没有合适的资源?快使用搜索试试~ 我知道了~
77140高效的基于决策的黑盒对抗性攻击人脸识别0董银鹏1,苏航1,吴宝源2,李志峰2,刘伟2,张同3,朱军1�01 计算机科学与技术系,BNRist中心,智能技术与系统国家重点实验室,1人工智能研究院,清华大学,北京,100084,中国2 腾讯AI实验室3 香港科技大学0dyp17@mails.tsinghua.edu.cn, suhangss@mail.tsinghua.edu.cn, wubaoyuan1987@gmail.com0michaelz�i@tencent.com, wl2223@columbia.edu, tongzhang@tongzhang-ml.org, dcszj@mail.tsinghua.edu.cn0摘要0由于深度卷积神经网络(CNN)的巨大改进,人脸识别在近年来取得了显著的进展。然而,深度CNN对对抗性示例是脆弱的,这可能在具有安全敏感目的的现实世界人脸识别应用中造成严重后果。对抗性攻击被广泛研究,因为它们可以在部署之前识别模型的脆弱性。在本文中,我们评估了最先进的人脸识别模型在基于决策的黑盒攻击设置中的鲁棒性,攻击者在该设置中无法访问模型参数和梯度,只能通过向目标模型发送查询来获取硬标签预测。这种攻击设置在现实世界的人脸识别系统中更加实用。为了提高先前方法的效率,我们提出了一种进化攻击算法,它可以模拟搜索方向的局部几何并减少搜索空间的维数。广泛的实验证明了所提方法的有效性,它可以在较少的查询次数下对输入人脸图像进行最小扰动。我们还成功地将所提方法应用于攻击一个现实世界的人脸识别系统。01. 引言0深度卷积神经网络(CNN)[26, 29,11]的最新进展在广泛的计算机视觉任务中取得了显著的性能改进。作为最重要的计算机视觉任务之一,人脸识别已经得到了深度CNN的极大促进。[31, 28, 23, 33, 16, 32,5]。人脸识别通常有两个子任务:人脸验证和人脸识别[12,15]。前者区分一对人脸图像是否代表相同的身份,而后者对图像进行分类。0� 通讯作者。0一个“黑盒”模型0原始图像01,000次查询010,000次查询0100,000次查询0假0真0真0真0图1.决策黑盒攻击设置的演示。给定一个黑盒模型,攻击者使用查询生成具有最小扰动的对抗性示例。0将身份验证到一个身份。最先进的人脸识别模型通过使用深度CNN提取具有最小类内方差和最大类间方差的人脸特征来实现这两个任务。由于这些模型的出色性能,人脸识别已被广泛应用于诸多应用中,如金融/支付、公共访问、犯罪识别等。尽管在各种应用中取得了巨大成功,但深度CNN已被证明对对抗性示例[30, 9, 19,6]是脆弱的。这些恶意生成的对抗性示例往往通过添加小的扰动对于人类观察者来说与合法示例无法区分,但它们可以使深度模型产生错误的预测。基于深度CNN的人脸识别系统也显示出对此类对抗性示例的脆弱性。例如,可以对眼镜进行对抗性扰动,当佩戴时,允许攻击者逃避被识别或冒充另一个个体。在现实世界的应用中,特别是那些具有敏感目的的应用中,人脸识别系统的不安全性可能导致严重后果和安全问题。为了评估人脸识别系统在现实世界应用中的鲁棒性,对抗性攻击可以作为一个重要的替代,因为它们可以识别出模型的脆弱性。77150这些系统[2]有助于提高鲁棒性[9,18]。然而,现有的面部识别攻击方法[24,25]主要基于白盒情景,攻击者了解被攻击系统的内部结构和参数。因此,攻击目标函数可以直接通过基于梯度的方法进行优化。在现实世界的情况下,攻击者无法获取模型细节。相反,我们关注更现实和更一般的决策为基础的黑盒情景[1],除了攻击者只能查询目标模型并获得相应的硬标签预测之外,不公开任何模型信息。攻击的目标是通过有限的查询生成具有最小扰动的对抗性示例。这种攻击情景更具挑战性,因为无法直接计算梯度并提供预测概率。另一方面,这更加现实和重要,因为大多数现实世界的面部识别系统都是黑盒的,只提供硬标签输出。据我们所知,这是首次尝试在这种情况下对面部识别进行对抗性攻击。已经提出了几种方法[1, 14,4]来执行基于决策的黑盒攻击。然而,它们在效率上存在不足,通常需要大量的查询才能收敛,或者在有限的查询预算下得到相对较大的扰动。因此,我们考虑如何通过减少查询次数来有效生成决策为基础的黑盒攻击的对抗性示例。为了解决上述问题,我们提出了一种进化攻击方法,用于在决策为基础的黑盒情景中通过仅查询来以黑盒方式优化它。我们的方法可以通过建模局部几何来找到更好的搜索方向。它通过减少搜索空间的维度进一步提高效率。我们将所提出的方法应用于全面研究几种最先进的面部识别模型的鲁棒性,包括SphereFace [16],CosFace [32]和ArcFace[5],在决策为基础的黑盒情景下。在诸如Labeled Face inthe Wild (LFW) [12]和MegaFace Challenge[15]等最流行的公共领域面部识别数据集上进行了大量实验,证明了所提出方法的有效性。我们进一步应用我们的方法来攻击一个现实世界的面部识别系统,以展示其实际适用性。总之,我们的主要贡献是:0•我们提出了一种新颖的进化攻击方法,用于决策为基础的黑盒情景下,可以模拟搜索方向的局部几何,并同时减少搜索空间的维度。进化攻击方法通常适用于任何图像识别任务,并且显著0改进了现有方法的效率。•我们通过决策为基础的黑盒攻击在各种情景下全面评估了几种最先进的面部识别模型的鲁棒性。我们展示了这些面部模型在这种情况下的脆弱性。•我们通过成功攻击一个现实世界的面部识别系统展示了所提出方法的实际适用性。02. 相关工作0深度面部识别。DeepFace [31]和DeepID[28]将面部识别视为多类别分类问题,并使用深度卷积神经网络通过softmax损失进行监督学习特征。Triplet loss[23]和center loss[33]被提出来增加特征空间中类别之间的欧几里德间隔。SphereFace[16]提出了角度softmax损失来学习角度判别特征。CosFace [32]使用大边界余弦损失来最大化余弦边界。ArcFace[5]提出了加性角度边界损失来学习高度判别特征。面部识别的对抗性攻击。深度卷积神经网络对对抗性示例[30, 9,19]非常脆弱。面部识别也显示出对攻击的脆弱性。在[24]中,扰动被限制在眼镜区域,并由基于梯度的方法生成,即使在物理世界中也可以欺骗面部识别系统。对抗性眼镜也可以通过生成网络[25]产生。然而,这些方法依赖于面部识别模型的白盒操作,这在实际应用中是不现实的。相反,我们关注在决策为基础的黑盒攻击情景中评估面部识别模型的鲁棒性。黑盒攻击。黑盒攻击可以分为基于转移、基于分数和基于决策的攻击。基于转移的攻击为白盒模型生成对抗性示例,并基于可转移性攻击黑盒模型[17,6]。在基于分数的攻击中,模型给出了预测概率。几种方法依赖于近似梯度生成对抗性示例[3,14]。在基于决策的攻击中,我们只能获得硬标签预测。边界攻击方法基于决策边界上的随机行走[1]。基于优化的方法[4]将此问题形式化为连续优化问题,并估计用于优化的梯度。然而,它需要通过二分搜索计算沿某个方向到决策边界的距离。在[14]中,通过硬标签预测估计预测概率。然后,使用自然进化策略(NES)来最大化目标类概率或最小化真实类概率。这些方法通常需要大量的查询才能生成具有最小扰动的对抗性示例,或者在少量查询中收敛到较大扰动。̸771603. 方法论0在本节中,我们首先介绍面向面部识别模型的基于决策的黑盒攻击设置,然后详细介绍所提出的进化攻击方法。03.1. 攻击设置0设f(x):X→Y(X�Rn)表示面部识别模型,该模型预测输入面部图像的标签。对于面部验证,模型依赖于另一张面部图像来确定一对图像是否属于同一身份,并输出二进制标签Y={0,1}。对于面部识别,模型f(x)将输入图像x与一组面部图像进行比较,然后将x分类为特定身份。因此,它可以被视为一个多类分类任务,其中Y={1,2,...,K},K是身份数量。尽管面部识别模型f(x)使用了额外的面部图像或一组面部图像来识别x,但为简单起见,我们没有明确描述f(x)对比图像的依赖性。给定一个真实的面部图像x,攻击的目标是生成一个在x附近但被模型错误分类的对抗性面部图像x�。这可以通过解决一个约束优化问题来实现。0min x� D(x�,x),s.t. C(f(x�))=1,(1)0其中D(∙,∙)是距离度量,C(∙)是一个对抗性准则,如果满足攻击要求则为1,否则为0。我们使用L2距离作为D。公式(1)中的约束问题可以等价地重新表述为以下无约束优化问题。0min x� L(x�)=D(x�,x)+δC(f(x�))=1,(2)0其中δ(a)=0,如果a为真,否则δ(a)=+∞。通过优化公式(2),我们可以得到一个具有最小扰动的图像x�,根据准则也是对抗性的。注意,在上述目标函数中,C不能被定义为诸如交叉熵损失之类的连续准则,因为该问题中的模型f(x)只给出离散的硬标签输出。特别地,我们根据以下两种类型的攻击来指定C。躲避攻击对应于生成一个被错误识别或未被识别的对抗性图像。躲避攻击可以用于保护个人隐私免受过度监视。对于面部验证,给定一对属于同一身份的面部图像,攻击者试图修改一张图像,并使模型将其识别为不同身份。因此,准则是C(f(x�))=I(f(x�)=0),其中I是指示函数。对于面部识别,攻击者生成一个对抗性面部图像,目的是被识别为任何其他身份。准则是C(f(x�))=I(f(x�)≠y),其中y是真实图像x的真实身份。0模仿攻击的作用是寻找一张被识别为特定身份的对抗性图像,这可以用于逃避面部认证系统。对于面部验证,攻击者试图找到一张被识别为另一张图像相同身份的对抗性图像,而原始图像并不属于相同身份。准则是C(f(x�))=I(f(x�)=1)。对于面部识别,生成的对抗性图像需要被分类为特定身份y�,所以C(f(x�))=I(f(x�)=y�)。03.2. 进化攻击0由于我们无法访问f(x)的配置和参数,只能通过发送查询来探测模型,因此我们采用黑盒优化技术来最小化公式(2)中的目标函数。梯度估计方法[20, 8,7]通过有限差分近似目标函数的梯度,并通过梯度下降更新解决方案,这在基于分数的黑盒攻击中常用,当模型给出预测概率时[3,14]。然而,在硬标签输出的情况下,攻击目标函数是不连续的,输出对小的输入扰动不敏感。因此,梯度估计方法不能直接使用。一些方法[4,14]成功地将公式(2)中的不连续优化问题重新表述为一些连续优化问题,并使用梯度估计方法进行优化。但是,它们需要计算点到决策边界的距离或通过硬标签输出估计预测概率,这在实验中效率较低。因此,我们考虑如何高效地直接优化公式(2)。在本文中,我们提出了一种新颖的进化攻击方法来解决黑盒优化问题。我们的方法基于一种简单而高效的协方差矩阵适应进化策略(CMA-ES)的变体(1+1)-CMA-ES。在(1+1)-CMA-ES的每次更新迭代中,通过添加随机噪声从父代(当前解决方案)生成一个新的后代(候选解决方案),评估这两个解决方案的目标,并选择更好的一个用于下一次迭代。这种方法能够解决黑盒优化问题。然而,直接应用(1+1)-CMA-ES来优化公式(2)由于x*的高维度而效率低下。考虑到面部图像决策性黑盒攻击的查询限制,原始的(1+1)-CMA-ES可能是不可行的。为了加速这个算法,我们设计了一个适当的分布来在每次迭代中采样随机噪声,该分布可以模拟搜索方向的局部几何。我们还提出了几种通过考虑该问题的特殊特性来减少搜索空间维度的技术。整体进化攻击算法的概述见算法1。与原始的n维输入不同,Pz∼N (0,σ2C)�L(˜x∗ + z) < L(˜x∗)�≤ 4λmax∥˜x∗ − x∥2σ2λ2minn2.3.2.3Covariance Matrix Adaptation77170算法 1 攻击算法 输入:攻击目标函数 L ( x � );原始人脸图像x;输入空间( x � ∈ R n )的维度 n ∈ N + ;搜索空间的维度 m∈ N + ;随机坐标选择的坐标数 k ∈ N + 。输入:总查询次数 T。1:初始化 C = I m , p c = 0 , σ , µ , c c , c cov ∈ R +, ˜ x � ∈ R n ;2:对于 t = 1 到 T ,执行以下步骤:3:从 N ( 0, σ 2 C ) 中采样 z ;4:根据 C 中的每个对角元素的比例,在 m中随机选择 k 个坐标进行搜索;5:将 z 的非选择坐标设为 0;6:通过双线性插值将 z 放大到 R n ,得到 ˜ z ;7:˜ z ← ˜ z +µ ( x − ˜ x � ) ;8:如果 L (˜ x � + ˜ z ) < L (˜ x � ),则执行以下步骤:9:˜ x � ← ˜ x � + ˜ z;10:根据公式(3)和公式(4)根据 z 更新 p c 和 C;11:结束条件判断;12:结束循环;13:返回 ˜ x � 。0在一个较低维度的空间 R m 中进行搜索0其中 m < n 。在每次迭代中,我们首先从 N ( 0 , σ 2 C )中采样一个随机向量 z ,使得 z ∈ R m ,其中 C是一个对角协方差矩阵,用于建模搜索方向的局部几何。然后,根据假设,我们随机选择 k个坐标进行搜索,认为只有一小部分像素对于找到对抗性图像是重要的。我们通过将 z 的选择坐标的值设置为 0 来保留z 的值。我们通过双线性插值将 z 放大到输入空间,并得到˜ z ∈ R n 。我们进一步添加一个偏差项到 ˜ z,以最小化对抗性图像与原始图像之间的距离。最后,我们测试是否得到了更好的解决方案。如果确实找到了更好的解决方案,我们跳转到该解决方案并更新协方差矩阵。接下来,我们将详细描述算法中的每个步骤。03.2.1 初始化0在算法 1 中,首先需要初始化 ˜ x � (在第 1步)。如果初始的 ˜ x � 不满足对抗性准则,即 L (˜ x � ) 等于+ ∞。对于后续的迭代,添加一个随机向量很难使搜索点对抗性,因为深度卷积神经网络通常对随机噪声具有鲁棒性 [ 30],因此损失函数将保持为 + ∞ 。因此,我们将 ˜ x �初始化为已经满足对抗性准则的样本。随后的更新也将保持˜ x � 的对抗性,并同时最小化 ˜ x � 与 x之间的距离。对于躲避攻击,初始的 ˜ x �可以简单地设置为一个随机向量。对于冒充攻击,我们使用目标图像作为 ˜ x � 的初始点。03.2.2 高斯分布的均值0我们解释为什么需要在第 7步中给随机向量添加一个偏差项。现在假设搜索空间的维度为0搜索空间与输入空间相同,我们选择所有坐标进行搜索(即k = m =n)。在每次迭代中,从高斯分布中随机采样一个向量z。一般来说,分布应该是无偏的(均值为零),以便更好地在搜索空间中进行探索。但是在我们的问题中,从零均值的高斯分布中采样随机向量将导致更新的概率接近零,当 n→ ∞ 时,由定理 1 给出。定理 1(附录 A中的证明)假设协方差矩阵 C 是正定的。设 λ max 和 λmin(> 0)分别是 C 的最大和最小特征值。那么,我们有0根据定理 1 ,我们需要从零均值的高斯分布中抽取 O ( n 2 )个样本,才能获得一个成功的更新,当 n很大时,这是低效且昂贵的。这是因为在高维搜索空间中,随机抽取的向量 z 几乎与 ˜ x � − x 正交,因此距离 D (˜ x � +z , x ) 很少会小于 D (˜ x � , x )。为了解决这个问题,随机向量 z 应该从一个偏向最小化 ˜x � 与原始图像 x 之间距离的分布中进行采样。因此,在第 7步中,我们将一个偏差项 µ ( x − ˜ x � ) 添加到 ˜ z 中,其中µ 是一个关键的超参数,用于控制向原始图像 x前进的强度。我们将在第 3.2.6 节中详细说明 µ的更新过程。0协方差矩阵C的适应性适用于解决非可分离的优化问题,因为它可以模拟搜索方向的局部几何形状[10]。例如,适当设置的协方差矩阵可以使生成的随机向量主要朝着狭窄山谷的方向。在学习所有成对维度之间的依赖关系时,协方差矩阵的存储和计算复杂度至少为O(m^2),当m很大时,这是不可接受的。对于黑盒对抗性攻击,搜索空间的维度非常大(例如,在我们的实验中,m = 45 × 45 ×3)。因此,我们将协方差矩阵放松为对角矩阵以实现高效计算。受到使用对角协方差矩阵进行CMA-ES的[22]的启发,我们设计了一个更新规则,用于每次成功试验后对对角协方差矩阵C的适应性更新(在步骤10中),如下所示:0pc = (1 - cc)pc + �0cc(2 - cc)z0σ,(3)0cii = (1 - ccov)cii + ccov(pc)^2i,(4)0其中pc∈Rm被称为进化路径,因为它存储了指数衰减的成功搜索方向;对于i =1,...,m,cii是C的对角元素,(pc)i是pc的第i个元素。cc和ccov是两个超参数77180模型SphereFace[16] CosFace[32] ArcFace[5]0查询 1,000 5,000 10,000 100,000 1,000 5,000 10,000 100,000 1,000 5,000 10,000 100,0000躲避0边界[1] 2.3e-2 9.3e-3 7.0e-4 1.9e-5 2.0e-2 7.5e-3 7.7e-4 1.6e-5 2.4e-2 1.6e-2 1.5e-3 2.3e-50优化[4] 1.2e-2 2.9e-3 1.3e-3 7.1e-5 1.1e-2 2.9e-3 1.3e-3 6.6e-5 1.5e-2 5.4e-3 2.6e-3 9.9e-50NES-LO[14] 1.4e-1 3.8e-2 2.4e-2 7.4e-3 1.4e-1 3.5e-2 2.0e-2 6.5e-3 1.4e-1 3.9e-2 2.3e-2 1.5e-20进化 1.6e-3 8.9e-5 3.4e-5 1.3e-5 1.7e-3 9.1e-5 3.3e-5 1.1e-5 2.8e-3 1.5e-4 5.2e-5 1.6e-50冒充0边界[1] 1.5e-2 6.3e-3 5.7e-4 1.6e-5 1.1e-2 2.9e-3 2.8e-4 7.4e-6 2.0e-2 9.2e-3 1.2e-3 1.7e-50优化[4] 1.1e-2 3.3e-3 1.3e-3 6.1e-5 7.7e-3 1.9e-3 7.1e-4 2.8e-5 1.6e-2 7.0e-3 3.3e-3 7.7e-50NES-LO[14] 8.4e-2 2.6e-2 1.7e-2 5.5e-3 9.3e-2 2.0e-2 1.2e-2 3.1e-3 9.3e-2 3.0e-2 1.9e-2 8.1e-30进化 1.2e-3 7.2e-5 2.9e-5 1.2e-5 6.5e-4 3.7e-5 1.5e-5 5.3e-6 2.3e-3 1.2e-4 3.9e-5 1.2e-50表1. 针对人脸验证的结果。我们基于LFW数据集,给出了SphereFace、CosFace和ArcFace在1,000、5,000、10,000和100,000个查询下不同方法生成的对抗性图像的平均失真(MSE)。0CMA的直观解释是,未来的搜索应该扩大沿着过去成功方向的方差。03.2.4 随机坐标选择0对于对抗性攻击,添加到图像中的扰动可能非常稀疏,以欺骗深度卷积神经网络[27],这表明只有一小部分坐标(像素)足以找到对抗性图像。如果我们能够确定重要的坐标,我们还可以加速黑盒优化。然而,在基于决策的黑盒攻击设置中,这是非常困难的。幸运的是,我们的算法提供了一种自然的方法来寻找搜索中有用的坐标,因为协方差矩阵C中的元素表示过去成功试验的首选坐标,即较大的cii表示基于过去的经验,沿着第i个坐标进行搜索可能会导致更高的成功率。根据这一点,在每次迭代中,我们选择k(k�m)个坐标来生成随机向量z,选择第i个坐标的概率与cii成比例(在步骤4-5中)。03.2.5 降维0已经证明,搜索空间的降维对于加速黑盒攻击[ 3]是有用的。基于此,我们在较低维度空间 R m中对随机向量 z进行采样(第3步)。然后,我们采用一个上采样算子将 z投影到原始空间 R n中(第6步)。请注意,我们不改变输入图像的维度,只是减少搜索空间的维度。具体而言,我们使用双线性插值方法作为上采样算子。03.2.6 超参数调整0在提出的算法中还有几个超参数,包括 σ , µ , c c 和 c cov。我们简单地设置 c c = 0.01 和 c cov = 0.001 。根据直觉, σ 应该在 x距离减小时逐渐缩小,因此将 σ 设置为 0.01 ∙ D(˜ x � , x ) 。 µ是一个需要仔细调整的关键超参数。如果 µ太大,搜索点可能会违反对抗性准则,更新的成功率较低。另一方面,如果 µ太小,我们在最小化 ˜ x � 和 x之间的距离方面进展很小,尽管成功率很高。因此,我们采用了1/5的成功规则[ 21 ],这是一种进化策略中用于超参数控制的传统方法,用于更新 µ ,即µ = µ ∙ exp( P success − 1 / 5 ) ,其中 P success是过去几次试验的成功率。0如果 µ 太小,尽管成功率很高,但我们在最小化 ˜ x � 和 x之间的距离方面进展很小。因此,我们采用了1/5的成功规则[ 21],这是一种进化策略中用于超参数控制的传统方法,用于更新 µ ,即 µ = µ ∙ exp( P success − 1 / 5 ) ,其中 Psuccess 是过去几次试验的成功率。04. 实验0在本节中,我们展示了提出的进化攻击方法的实验结果,以证明其有效性。我们全面评估了几种最先进的人脸识别模型在基于决策的黑盒攻击场景下的鲁棒性。我们进一步将提出的方法应用于攻击一个真实的人脸识别系统,以证明其实际适用性。04.1. 实验设置0目标模型。我们研究了三种最先进的人脸识别模型,包括SphereFace [ 16 ],CosFace [ 32 ] 和 ArcFace [ 5]。在测试中,首先通过这些模型提取每个图像的特征表示。然后计算不同图像之间的余弦相似度。最后,我们使用阈值策略和最近邻分类器进行人脸验证和识别。数据集。我们在Labeled Face in the Wild (LFW) [ 12 ] 和 MegaFace [ 15]数据集上进行实验。对于人脸验证,在每个数据集中,我们选择500对用于躲避攻击的人脸图像,其中每对表示相同的身份。另外,我们选择另外500对用于冒充攻击的人脸图像,其中每对的图像来自不同的身份。对于人脸识别,在每个数据集中,我们选择500个不同身份的图像作为画廊集,并选择相应的500个相同身份的图像作为探测集。我们对探测集中的图像进行躲避和冒充攻击。对于冒充攻击,目标身份是随机选择的。输入图像的大小(即输入空间的维度 n )为112 × 112 × 3。所有选择的图像都可以被这三个人脸识别模型正确识别。比较方法。我们将进化攻击方法的性能与所有现有方法进行比较,用于Queries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionarySphereFaceCosFaceArcFaceQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionaryQueries#104012345678910Distortion10-510-410-310-210-1100BoundaryOptimizationNES-LOEvolutionarySphereFaceCosFaceArcFace77190模型 SphereFace [ 16 ] CosFace [ 32 ] ArcFace [ 5 ]0查询 1,000 5,000 10,000 100,000 1,000 5,000 10,000 100,000 1,000 5,000 10,000 100,0000躲避0边界 [ 1 ] 2.4e-2 6.5e-3 4.7e-4 1.4e-5 2.0e-2 5.1e-3 5.4e-4 1.2e-5 3.1e-2 1.7e-2 1.6e-3 2.3e-50优化 [ 4 ] 1.1e-2 2.1e-3 8.3e-4 4.6e-5 1.0e-2 2.0e-3 8.2e-4 4.0e-5 2.0e-2 6.1e-3 2.7e-3 9.8e-50NES-LO [14] 1.4e-1 4.0e-2 2.5e-2 5.5e-3 1.5e-1 3.6e-2 2.2e-2 4.7e-3 1.5e-1 4.5e-2 3.1e-2 1.3e-20进化 1.3e-3 6.6e-5 2.5e-5 9.9e-6 1.2e-3 6.2e-5 2.3e-5 7.5e-6 3.2e-3 1.6e-4 5.4e-5 1.6e-50冒充攻击0Boundary [1] 2.4e-2 1.1e-2 1.7e-3 3.6e-5 2.5e-2 8.9e-3 1.3e-3 2.3e-5 2.5e-2 1.3e-2 2.5e-3 3.8e-50优化 [4] 1.9e-2 7.7e-3 3.7e-3 1.6e-4 1.9e-2 7.1e-3 3.3e-3 1.1e-4 2.0e-2 1.1e-2 6.0e-3 3.5e-40NES-LO [14] 7.9e-2 3.8e-2 2.8e-2 1.0e-2 8.8e-2 3.7e-2 2.7e-2 8.8e-3 8.8e-2 3.4e-2 2.3e-2 1.1e-20进化 2.5e-3 1.6e-4 6.3e-5 2.3e-5 2.2e-3 1.3e-4 4.6e-5 1.5e-5 3.7e-3 2.5e-4 8.8e-5 2.6e-50表2.面部识别结果。我们报告了基于LFW数据集,针对SphereFace、CosFace和ArcFace使用不同方法生成的对抗性图像的平均失真(MSE),给定1,000、5,000、10,000和100,000个查询。0躲避攻击 冒充攻击0图2.面部验证结果。我们展示了基于LFW数据集,针对SphereFace、CosFace和ArcFace使用不同攻击方法生成的对抗性图像的平均失真(MSE)随查询次数的曲线。0基于决策的黑盒攻击,包括边界攻击方法[1],基于优化的方法[4]和在仅标签设置下的NES扩展(NES-LO)[14]。评估指标。对于所有方法,生成的对抗性示例都保证是对抗性的。因此,我们通过均方误差(MSE)来衡量对抗性和原始图像之间的失真,以评估不同方法的性能[1]。我们为每个图像的最大查询次数设置为100,000次,跨所有实验。由于空间限制,我们将MegaFace数据集的结果留在附录B中。两个数据集上的结果是一致的。我们的方法通常适用于人脸识别之外的领域。我们进一步展示了01 图像被归一化为[0, 1]。0躲避攻击 冒充攻击0图3.面部识别结果。我们展示了基于LFW数据集,针对SphereFace、CosFace和ArcFace使用不同攻击方法生成的对抗性图像的平均失真(MSE)随查询次数的曲线。0ImageNet数据集的结果请参见附录C。04.2. 实验结果0我们在本节报告了LFW数据集上的结果。我们分别针对SphereFace、CosFace和ArcFace使用边界攻击、优化、NES-LO和提出的进化方法进行躲避攻击和冒充攻击。对于我们的方法,我们将搜索空间的维度设置为m =45×45×3,对于随机坐标选择,k = m /20。对于其他方法,我们采用默认设置。我们计算了每种方法生成的对抗性图像与原始图像之间的失真(MSE),并对选择的500个图像进行平均。此外,面部验证的失真曲线显示在图2中,面部识别的失真曲线显示在图3中。此外,2.4e-57.4e-51.0e-33.3e-31.7e-21.3e-19.9e-62.5e-54.1e-41.4e-31.2e-26.1e-2Queries0200040006000800010000Distortion10-510-410-310-210-1m=15#15#3m=30#30#3m=45#45#3m=60#60#3m=112#112#3Queries0200040006000800010000Distortion10-510-410-310-210-1m=15#15#3m=30#30#3m=45#45#3m=60#60#3m=112#112#3Queries0200040006000800010000Distortion10-510-410-310-210-1m=15#15#3m=30#30#3m=45#45#3m=60#60#3m=112#112#3Queries0200040006000800010000Distortion10-510-410-310-210-1m=15#15#3m=30#30#3m=45#45#3m=60#60#3m=112#112#3Queries0200040006000800010000Distortion10-510-410-310-210-1m=15�15�3m=30�30�3m=45�45�3m=60�60�3m=112�112�3Queries0200040006000800010000Distortion10-510-410-310-210-1m=15�15�3m=30�30�3m=45�45�3m=60�60�3m=112�112�377200原始对 0个查询 100个查询 1,000个查询 2,000个查询 10,000个查询 100,000个查询0原始对 0个查询 100个查询 1,000个查询 2,000个查询 10,000个查询 100,000个查询0躲避攻击冒充攻击0图4. 对ArcFace[5]模型进行躲避和冒充攻击的示例。初始对抗性图像是随机噪声或每种攻击的目标图像。对抗性图像与原始图像之间的失真逐渐减小。我们显示了每个点的总查询次数和均方误差。0SphereFace CosFace ArcFace0不使用CMA,不使用SCS 2.6e-4/1.9e-4 2.5e-4/9.2e-5 4.2e-4/2.6e-40使用CMA,使用SCS(C)1.7e-4/1.3e-4 1.6e-4/6.4e-5 2.6e-4/1.7e-40使用CMA,使用SCS(I_n)2.0e-4/1.5e-4 1.9e-4/7.5e-5 3.0e-4/2.0e-40表3.将进化方法与四种设置进行比较:不使用CMA或SCS;使用CMA,不使用SCS;使用CMA和SCS,其中选择概率与C中的元素成比例;使用CMA和SCS,其中选择概率相等。我们报告了给定10,000个查询的躲避/伪装攻击面部验证的平均失真(MSE)。0对于1,000、5,000、10,000和100,000个查询,我们在表1中报告了面部验证中不同方法的相应失真值,而在表2中报告了面部识别中的失真值。图4中还展示了躲避和伪装攻击的两个视觉示例。以上结果表明,我们的方法在两个任务(即面部验证和识别)、两种攻击设置(即躲避和伪装)和所有面部模型中都比其他方法更快地收敛并实现更小的失真。例如,如表1和2所示,给定5,000个查询,我们的方法获得的失真约为第二好的方法(即优化)生成的失真的30倍,这验证了所提出方法的有效性。从图4中可以看出,2,000个查询足以生成在视觉上无法区分的对抗性示例。对于NES-LO,首先使用硬标签预测来估计预测概率(例如25个查询),然后通过NES(例如40次尝试)来逼近梯度。因此,该方法仅对一个更新需要超过1,000个查询,这导致了最差的结果。值得注意的是,面部识别模型对对抗性示例非常脆弱。这些模型可以被仅具有约1e-5失真的对抗性示例以黑盒方式欺骗,这对人类来说是无法察觉的,如图4所示。0SphereFaceCosFaceArcFace0躲避攻击 伪装攻击0图5.我们展示了进化方法在不同搜索空间维度下生成的对抗性图像的平均失真(MSE)曲线。我们对SphereFace、CosFace和ArcFace进行了躲避和伪装攻击的面部验证。04.3.消融研究0我们在本节进行消融研究,以验证所提出方法中每个组成部分的有效性。我们基于LFW数据集进行了基于面部验证的实验。特别地,我们分别研究了协方差矩阵适应、随机坐标选择和降维的影响。协方差矩阵适应(CMA)。为了检查77210为了评估CMA的有效性,我们将CMA与将协方差矩阵设置为I_n且不进行更新的基准方法进行比较。在这部分中,我们不包括随机坐标选择或降维,仅仅为了检查CMA的效果。我们在表3的前两行中展示了给定10,000个查询的平均失真结果。CMA改善了基准方法的结果。随机坐标选择(SCS)。我们研究了SCS的两个方面。第一个方面是SCS是否有用。第二个方面是我们是否应该选择与协方差矩阵C中对角元素成比例的坐标。我们进一步进行了带有SCS的实验,比较了SCS的性能,其中每个坐标的选择概率与C或I_n中的每个对角元素成比例(每个坐标的概率相等)。通过比较表3的第2-4行,可以看出SCS有助于获得更好的结果,并且以c_ii成比例的概率采样坐标优于等概率采样。降维。我们最后研究了降维的影响。我们将搜索空间的维度设置为15×15×3、30×30×3、45×45×3、60×60×3和112×112×3。我们对SphereFace、CosFace和ArcFace进行了dodging和impersonation攻击,并在图5中比较了结果。可以看出,在较低维度的搜索空间中,进化方法收敛更快。然而,如果搜索空间的维度太小(例如15×15
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 4
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- RTL8188FU-Linux-v5.7.4.2-36687.20200602.tar(20765).gz
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
- SPC统计方法基础知识.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功