《Adversarial Patch Attacks on Deep-Learning-Based FaceRecognition Systems Using Generative Adversar》

原文链接：Adversarial Patch Attacks on Deep-Learning-Based Face Recognition Systems Using Generative Adversarial Networks

author={Ren-Hung Hwang and Jia-You Lin and Sun-Ying Hsieh and Hsuan-Yu Lin and Chia-Liang Lin}

一、介绍

        提出了一种能够使人脸识别模型产生误分类的方法，该方法在现实世界中也能达到攻击效果。此外，我们也探讨加入对抗性影像至人脸辨识模型中做为训练资料集，以提高模型的鲁棒性。本研究的重点是在物理世界中使用基于GAN的对抗补丁的黑盒输入攻击的挑战性问题。

创新点：

1、提出了一种适用于现实世界的对抗性面片人脸识别攻击方法。它不需要知道深度学习模型（黑盒）的参数就能实现有效攻击。

2.为了确保我们方法的可靠性，我们对所有一对一组合进行了全面的攻击测试。从测试数量来看，受试者数量和每个受试者的测试次数均高于以往文献，结果表明，在数字世界中，躲避攻击成功率为57.99%，冒充攻击成功率为46.78%。躲避攻击的成功率为81.77%，在现实世界中冒充攻击的成功率达到63.85%。

3.该攻击方法利用了仅占据人脸一小部分区域的对抗补丁，而不是占据整个人脸的对抗实例。因此，攻击者可以根据需要来调整噪声区域。在我们的例子中，我们把对抗性的干扰隐藏在眼镜里，以达到被别人评判的效果。“因此，外行人很难知道我们的攻击意图，因此，对人脸识别系统构成了重大威胁。

4.基于本研究提出的方法，我们发现两个人脸数据库中的人数不同，人数的多少会进一步影响攻击的成功率。攻击成功率随着数据库中人数的增加而增加。简而言之，被黑客攻击的几率会增加。

5.提出了一种新的防御机制来对抗基于GAN的对抗补丁方法。仿真实验结果表明，该机制能够检测出几乎所有的躲避攻击和一半以上的假冒攻击，具有较高的防御效率。

6.我们探讨了阈值和攻击成功之间的关系，并证明了两者是相对的。此外，我们还对不同的模型进行了无盒攻击，证明了我们的攻击方法是可移植的。

二、人脸识别的前期工作

Facebook在2014年提出的Deepface [13]使用了一个九层神经网络，在损失函数中使用Softmax，并在应用于LFW（Labeled Faces in the Wild）数据集时实现了97.35%的识别准确率。FaceNet [14]由Google于2015年提出，使用ZFNet和Inception-v1作为Siamese网络[24]架构和损失函数中的三重损失。在验证阶段，该模型在LFW数据集上实现了99.63%的准确性。视觉几何组（VGG）在2017年提出了VGG-Face [15]，这是一种基于少量VGG [25]训练样本和Softmax损失函数的大规模图像识别神经网络。结果表明，当使用FaceNet [14]中提出的三重损失进行推理时，所提出的网络的准确率达到99.6%。

ArcFace [23]于2018年提出，基于ResNet深度神经网络架构[26]，但采用了一种新的损失，称为加性角利润损失。当应用于LFW数据集时，该模型达到了99.83%的准确度。

在最近的研究中，Fuad等人[27]调查了许多用于人脸识别（FR）的深度学习（DL）方法。作者分几个部分对它们进行了探讨。对于基于CNN的方法，Chen等人。[16]考虑了高分辨率和相应的低分辨率面之间的角度差异和幅度差距。它成功地识别了小于32 × 32像素的人脸，从而使LightCNN-v29的成功率达到98.98%。Wang等人[17]提出了金字塔多样性注意力框架，通过多层提取特征来避免模型集中在固定块上，使模型能够更全面地提取面部特征。对于基于Autoencoder的方法，Autoencoder将生成的和学习的属性组合起来，但它仍然学习不相关的特征。因此，Pidhorskyi等人[28]提出了一种对抗性潜在自动编码器（ALAE）来解决这个问题并改进GAN的训练过程。此外，Usman等人。[18]使用多层次的隐藏层进行特征提取和降维以进行表情识别。对于基于GAN的方法，Iranmanesh等人[19]提出了CpGAN方法，该方法通过两个独立GAN子网络分别处理可见光谱和不可见光谱。然后将CpGAN用于异构人脸识别。此外，Rong等人。[20]使用GAN来解决当被识别的人具有较大的姿势变化时识别失败的问题。对于基于强化学习的方法，Liu等人。[21]和Rao等人。[22]应用强化学习在无序图像和视频的异构集合中找到视频的注意力，并且都取得了丰富的结果。

FaceNet具有独特的架构，并采用三重丢失来处理数据。FaceNet仍然是人脸识别最常用和最准确的模型之一。尽管ArcFace的准确性略高于FaceNet，但其性能优势是以更高的计算成本为代价获得的。因此，本研究有意采用FaceNet来构建用于评估目的的人脸识别系统。

三、对抗样本

只有Carlini 和 Wagner攻击模型可以应用于黑盒攻击。大多数攻击方法都是基于损失函数，并将梯度值作为噪声添加到图像像素。然后重复查询目标模型，直到模型收敛。然而，面部识别系统通常在真实的世界中实现，并且假设面部识别系统没有被黑客攻击，简单地通过直接修改图像像素而成功的攻击的可能性相当低。此外，如果攻击多次查询模型以试图欺骗系统，则很可能触发安全机制，因此同样会失败。

四、人脸识别

基于深度学习方法的人脸识别系统的准确性明显高于早期基于图像处理或统计方法的准确性。然而，除了这些方法的预测精度，人们对预测结果的可解释性越来越感兴趣。Castanon和布雷恩[33]使用热图来量化分类模型中每个特征的相对重要性。实验结果表明，图像中的眼、鼻、嘴区域的特征提取对预测结果有很大的影响。Deb等人[8]还表明，当主要对面部的眼睛和鼻子区域施加噪声时，对抗性补丁攻击对面部图像的成功率得到了提高。

五、相关工作

本研究旨在探索一个更现实的攻击场景，其中攻击发生在物理世界中，攻击者没有模型参数和结构的信息。

总而言之，其他论文使用基于代理的在物理世界中，传统的基于代理的方法对模型结构和参数是强制性的，这意味着它只适用于白盒攻击。这种方法对于实际应用来说是不现实的。基于可见光的方法使用可见光投影来改变面部特征像素。除了需要许多资源和投影仪之外，这种方法容易受到外部环境因素的影响，例如红外截止透镜导致攻击失败。相比之下，我们使用基于GAN的方法来生成攻击眼镜或人脸补丁，这很方便。我们还将噪声限制在眼镜的框架上（小区域，不修改面部特征），这在物理和数字世界中都实现了高成功率的攻击。此外，我们的方法不会在现实世界的人脸识别系统中产生“此人不存在”的警告。保安员这样的门外汉很难知道我们袭击的意图。

六、核心方法

        本研究提出了一种基于生成对抗补丁的基于GAN的攻击方法。攻击方法假设使用黑盒模型，适用于数字世界和物理世界。本研究参考了[8，44]中使用的模型架构，其中训练图像包括面部数据集，并且使用传统的GAN方法将对抗性噪声添加到每个面部。本研究中的生成器仅在眼镜上而不是在整个面部上生成对抗性噪声，然后在由眼镜制造商进行判断之前将这些对抗性眼镜添加到面部。因此，所提出的方法更容易应用于物理世界中的攻击。

        我们提出的GAN架构如图1所示，它包括三个主要组件：生成器G、人脸识别器D和人脸匹配器F。对于所提出的架构的执行过程，首先，眼镜是用于生成扰动的生成器的输入。第二，扰动将与眼镜和人组合以形成合并图像，其将被用作到人脸匹配器（D）和人脸匹配器（F）的输入。第三，generator、decoder和face matcher将分别计算losses、Lperturbation、Ladv和Lidentity。用于生成对抗眼镜和补丁的伪代码在算法1和2中示出。

生成器：

生成器的目的是生成一个对抗图像，导致人脸识别系统错误分类输入。眼镜图像x被输入到生成器，并且生成器从多维空间随机生成G（x）。然后将由生成器生成的噪声添加到原始眼镜图像以产生x+G（x）。 x +G（x）表示只有眼镜内的噪声保留在眼镜上。如图1所示，生成的噪声G（x）可以通过L扰动损耗来控制。具体地，取G（x）的L2范数（指定为||G（x）||2），并将其与预定义的噪声阈值P进行比较。然后，基于该比较的结果来分配损失函数L扰动，如下所示：

        利用L扰动，生成器将被训练为在G（x）的L2范数接近但不大于预定义的噪声阈值P的约束下生成尽可能多的噪声。

        所提出的架构并入了额外的损耗，指定为L身份，其目的是鼓励生成器（G）以产生专门用于使面部识别系统将输入面部误判为另一个人的面部的噪声。首先通过图像处理将对抗图像x + G（x）附加到面部图像f以产生f+ x + G（x）。然后，匹配器（F）将f+ x + G（x）与原始面部图像f进行比较，并计算它们之间的差作为Lidentity。生成器的目标是使人脸匹配器的输出值F最小化。这里的Lidentity对非目标攻击和目标攻击有不同的定义。当为非目标攻击生成对抗眼镜时，Lidentity计算如下：

其中f是执行对抗性攻击的人的面部图像。

然而，当生成敌对面部（（x + G（x），其中x = ft）以执行有针对性的攻击时，目的是攻击特定目标，因此将用敌对面部图像f+ x + G（x）修补的输入图像与攻击目标ft的面部图像进行比较。因此，在这种情况下，Lidentity计算为：

人脸识别器

        该算法的目的是比较原始人脸f和生成器生成的戴眼镜人脸图像f + x + G。原始面f被输入到生成器，然后生成器尝试最小化 f 和f + x + G之间的差异，使得识别器无法区分它们。在本架构中，使用[9]中描述的损失函数来实现该方法。

人脸匹配器

人脸匹配器的目的是量化两个人脸之间的相似性。换句话说，F可以被视为一种形式的人脸识别系统。为了比较两张人脸之间的相似性，人脸匹配器接收两张人脸图像并输出两个对应的特征向量。然后将两个特征向量之间的距离作为它们之间的相似性的度量，其中较小的距离指示较大的相似性，反之亦然。因此，所提出的GAN架构的总损失函数具有以下形式：

        其中x1和x2分别是用于控制L扰动和L身份损失的相对贡献的加权值。总损耗Ltotal然后被反馈到发生器G以用于进一步的训练。特别地，生成器产生新的对抗图像，该新的对抗图像由鉴别器D和面部匹配器F重新评估。然后，所产生的损耗Ltotal再次作为反馈返回到发生器。训练过程以这种方式迭代地继续，直到生成器产生一组高质量的对抗图像，鉴别器和面部匹配器都几乎不能将其与原始面部图像区分开。