可移植性,無法在實踐中高效的攻擊成功。該論文提出了一種統一的對抗人臉識別系統的方法——Adv-Makeup,該方法能夠在黑盒環境下實現可感知和可轉移的攻擊,該方法使用混合模塊在面部眼眶區域合成不易察覺的眼影。為了實現可移植性,Adv-Make實現了一種細粒度的元學習對抗攻擊策略,以從各種模型中學習更多的一般攻擊特征。與現有技術相比,Adv-Make能夠在數字和物理場景下產生更多不易察覺的攻擊,甚至可以攻擊商業系統。
2 貢獻
?該論文的貢獻可以總結為如下四條:
- 該論文提出的黑盒攻擊方法Adv-Make可以在數字和物理場景下實現對人臉識別模型進行不可察覺和可遷移的攻擊。
- 為了增強黑盒對抗攻擊的不可感知性,作者引入了makeup生成模塊,可以在眼眶區域添加自然眼影。
- 作者提出了一種化妝混合策略,以確保原圖像和生成圖像之間的風格和內容的具有一致性,從而進一步提高合成人臉的逼真度。
- 作者提出了一種任務驅動的細粒度元學習對抗攻擊策略,以保證生成的組合的攻擊能力,特別是提高了對抗樣本在黑盒受害者模型上的可遷移性。
3 模型方法
? Adv-Makeup框架包括三個組成部分如下圖所示,即Makeup生成模塊、Makeup混合模塊和Makeup攻擊模塊。以沒有化妝源面部圖像和隨機帶有化妝品的人臉為輸入,Makeup生成模塊可以合成出具有逼真眼影的人臉。Makeup混合模塊是為了進一步提高生成的對抗樣本在視覺上不可區分的質量。Makeup攻擊模型引入細粒度的元學習方法,使得生成的人臉具有對抗能力,進一步提高了黑盒條件下攻擊的可遷移性。
3.1 Makeup生成模塊
?給定源圖像 I s ∈ D s \boldsymbol{I}_s \in \boldsymbol{D}_s Is?∈Ds?和化妝圖像 I m ∈ D m \boldsymbol{I}_m \in \boldsymbol{D}_m Im?∈Dm?,使用人臉對齊方法去生成不同人臉的圍繞雙眼的Bounding-Box分別為 O s \boldsymbol{O}_s Os?和 O m \boldsymbol{O}_m Om?。將 O s \boldsymbol{O}_s Os?作為生成器 G G G的輸入,并生成人臉眼影 O ^ s = G ( O s ) \boldsymbol{\hat{O}}_s=G(\boldsymbol{O}_s) O^s?=G(Os?)。接下計算區域 O s ⊙ ( 1 ? M ) + O ^ s ⊙ M \boldsymbol{O}_s \odot (1-\boldsymbol{M})+\boldsymbol{\hat{O}}_s \odot \boldsymbol{M} Os?⊙(1?M)+O^s?⊙M,將該區域添加到源面部圖像 I s \boldsymbol{I}_s Is?中得到合成的人臉圖像 I ^ s \boldsymbol{\hat{I}}_s I^s?。為了提高生成的質量,作者引入了一個判別器去鼓勵生成器生成的圖像更加真實逼真。相應的生成器的損失函數和判別器的損失函數如下所示: L g e n = E O s [ log ? ( 1 ? D ( G ( O s ) ) ] \mathcal{L}_{gen }=\mathbb{E}_{\boldsymbol{O}_s}[\log(1-D(G(\boldsymbol{O}_s))] Lgen?=EOs??[log(1?D(G(Os?))] L d i s = ? [ E O m [ log ? ( D ( O m ) ) ] + E O s [ log ? ( 1 ? D ( G ( O s ) ) ] ] \mathcal{L}_{dis}=-[\mathbb{E}_{\boldsymbol{O}_m}[\log(D(\boldsymbol{O}_m))]+\mathbb{E}_{\boldsymbol{O}_s}[\log(1-D(G(\boldsymbol{O}_s))]] Ldis?=?[EOm??[log(D(Om?))]+EOs??[log(1?D(G(Os?))]]
3.2 Makeup混合模塊
? 為了消除邊界處明顯的偽影和眼影塊導致的風格,作者提出了一種Makeup混合模塊來實現不易察覺性的生成。作者利用梯度約束目的是將損失函數轉化為一個可微函數,以減輕生成邊界上的變化。通過最小化損失函數,生成的面的圖像細節能夠被保留,同時改變顏色以匹配原始圖像。梯度約束損失 L g r a d \mathcal{L}_{grad} Lgrad?定義為: L g r a d = ∥ [ ? I s ⊙ ( 1 ? M ? ) + ? h ( O ^ s ) ⊙ M ? ] ? ? I ^ s ∥ 2 2 \mathcal{L}_{grad}=\|[\nabla \boldsymbol{I}_{s}\odot (1-\boldsymbol{M}^{*})+\nabla h(\boldsymbol{\hat{O}_s})\odot \boldsymbol{M}^{*}]-\nabla \boldsymbol{\hat{I}}_s\|^2_2 Lgrad?=∥[?Is?⊙(1?M?)+?h(O^s?)⊙M?]??I^s?∥22?其中 M ? \boldsymbol{M}^{*} M?表示的是由 M \boldsymbol{M} M擴展與原圖像 I s \boldsymbol{I}_s Is?尺寸相同的 0 ? 1 0-1 0?1掩模。為了增強風格和內容的整合,以更好地提高合成眼影的自然度,作者利用預先訓練的VGG16模型來計算風格損失 L s t y l e \mathcal{L}_{style} Lstyle?和內容損失 L c o n t \mathcal{L}_{cont} Lcont?,其損失函數為
L c o n t = ∑ p = 1 P α p 2 N p M p ∑ j = 1 N p ∑ k = 1 M p [ ( A p [ I ^ s ] ? A p [ I s ] ) ⊙ M ? ] j k 2 \mathcal{L}_{cont}=\sum\limits_{p=1}^{P}\frac{\alpha_{p}}{2N_p M_p}\sum\limits_{j=1}^{N_p}\sum\limits_{k=1}^{M_p}[(A_p[\boldsymbol{\hat{I}_s}]-A_p[\boldsymbol{I}_s])\odot \boldsymbol{M}^*]^2_{jk} Lcont?=p=1∑P?2Np?Mp?αp??j=1∑Np??k=1∑Mp??[(Ap?[I^s?]?Ap?[Is?])⊙M?]jk2? L s t y l e = ∑ p = 1 P β p 2 N p 2 ∑ j = 1 N p ∑ k = 1 N p ( B p [ I ^ s ] ? B p [ I s ] ) j k 2 \mathcal{L}_{style}=\sum\limits_{p=1}^P\frac{\beta_p}{2N^2_{p}}\sum\limits_{j=1}^{N_p}\sum\limits_{k=1}^{N_p}(B_p[\boldsymbol{\hat{I}_s}]-B_p[\boldsymbol{I}_s])^2_{jk} Lstyle?=p=1∑P?2Np2?βp??j=1∑Np??k=1∑Np??(Bp?[I^s?]?Bp?[Is?])jk2?其中 P P P為卷積神經網絡的層數, N p N_p Np?是激活的通道數, M p M_p Mp?是每個通道中激活值的數量。 A p [ ? ] ∈ R N p × M p A_p[\cdot] \in \mathbb{R}^{N_p \times M_p} Ap?[?]∈RNp?×Mp?是第 p p p層神經網絡的激活矩陣。 B p [ ? ] = A p [ ? ] A p [ ? ] ? ∈ R N p × M p B_p[\cdot]=A_p[\cdot]A_p[\cdot]^{\top} \in \mathbb{R}^{N_p \times M_p} Bp?[?]=Ap?[?]Ap?[?]?∈RNp?×Mp?是一個特征提取的Gram矩陣。
3.3 Makeup攻擊模塊
?為了使生成的Makeup具有對抗性,作者引入了一個針對人臉識別模型的攻擊損失函數,并利用預先訓練的人臉特征提取器。模擬攻擊的損失可以表示為 T = 1 ? cos ? [ F ( I t ) , F ( I ^ s ) ] \mathcal{T}=1-\cos[F(\boldsymbol{I}_t),F(\boldsymbol{\hat{I}}_s)] T=1?cos[F(It?),F(I^s?)]其中 I t ∈ D t \boldsymbol{I}_t \in D_t It?∈Dt?表示的是目標圖像。該損失函數目的是使得對抗樣本與目標圖像相近。作者提出了細粒度的元學習對抗攻擊來提高黑盒的可遷移性。假定有 L L L個預訓練人臉識別模型即 F = F 1 , F 2 , ? , F L \mathcal{F}=F_1,F_2,\cdots,F_L F=F1?,F2?,?,FL?,然后選擇 L ? 1 L-1 L?1模型作為元訓練模型 T t r i ( θ G ) = 1 ? cos ? [ F i ( I t ) , F i ( G ( I s ) ) ] T^{i}_{tr}(\theta_G)=1-\cos[F_i(\boldsymbol{I}_t),F_i(G(\boldsymbol{I}_s))] Ttri?(θG?)=1?cos[Fi?(It?),Fi?(G(Is?))]其中 i ∈ { 1 , ? , L ? 1 } i \in \{1,\cdots,L-1\} i∈{1,?,L?1}, θ G \theta_G θG?是生成器的參數, G ( I s ) G(\boldsymbol{I}_s) G(Is?)表示Makeup生成的眼影伴隨著Makeup混合生成的臉的圖像。 T t r i ( θ ) \mathcal{T}_{tr}^i(\theta) Ttri?(θ)表示的是不同模型分享同一個生成器,并從 L ? 1 L-1 L?1個模型中收集到的梯度信息作為先驗。當更新參數 θ G \theta_G θG?為了獲得 i t h i_{th} ith?個副本則有 θ ′ G i ← θ G ? α 1 ? θ G T t r i ( θ G ) . {\theta^{\prime}}^i_G \leftarrow \theta_G - \alpha_1 \nabla_{\theta_G}\mathcal{T}^i_{tr}(\theta_G). θ′Gi?←θG??α1??θG??Ttri?(θG?).另外一個人臉識別模型 F L F_L FL?作為測試模型則有 T t e i ( θ ′ G i ) = 1 ? cos ? [ F L ( I t ) , F L ( G ( I s ) ) ] \mathcal{T}^i_{te}({\theta^{\prime}}^i_G)=1-\cos[F_L(\boldsymbol{I}_t),F_L(G(\boldsymbol{I}_s))] Ttei?(θ′Gi?)=1?cos[FL?(It?),FL?(G(Is?))]為了在兩個階段收集所有信息,作者提出了一個聯合優化策略。 θ G ′ ′ ← θ G ? α 1 ∑ i = 1 L ? 1 ? θ G ( T t r i ( θ G ) + T t e i ( θ G ′ ) ) ? α 2 ? θ G L g e n ( θ G ) ? β 1 ? θ G L g r a d ( θ G ) ? β 2 ? θ G L cont? ( θ G ) ? β 3 ? θ G L style? ( θ G ) \begin{aligned} \theta_{G}^{\prime \prime} \leftarrow \theta_{G}&-\alpha_{1} \sum_{i=1}^{L-1} \nabla_{\theta_{G}}\left(\mathcal{T}_{t r}^{i}\left(\theta_{G}\right)+\mathcal{T}_{t e}^{i}\left(\theta_{G}^{\prime}\right)\right)\\&- \alpha_{2} \nabla \theta_{G} \mathcal{L}_{g e n}\left(\theta_{G}\right)-\beta_{1} \nabla_{\theta_{G}} \mathcal{L}_{g r a d}\left(\theta_{G}\right)\\&- \beta_{2} \nabla_{\theta_{G}} \mathcal{L}_{\text {cont }}\left(\theta_{G}\right)-\beta_{3} \nabla_{\theta_{G}} \mathcal{L}_{\text {style }}\left(\theta_{G}\right) \end{aligned} θG′′?←θG???α1?i=1∑L?1??θG??(Ttri?(θG?)+Ttei?(θG′?))?α2??θG?Lgen?(θG?)?β1??θG??Lgrad?(θG?)?β2??θG??Lcont??(θG?)?β3??θG??Lstyle??(θG?)?
4 實驗結果
?為了證明所提出的Adv-Makeup在數字圖像上的有效性,作者設計了多模型攻擊實驗來展示性能的改進,超越了其他攻擊所應用的傳統集成對抗訓練。作者選擇了七種不同的攻擊方法進行比較,其中訓練和測試范式嚴格遵循原始設置。如下表所示,每一列代表可遷移測試的剩余黑盒受害者模型的ASR結果。與其他攻擊相比,Adv-Makeup在所有受害者模型上實現了最佳的可遷移結果,并顯著優于競爭對手。
?下圖展示了Adv-Makeup的人眼不可察覺性,由Adv-Makeup生成的六張對抗人臉圖像,每張臉圖像下面的兩個數字是由商業在線人臉識別系統給出的。對抗人臉和相應的匹配結果表明,該方法對光照、姿態、性別和眼妝強度等多種干擾因素具有魯棒性。
?下圖展示了Adv-Makeup生成的攻擊區域具有視覺上最難區分的外觀,而其他形式需要更大的攻擊區域,比較的量化結果再次凸顯了Adv-Makeup在可遷移黑盒攻擊中的優勢。
?如下圖所示,與當前的物理攻擊相比,Adv-Makeup的攻擊強度明顯高于其他攻擊,這表明本文提出的方法可以在實際應用中生成更好可遷移性的對抗樣本。
總結
以上是生活随笔為你收集整理的Adv-Makeup:一种新颖不易察觉且可迁移的人脸识别攻击方法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [转载]Navicat12.1系列破解教
- 下一篇: 梳理百年深度学习发展史-七月在线机器学习