《Transferable Black-Box Attack Against FaceRecognition With Spatial Mutable Adversarial Patch》论文分享

原文链接：dblp: Transferable Black-Box Attack Against Face Recognition With Spatial Mutable Adversarial Patch.

author={Haotian Ma and Ke Xu and Xinghao Jiang and Zeyu Zhao and Tanfeng Sun}

一、介绍

        本文提出了一种空间可变对抗补丁（SMAP）的方法来产生一个动态可变补丁注入到脸上。在所提出的SMAP中，纹理，位置和形状的补丁同时优化和补丁生成管道是端到端的微分。具体而言，补丁位置选择方案的目的是找到关键补丁的位置与最显着的影响目标身份的步骤为基础的梯度搜索。通过创新性地桥接预先定义的掩码和补丁的动态更新，在每次迭代中基于仿射变换和采样机制改变补丁的位置和形状，保持了注入补丁对对抗目标的重要性。

        类激活映射技术提供了DNN模型预测的可视化解释。它使用反向传播梯度来定位模型的注意力。通过该技术，观察到不同区域中像素的重要性不同。因此，一些作品专注于找到一个关键区域，以实现高攻击成功率。然而，该区域中的像素并不总是在每次迭代中发挥重要作用。不能保证预先设计的对对抗目标最重要的立场将保持不变。这些现有的方法遭受两个主要缺点：（1）他们专注于一个或两个影响因素，是不够的更好的攻击性能。这些因素是相互关联的，但以前的方法不能同时优化它们。(2)由于关键像素在补丁更新时会发生变化，因此这些方法难以使用来自模型的反馈来指导补丁位置和形状的优化。

        针对上述问题，提出了一种新的空间可变对抗性补丁（SMAP）方法，该方法同时优化补丁的纹理、位置和形状，并在每次迭代中利用最优补丁生成动态可变掩模。具体而言，补丁位置选择方案（PLSS）的目的是搜索的关键补丁位置在攻击开始。然后在每次迭代中根据反馈动态改变补丁的位置，以保持其灵敏度。通过这种方式，有效地增强了补丁的对抗性可转移性。考虑到补丁形状对攻击性能的影响，补丁不限于固定的形状。变形方案被启用以优化补丁形状。此外，代替使用不可微的坐标定位操作，SMAP的生成流水线是可微的，使得补丁的纹理，位置和形状同时更新。

        与GDPA相比，我们的方法将被扩展到通过简单地修改身份和代理模型的输入图像而无需大规模训练来生成已知和未知身份的扰动。

二、具体实现

        给定一对人脸图像{xs，xt }，其中xs来自源身份，xt来自目标身份，所提出的方法旨在生成放置在xs上的补丁，以获得可以被人脸识别模型误识别为xt的身份的图像xadv。

        人脸识别系统通常根据人脸特征计算两张人脸之间的距离（如欧氏距离或余弦相似度），以获得它们的相似度。当相似度超过模型的预定义阈值时，系统确定两个人脸属于同一身份。在这项工作中，两个面xs和xt之间的距离是通过计算它们的特征向量的余弦相似度来测量的：

        由于人脸识别应用中的查询数量有限，所提出的方法侧重于对抗性示例的可移植性。在特征空间中对同一身份的不同人脸图像的特征进行聚类。不同的人脸识别模型会对同一身份的人脸图像计算相同的特征聚类。由于目标模型的梯度信息是不可访问的，所以白盒代理模型fw用于生成可以保持对抗黑盒模型fb的图像。代理模型fw将帮助我们计算人脸图像的特征，并指导对抗图像的生成。对于模仿攻击，解决以下优化问题以获得对抗图像：

通过基于迭代快速梯度符号法（I-FGSM）[39]最大化损失Ladv（xadv，xt），以小步α更新扰动δ：

补丁生成策略：

        对于人脸识别，特征区域对于不同的输入人脸图像是不同的。因此，具有随机或固定位置的补丁的对抗性能是不令人满意的。此外，对于同一张脸，不同的人脸识别模型通常关注相同的区域，这对应于人脸的最关键特征。这意味着通过扰动该区域中的像素，黑盒可转移性得到显著改善。

        为了找到该区域，利用模型的反馈来获得源图像xs的块位置。计算损失函数，并通过反向传播获得梯度，如下所示：然后通过搜索选择最优区域。

        具体地，假设块是大小为N × N的正方形，并且搜索步幅被设置为S。然后，获得⌊(H −
N)/S⌋ × ⌊(W − N)/S⌋候选区域。对于第i行和第j列中的每个区域，其中i在范围[0, ⌊(H − N)/S⌋)中，并且j在范围[0, ⌊(W − N)/S⌋)中，左上角和右下角的坐标被确定为

令Gk表示图像xs中的像素k的梯度值。然后绝对梯度值|GK|在每个区域中，求和为区域影响强度值，并选择强度值最大的最佳区域。

        虽然已经基于区域影响强度值选择了具有最佳补丁位置的掩模，但是该补丁区域中的像素在每次迭代中并不总是起重要作用。不能保证被选为对抗性损失最重要的补丁的位置将保持不变。在这种具有预定义掩模的方法中，仅对扰动δ进行优化，而忽略掩模M的更新，就像先前的方法一样。它启发我们，可以同时优化掩码以获得更好的攻击性能。

        在掩模上使用仿射变换以生成采样网格，然后采用采样机制来输出具有新补丁的掩模。它解决了关键区域变化的问题。基于当前梯度反馈，在每次迭代中动态地改变补丁的位置和形状。这样，可以获得最终的最优补丁位置而不是初始补丁位置。通过创新性地桥接补丁的预定义最优位置和随后的掩模的动态更新，补丁的位置和形状可以在每次迭代中与扰动同时优化。

        该操作是2D仿射变换，并且不涉及透视变换。在这种情况下，转换是：

        其中，网格Gd是流场（采样网格），（Gdx，Gdy）是指定采样像素位置的网格Gd的坐标，Aθ是仿射变换矩阵，（Ms x，Ms y）是变换之前掩模Ms的坐标。函数a仿射（·）指的就是这个过程。在变换操作中，面片形状不受限制。变换将允许将平移、缩放和旋转应用于面片。因此，矩阵Aθ的所有6个自由度都将更新。

        为了使用输入掩码Ms中的每个坐标的已知值和来自网格Gd的像素位置来计算输出Mt，应用双线性采样：sample（·）是采样操作。

        将Mplss定义为从所提出的PLSS算法获得的掩码。基于上述策略，掩码M的生成流水线表示为：

可微分采样机制将允许对抗性损失梯度可以反向传播到仿射变换矩阵A θ，这使得我们能够更新参数θ。

        仿射矩阵Aθ中的尺度参数是不固定的。补丁大小会影响攻击的性能。补丁面积越大，攻击性能越强。为了最大化损失Ladv，尺度参数将在增加补丁面积的方向上更新。这将导致补丁面积不断增加。因此，将损失Larea引入对抗目标以约束斑块面积，并且该损失函数通过以下公式计算：

        其中Mi是掩模中的像素i。Larea被集成到Eq3，并将对抗性目标改写为：

其中λ是平衡这两种损失的超参数，TPA是实现斑块面积稳定的阈值。与以往的方法相比，本文的优化目标由δ的单一优化扩展为δ和Aθ的联合优化。

        为了提高成功率和可转移性，扰动δ被初始化为xt。在对损失函数Larea进行积分之后，δ被更新为：

由于矩阵Aθ的参数θ控制不同的变换，因此θ将使用不同的策略来更新。矩阵Aθ被分成两个块矩阵，其中Dθ控制缩放和旋转，Tθ控制平移：

在每次迭代中，分块矩阵D θ和T θ分别以γ d和γ t的步长更新：

将基于仿射矩阵变换补丁的位置和形状。因此，通过优化D θ和T θ，可以获得空间可变的对抗补丁。

三、总体框架

SMAP的框架。补丁位置选择方案（PLSS）来生成初始掩模。引入仿射变换机制，根据可微仿射矩阵动态更新面片的位置和形状。在注入补丁之后，生成对抗图像xadv，并随后将其馈送到面部识别模型中。该方法通过梯度反馈优化扰动和仿射矩阵，迭代地进行攻击。

步骤1：从数据集中选择目标身份的源人脸图像xs和人脸图像xt。将它们输入到选定的白盒代理人脸识别模型中，计算相似度和相似度梯度。关键区域被定位以使用所提出的PLSS生成初始最优掩模Mplss。注意，SMAP使用目标面部图像来初始化扰动，即δ0 ← xt。

步骤2：将分块矩阵Dθ和Tθ中的参数初始化为θ11 = 1，θ12 = 0，θ13 = 0，θ21 = 0，θ22 = 1，θ23 = 0。为了稳定补丁位置更新，需要衰减步长γd和γt。因此，应用学习率计划，并且当达到第Is-次迭代时停止更新θ。最大迭代次数被设置为Im。在迭代的第一阶段中，块矩阵Dθ和Tθ如等式2所示更新。14.通过可微分仿射变换和采样来优化掩模M，以保持如等式（1）中的位置和形状灵敏度。9.当仿射矩阵的参数收敛时，M在第Is次迭代时停止更新。由于插值技术在补丁更新期间引入了小的噪声毛刺，因此在第一次更新完成时去除噪声，这被称为去毛刺操作。因此，在迭代的第二阶段中获得M为：

步骤3：利用生成的掩模，如等式2中所示获得对抗面部图像xadv。1.然后它被Cli p（·）约束在范围[0，255]内，Cli p（·）是执行图像的像素裁剪的函数。对抗性扰动δ在两个阶段迭代中利用损失函数的梯度连续优化，如在等式2中。12.空间可变对抗补丁可以在连续迭代后生成。最后，对抗图像可以用来评估人脸识别系统的脆弱性。

四、实验（主要关注于人脸分类）

        人脸识别的类型：实验在两种类型的人脸识别中进行：基于相似性的人脸识别和基于分类的人脸识别。对于前者，特征将基于面部输入输出。对于后者，类将基于面部输入输出。

        基于分类的人脸识别：VGGFace模型基于VGGNet ，并通过Triplet loss 进行微调，最大限度地减少正样本的距离，并最大限度地增加负样本的距离。对于我们实验中的VGGFace，输入图像大小为224 × 224，输出大小为10。输出类确定人脸图像所属的身份。在基于传输的攻击中，当代理模型与测试模型相同时，属于白盒攻击。相反，当代理模型与测试模型不同时，则属于黑盒攻击。

        对于人脸识别，当探测集中图像对生成的敌对图像与目标图像的相似度超过图库集中其他图像的相似度和阈值时，识别成功。由于人脸数据库中的目标身份的图像是不可访问的，因此该评估更真实。对于基于分类的人脸识别，当敌对图像被分类为目标类时，它被认为是成功的。

        为了评估基于分类的人脸识别的性能，我们在VGGFace模型上与TnTs [12]进行了比较，VGGFace模型在采样的10个受试者的人脸图像上进行了微调。由于对抗目标从特征相似性到目标类的变化，等式中的Ladv。11被交叉熵损失代替，使得对抗性人脸xadv可以被模型分类为目标类。对于基于分类的人脸识别，通常将全连接（FC）层的输出的最大值的索引视为结果。没有阈值来评估对抗性面孔的质量。因此，FC层的输出被馈送到softmax函数中以计算置信度。进行了两个实验：（1）当置信度大于0.9（Conf > 0.9）时，认为成功。(2)只要信心是最高的（无限制），它就被认为是成功的。

SMAP在两个评估指标中的表现都优于TnTs。这可以归因于以下事实：（1）SMAP扰动面部的关键区域，而TnTs在右下角生成补丁。(2)与人脸斑块相比，TnTs中的自然主义和不那么恶意的花朵斑块很难转换为面部特征并误导分类网络。这表明，纹理表示和位置的补丁是至关重要的人脸对抗性攻击。

显示了这两种方法生成的一些可视化示例。值得注意的是，SMAP生成的对抗性补丁具有人脸的特征，并且位于面部的关键区域，例如眼睛和鼻子。

五、消融实验

补丁初始化：应用三种补丁初始化方法，包括用0（零）填充补丁、用源身份（源）的面部图像初始化补丁以及用目标身份（目标）的面部图像初始化补丁。结果可以看出，Target有利于获得更好的结果，特别是在人脸识别任务上。这表明，源方案生成的对抗图像仍然保留了源身份的特征，导致对抗图像与源身份图像的相似度高于目标身份图像的相似度。并且Zero方案生成的对抗图像的面部特征被破坏，导致成功率低。

补丁定位：进行了实验，以探讨补丁定位的重要性。首先，通过计算绝对值和PLSS选择的补丁位置处理的梯度热图被可视化。如图所示，观察到四个人脸识别模型更关注鼻子和右眼，并且不同的人脸识别模型通常关注人脸的相同区域。因此，扰动该区域无疑会增加成功率和可转移性，这就是设计PLSS的原因。

显示了被认为是优化补丁的四种定位方案的结果，包括随机定位（Random）、攻击开始时基于搜索的密钥定位（Search）、动态最优定位（Translation）和SMAP。搜索中的修补程序位置由PLSS找到。平移和SMAP之间的区别在于，在平移中，补丁形状是固定的，而在SMAP中，变形参数在迭代过程中更新。可以看出，随机补丁位置的攻击对于黑盒模型几乎是不成功的。攻击成功率显着增加时，一个关键的补丁位置是在开始选择。此外，结合补丁更新机制后，翻译和SMAP的性能得到改善，这表明动态改变补丁的位置和形状在迭代过程中的有效性。

补丁大小：研究补丁面积大小对成功率的影响。测试了两个面积块，分别由9.7%的图像像素（小）和14.3%的图像像素（大）组成。可以看到，当面积增加4.6%时，人脸验证任务的平均黑箱成功率几乎翻了一番。人脸识别任务的成功率增长更显着，特别是在LFW上。它展示了补丁大小的成功和大面积补丁的人脸识别模型的脆弱性的重要性。

六、可视化

        对抗补丁的纹理、位置和形状的联合优化过程。可以看出，在根据PLSS在第一次迭代中选择最佳位置之后，随着迭代的进行，贴片的位置和形状继续被优化。由于PLSS以固定的大小和步长搜索，因此会错过一些位置。后续的动态优化将修复此缺陷。这个过程是渐进的，位置和形状没有突然和戏剧性的变化。更新步骤的调度将保证优化的稳定性。

        人脸识别系统使用相似度来确定一对人脸是否匹配。因此，所提出的方法旨在通过注入补丁来提高对抗人脸和目标人脸之间的相似性。为了突出补丁的影响，可视化了SMAP攻击前后的相似性变化。具体地，将在ArcFace上生成的源人脸和对抗人脸分别送入ArcFace，计算与白盒设置下目标身份的人脸的相似度，SMAP攻击前后这些采样对的分布密度如图a所示。然后将它们送入CosFace中计算黑箱设置下的相似度，SMAP攻击前后的分布密度如图b所示。可以看出，在攻击之前，由于身份不匹配，相似度集中在接受阈值之外。在攻击之后，敌对的面孔混淆了模型的决定，从而改变了分布。另外，黑盒中相似度的方差比白盒中的大，说明了黑盒攻击的难度。

七、结论

        对抗性攻击的发展引发了基于DNN的人脸识别的安全问题。为了评估人脸识别模型的脆弱性，我们深入研究了威胁性的模仿攻击。本文提出了一种空间可变对抗面片方法，该方法可以在迭代过程中动态地改变面片的位置和形状。首先，介绍了贴片位置选择方案，以找到一个关键的贴片位置。然后，可微仿射变换和采样机制被应用于更新补丁扰动和基于梯度的仿射矩阵的同时。通过这样做，克服了贴片的固定形状和位置的弱点。在SOTA人脸识别模型和商业人脸识别模型上的实验结果表明，该方法能有效提高人脸识别的可移植性。对抗性补丁攻击可以大致分为对位置和形状的研究和对类自然纹理的研究。前者更关注位置和形状对斑块的影响，而后者更关注隐藏的、看似无害的对抗性斑块。在未来的工作中，我们将继续深入研究前者，目标是3D，更具攻击性的位置和形状，更小的攻击区域，使对抗补丁更容易在物理世界中实现。它将进一步促进真实世界场景中安全人脸识别系统的发展。