人脸对抗样本生成策略

已于 2022-11-06 20:17:49 修改
阅读量828 收藏 5
点赞数
文章标签: python
于 2022-11-06 20:17:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20260541/article/details/127720399
版权

人脸对抗样本生成策略

  1. 攻击前的数据预处理
  2. 攻击模型选择
  3. 攻击方法选择

1. face recognize 的流程 识别过程

一般流程是,先检测 后识别 。检测部分现在商用的moel 加入了活体检测。这个检测主要是针对于五官部分的。
正常传统的 人脸识别过程 face detection ,face alignment(没有理解这部分的作用),face recognize(进行特征提取),后面接的就是数据库查询,对比,相似度最高的那个即为那个人。

1. face detection

  人脸检测,常用的是2015年的mtcnn 工业界主要使用的是这个。
获取的是 人脸面部的五个点坐标,两个眼睛、鼻子、左右嘴唇,五个点 。然后进行透视变化 , 人脸检测中一般是将 人脸由侧脸或者其他姿态的变为正脸 进行train之前就已经变化完
  lfw 数据集的size为250*250 大小,model 的输入尺度一般 112*112 或者112*96 所以在输入train 之前需要对照片进行resize,透视变化后resize或者 透视变化那个矩阵就直接使用那个尺度。
  

2. face recognize

   人脸识别,可以理解为一个分类任务或者是一个特征提取任务。 如果比较两个人是不是同一个人,即val验证 ,这个就是得到人面部的feature map 一般为512维的特征向量 ,通过计算余弦相似度(cosface,arcface)或者 欧式距离(facenet),通过model提取到face 的feature 计算sim。

2. 攻击方法总结 attack

1.基于梯度 fgsm系列

  1. fgsm 单步迭代攻击(最原始)
  2. i-fgsm 更改迭代步数(迭代)
  3. mifgsm 添加动量项 稳定梯度下降的方向(加速下降 但是会陷入局部最优点 特别容易过拟合
  4. nifgsm 使用方差进行调整梯度下降的大小(会增大很多的计算量看个人的需求,牺牲计算资源换取提升)
  5. tifgsm 利用图像的输入不变性 对梯度进行一定的处理(线性或者平滑处理,我理解的就是相当于滤波处理)
  6. difgsm 针对于input 进行变化,传统的输入是固定的,容易过拟合,可以对input 进行resize ,论文源码里面是用过padding 填充黑边(可以使用随机颜色,这样鲁棒性会更强一些
  7. sifgsm 针对于图像进行除以固定的值输入到网络中,si将输入进行变化,中间生成的梯度进行叠加(对输入进行变化

总结下来,基于梯度的攻击,无非两种 一种是想办法对输入进行augement,尽量多样性(di,si),一种是对梯度的处理(mi,ni,ti)。归根到底的想法都是提高 adv-example的鲁棒性。

2.其他攻击方法(不是很熟悉)

  1. PGD,可以理解成ifgsm吧,但是他的初始化有一个随机噪声,所以 pgd 目前还是攻击效果最好的单种攻击方法。
  2. cw,基于优化的方法,看看就好,感觉好像没有什么人使用,如果需要使用时候在仔细研究
  3. deepfool,基于决策边界,模拟边界,想以最小的扰动去攻击model(黑盒无效)
  4. 纯黑盒的就是基于问询的那一系列
  5. One Pixel Attack 这种修改比较少的像素,感觉就很扯

3. 对扰动进行限制,或者对mask进行扰动

如果对 扰动大小进行分类就是 无限制扰动 跟有限制扰动。
无限制扰动在0-255之间,但是一般会 对区域进行限制,会寻找最小的区域或者说固定区域去攻击。这变成最重要的策略是如何选取mask。
有限制扰动,一般会限制扰动大小,这种一般是图像的,不会对区域限制。
扰动不是越大越好,扰动大了,会更加的overfitting ,扰动小了会导致你的attack 的acc 不高,这个需要进行取舍。 归根到底就是去提高对抗样本的迁移性,不要陷入overfitting。

2. face attack

还是对抗攻击那一套,但是就主要是一些trick的使用

  1. 模型的选择问题, 使用模型集成需要使用的(1. 高精度模型(决策边界很明确)跟低精度模型(决策边界需要模糊),因为不通模型的决策边界不通,低精度的model 的鲁棒性更强一些 2. 使用不同数据集训练的model,丰富数据集 模拟真实的场景 3. 使用不用结构的model facenet 使用的是vgg,在找一些resnet 或者其他的model 4. 使用添加了对抗训练的model 这个很重要 对抗训练之后的model 跟没有对抗训练的鲁棒性差别很大)
  2. input 的下采样问题 ,使用torch.nn.upsample() 这样下采样会带有原始的梯度。 下采样有双线性插值跟三线性插值 如果只使用一个线性插值,可能会导致有的点在下采样的时候没有梯度 使用下采样函数将输入的照片resize成model 的输入大小,进行回传梯度
  3. 攻击方法 可以使用集成方法 mi+di +ti +si+ni
  4. 模型集成策略 可以添加一个drop 层 控制选择哪些model 激活,随机激活 这样也可以提高adv-eaxmple 的迁移性
  5. 关于每个模型的权重问题,可以使用 sim 作为权重,优先优化精度不高的,sim比较低的模型使用(1-sim),选择一个优化方向
憨批无解
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
对抗样本生成人脸识别中的研究与应用.pdf
09-23
对抗样本生成人脸识别中的研究与应用.pdf
如何用DL4J对人脸识别模型进行攻击
dong_lxkm的博客
09-17 717
一、前言 上一篇博客《如何用DL4J构建起一个人脸识别系统》介绍了如何用DL4J构建一个人脸识别服务,在文章的结尾提到了MLAttack,本篇博客就来介绍...
对抗样本(相关知识整理)
Enjoy_endless
05-30 6044
最近在学习接触一些对抗样本的相关知识、论文,整理分享如下。 (未完待续) 1.什么是对抗样本: 在原有真实样本的基础上稍加处理,使原有分类器对其真实类别无法判别; (比如带了一个面具之后你不认识我了,或者说是批了一个羊皮,你就识别不出来我是一个人了。) 2.对抗样本有什么用: 对于人脸识别,我带上一个特制眼镜就识别不出来我是谁了; 对于安保摄像识别人的系统,我穿了一个特制衬衫,摄像头就识别不出...
信息与内容安全实验一 对抗样本攻击实验
最新发布
NiceAsiv的博客
07-08 235
题目1:根据 PyTorch 官网教程中 Adversarial Example Generation 章节内容,完整实现 FastGradient Sign Attack (FGSM)算法。
揭秘|多伦多大学反人脸识别,身份欺骗成功率达99.5%
人工智能学家
06-10 386
来源 :机器人大讲堂摘要:在一些社交媒体平台,每次你上传照片或视频时,它的人脸识别系统会试图从这些照片和视频中得到更多信息。比如,这些算法会提取关于你是谁、你的位置以及你...
AMT-GAN 人脸对抗样本 CVPR2022
mmjx2018的博客
09-05 3484
·最近,一些研究采用了对抗样本来保护照片不被未经授权的人脸识别系统识别。 ·然而,现有的生成敌对人脸图像的方法存在许多局限性,如视觉困难、白盒设置、可转移性弱,难以应用于保护人脸隐私。 ·在本文中,我们提出了adversarial makeup transfer GAN(AMT-GAN),这是一种新的人脸保护方法,旨在构建对抗人脸图像,同时保持更强的黑盒可转移性和更好的视觉质量。 AMT-GAN利用GAN用参考人脸的转移的妆容,合成对抗人脸图像。 ·特别地,我们引入了一个新的正则化模块和一个联合训
人脸生成对抗+人脸识别流程+insightface
冰雪棋书的博客
09-06 4006
一、人脸生成对抗 传统的DeepFake 需要大量的原始数据,并且要经过好几天的训练才能达到高质量的效果。 黎颢团队提出,将DeepFake和他此前做的怕GAN结合到一起,做了一个新系统。不需要大量训练数据,也可以实时地渲染出合成图像。 paGAN弥补了DeepFake需要大量训练数据的不足,简单来说是把训练队的工作量都放到台下去做。 二、人脸识别流程 过去十年,深度学习领域出现了许多先进的新算法和突破性的研究,并且引入了新的计算机视觉算法。 这一切始于 2012 年的 AlexNet。AlexNet 是一
黑盒攻击的分类_高效的基于决策的黑箱对抗攻击的人脸识别
weixin_39984105的博客
01-08 1165
引言针对当前的深度神经网络在人脸识别方面的应用,存在很多不安全的隐患,作者提出了一种针对深度神经网络的黑盒攻击攻击方法,提出了一种新的基于遗传算法的攻击方法,数据集:Wild (LFW) and MegaFace实验结果表明:这种攻击方法即使在限制对模型的查询次数也很有效,并且将其用于真实的人脸识别环境中,也攻击成功了。1、介绍本文的主要贡献(1)提出了一个在基于决策的黑盒场景下的进化攻击方法,可...
对抗图像和攻击在Keras和TensorFlow上的实现
小白学视觉
04-01 1200
点击上方“小白学视觉”,选择加"星标"或“置顶”重磅干货,第一时间送达 本文转自:计算机视觉联盟AI博士笔记系列推荐周志华《机器学习》手推笔记正式开源!可打印版本附pdf...
繁凡的对抗攻击论文精读(一)CVPR 2019 基于决策的高效人脸识别黑盒对抗攻击(清华朱军)
繁凡さん的博客
12-24 1944
《繁凡的论文精读》(一)CVPR 2019 基于决策的高效人脸识别黑盒对抗攻击(清华朱军) Efficient Decision-based Black-box Adversarial Attacks on Face Recognition
一种面向人脸活体检测的对抗样本生成算法.pdf
12-16
一种面向人脸活体检测的对抗样本生成算法.pdf
基于生成对抗网络的人脸热红外图像生成
10-15
针对此问题,提出了一种基于生成对抗网络的热红外人脸图像生成方法,采用条件生成对抗网络结合L1损失从可见光图像中生成红外热像。在USTC-NIVE数据库上的实验结果验证了所提出的红外热像生成方法的有效性。同时,将...
一种基于生成对抗网络由父母照片生成子女照片的方法.pdf
06-09
卷积神经网络。发明专利说明书。本发明公开了一种基于生成对抗网络由父 母照片生成子女照片的方法,将人脸图像数据行 划分为训练样本集与测试样本集,并对训练样本 ...建生成对抗生成器的卷积神经网络结构
Talking-Face-Generation-DAVS:对抗性纠缠的视听表示产生人脸的代码(AAAI 2019)
04-29
对抗性纠缠的视听表示形式的会说话人脸生成在这项工作中,我们提出了Disentangled Audio-Visual System (DAVS)来解决任意主题的说话人脸生成问题,该目的是合成与给定语音语义相对应的一系列人脸图像,并...
CVPR 2019 | 针对人脸识别系统的高效黑盒对抗攻击算法
Paper weekly
12-01 8384
本工作提出了一种高效的基于决策的黑盒对抗攻击算法,在业内第一次以完全黑盒的方式成功地实现对人脸识别系统的对抗攻击。本工作由腾讯 AI Lab 主导,与清华大学,香港科技大学联合完成,发表...
baseline发布!OPPO安全AI挑战赛,人脸识别对抗攻击赛题详解
Paper weekly
07-31 1293
baseline线上评测101.53分,文末附项目github地址。今年6月,由OPPO发起,OPPO安全主办的“OPPO安全AI挑战赛”正式拉开序幕。比赛主要聚焦人脸识别场景中的对抗攻击...
图像对抗算法-攻击篇(I-FGSM)
AI之路
05-31 2万+
论文:Adversarial examples in the physical world 论文链接:https://arxiv.org/abs/1607.02533 在上面一篇博客中,我介绍了FGSM算法,FGSM算法从梯度的角度做攻击,速度比较快,这是该算法比较创新的地方。但是FGSM算法只涉及单次梯度更新,有时候单次更新并不足以攻击成功,因此,在此基础上推出迭代式的FGSM,这就是I-FGS...
人脸识别技术,如何才能走得更远?
kupePoem的专栏
05-04 188
目录 一、概述 二、人脸识别攻击手段有哪些? 1、业务逻辑漏洞被利用 2、模型对抗 3、前端人脸数据被替换 三、人脸识别安全建设应该怎么做? 1、建立人脸识别安全评估机制 2、保证人脸数据存储以及传输的完整性、机密性 3、加强应用系统全生命周期的安全管理 4、提升风控能力 5、第三方人脸识别模块安全管理 四、人脸识别安全建设思考 1、人脸识别专项安全评估 2、APP安全加固+通信协议保护SDK 3、移动应用安全监测平台 一、概述 近两年,...
TensorFlow 人脸识别网络与对抗网络搭建
热门推荐
技术杂谈
11-16 4万+
本文来自作者 沧夜 在 GitChat 上分享「TensorFlow 人脸识别网络与对抗网络搭建」,「阅读原文」查看交流实录 「文末高能」 编辑 | 嘉仔 写在前面的话 本次文章坑挖的有些大,有些很不好写,想了想其实人脸识别网络大约也是一个简单的前馈神经网络。 但是这么说又没有神秘感,要是要用RNN模型又有些高射炮打蚊子。所以准备介绍介绍人脸识别是怎么回事。 这里挂一漏
有关人脸姿态估计和生成对抗网络的多姿态人脸识别
05-13
人脸姿态估计是指通过计算机视觉技术对人脸图像进行分析,推断人脸在三维空间中的朝向和角度,从而实现对人脸姿态的估计。多姿态人脸识别则是指在不同姿态下的人脸图像中进行人脸识别,这需要对人脸进行姿态归一化处理,以保证图像中的人脸具有一定的标准姿态。 生成对抗网络(GAN)是一种深度学习模型,它可以学习生成与训练数据相似的新数据,并在这些数据中产生新的样本。在人脸姿态估计和多姿态人脸识别中,GAN可以用于生成具有不同姿态的人脸图像,以增加训练数据的多样性和逼真度。 在实践中,人脸姿态估计和多姿态人脸识别通常结合使用。例如,可以使用人脸姿态估计来将图像中的人脸归一化到标准姿态,然后使用多姿态人脸识别来进行人脸识别。同时,GAN也可以用来生成具有不同姿态的标准人脸图像,以增加训练数据的多样性和逼真度,从而提高人脸识别的准确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值