频率对抗攻击在人脸伪造检测中的应用研究

4103频率对抗攻击在人脸伪造检测中的应用研究帅佳1超马1*姚太平2殷邦杰2丁守宏2杨小康11上海交通大学人工智能研究所MoE人工智能重点实验室2腾讯优图实验室{jiashuai，chaoma，xkyang} @ sjtu.edu.cn{taipingyao，ericshding} @ tencent.com，jamesyin10@gmail.com摘要各种各样的面部操作技术在道德、安全和隐私方面引起虽然现有的人脸伪造分类器在检测伪造图像方面取得了很好的性能，但这些方法容易受到对像素注入不可感知扰动的对抗性样本的影响同时，许多人脸伪造检测器往往利用真假人脸之间的频率差异作为重要线索。在本文中，而不是注入对抗扰动到空间域中，我们提出了一种频率对抗攻击方法对人脸伪造检测器。具体地说，我们对输入图像进行离散余弦变换（DCT），并引入了一个融合模块，在频域中捕捉广告 的 显 著 区 域 与 现 有 的 对 抗 性 攻 击 （ 如 FGSM ，PGD）在空间域相比，我们的方法是更不可感知的人类观察者，并没有降低原始图像的视觉质量。此外，受元学习思想的启发，我们还提出了一种混合对抗攻击，在空间和频率域都执行攻击。大量实验表明，该方法不仅可以有效地欺骗基于空间的检测器，而且可以有效地欺骗最新的基于频率的检测器。此外，所提出的频率攻击增强了黑盒攻击在人脸伪造检测器之间的可转移性。1. 介绍随着生成对抗网络（GAN）的快速发展，人脸伪造生成引起了越来越多的关注，例如Deepfake [46]，FaceSwap [25]，Face2Face [45]和NeuralTextures [44]。这些技术衍生出许多有趣的应用，例如，在电影行业中虚拟尝试化妆和编辑面部。然而，尽管有积极的一面，人脸伪造生成可能被恶意滥用，造成严重的问题*通讯作者。(a) [51]第51话第一次见面(c)PGD [31]（d）Ours图1. FGSM [15]，PGD [31]和我们的方法生成的对抗性示例的说明。原始图像被人脸伪造检测器分类为假人脸。在实施这些攻击后，对抗性的例子被误分类为真实的面孔。与FGSM [15]和PGD [31]相比，我们与频率对抗攻击相关联的方法生成了更多的自然扰动，其中对抗示例的图像质量更接近原始图像。安全和隐私。因此，设计一种人脸伪造检测方法来区分伪造的人脸和真实的人脸是非常必要的。提出了各种人脸伪造检测器[1，7，8，38]来学习真实和虚假人脸之间的决策边界，并在多个数据集上实现显着性能[9，37]。然而，现有的方法容易受到不利实例的影响，这给检测器的安全性留下了严重的后门。例如，一个伪造的人脸图像，通过添加对抗性扰动被正确地分类为假的，4104它可以欺骗检测器，使其做出错误的决定。现有的工作[4，13，21，26，34]已经探索了人脸伪造检测方法的鲁棒性，但是这些方法在原始图像上添加了对抗性扰动或补丁，这很容易被人眼识别。简而言之，对抗性示例旨在欺骗面部伪造检测器，而面部伪造生成的目标是欺骗人类。同时欺骗人类和检测器的隐式攻击同时，越来越多的研究[5，36]将真实人脸和虚假人脸之间的频率差异作为人脸伪造检测的重要线索。它启发我们在频域进行对抗攻击，以提高在各种检测器之间的可转移性。为了解决上述问题，我们提出了一种频率对抗攻击方法，在频域中添加对抗扰动。首先，我们应用离散余弦变换（DCT）将输入图像转换到频域。具体来说，我们利用融合模块通过对抗性损失稍微修改不同频带中的能量。将对手间接注入到频率域避免了空间域 中 攻 击 的 冗 余 噪 声 （ 例 如 ， FGSM [51] ， PGD[31]），并且不会降低原始图像的视觉质量之后，我们将逆DCT应用到空间域，并获得最终的对抗性示例。对于人脸伪造检测器，一些现有的方法[41，53]只考虑空间域中的噪声模式来检测伪造人脸，而其他方法[28，30，36]利用频率信息作为线索。此外，一些方法[5，27，32]结合了两个领域的区分特征来学习真实和虚假人脸之间的边界因此，为了提高攻击方法的通用性，我们提出了一种混合对抗攻击方法，将空间对抗攻击和频率对抗攻击整合到一个整体框架中。受元学习思想的启发[35]，我们根据不同领域的对抗梯度交替优化扰动。对抗性攻击的兼容集成可以保留这两个领域攻击的优点。具有不同攻击的对抗示例如图1所示。我们的主要贡献可归纳如下。• 对于人脸伪造检测任务，我们提出了一种新的对抗性攻击方法，在频域中产生扰动。与以前的攻击相比，我们的方法产生了更多的人类观察者无法察觉的扰动。• 为了进一步提高攻击的可转移性，我们提出了一种基于元学习策略的混合对抗攻击，以同时在空间和频率域上执行攻击。• 我们执行所提出的方法都基于空间的人脸伪造检测器和国家的最先进的基于频率的探测器大量的基准测试实验表明，我们在白盒和黑盒设置下的战术的有效性。2. 相关工作在这一节中，我们简要介绍了人脸伪造生成和检测的发展。此外，本文还对近年来的对抗性攻击方法，特别是人脸伪造检测方法进行了综述.2.1. 面部伪造生成人脸伪造生成[14，23，24]旨在制作在人类眼中真实的人脸图像，这带来了许多生产性应用，例如，虚拟购物、在线教育、电影制作等。综上所述，人脸伪造生成可分为四类[33]：重现、替换、编辑和合成。重演的一个典型应用是用一个人的表情或嘴来驱使另一 个 人 ， 例 如 ， 循 环 - GAN [3] ， STGAN [29] 。FaceSwap [25]是最常见的替换类型。Averbuch-Elor等人[2]通过2D扭曲来动画化主体的表现力，并自动将其转移到目标。Face2Face [45]将面部表情视为在源和目标之间传递变形的编辑和合成用于添加或删除一个人的换句话说，我们无法获得操纵假面孔的具体方法。2.2. 人脸伪造检测尽管面部伪造的创造性应用，这项技术可以被滥用于恶意和不道德的方式。学术界针对其潜在的危害性，试图通过检测图像是否被篡改来减轻危害，这被认为是一个二元分类问题。一些作品[1，7，38，53]应用深度神经网络来提取用于人脸伪造检测的判别特征这些方法只利用了空间域的信息另一方面，一些工作[11，28，30，36，40，49]观察到真实人脸和虚假人脸在频域中的多样性，并提出了基于频率线索的人脸伪造检测方法。F3-Net [36]将频率感知分解和局部频率统计集成到一个完整的学习框架中，以分类真实和虚假的Luo等人[30]通过充分利用多尺度下的高频特性设计了几个模块，以实现更高的精度。此外，一些方法[5，16-4105PM×LL/bpckypydpyopp gp$joµ图2. 频率对抗攻击的管道。 我们首先将输入图像分割成KK个块，并对每个块应用DCT 将它们转换到频域。然后，我们引入频率扰动N和控制不同频带中的步长的预定义权重矩阵。之后，我们实现了IDCT并将其合并到对抗示例中。在每次迭代中，我们计算对抗损失并基于它更新扰动PN。形成一个完整的框架，以准确地检测假脸LRL [5]采用具有两个输出分支的多任务学习策略，其中一个分支用于学习表面标签，另一个分支旨在关注修改区域的边缘Li等人。[27]将频率线索与空间特征相结合，以扩大真实人脸和假人脸在嵌入空间中的差异。受频域多样性的启发，提出的混合对抗攻击考虑了对两个域的影响为了进行全面的比较，我们都选择了基于空间的模型和基于频率的模型来验证所提出的攻击方法的有效性。2.3. 对抗性攻击与人脸伪造不同，对抗攻击的目的一般来说，给定一个训练良好的网络，对抗攻击的目标是生成对抗样本，使网络预测错误。对抗性攻击的类别大致可以分为白盒攻击[15，31，42]和黑盒攻击[10，47，51]，这取决于攻击者是否能够访问受害者模型的具体结构和参数。虽然大多数前向攻击方法都集中在多分类任务上，但对抗攻击已经在许多领域进行了研究，例如对象检测[50]，人脸识别[52]，视觉跟踪[22]等。对于人脸伪造检测中的对抗性攻击，一些作品[4，13，21，26，34]探索了模型在不同设置中的鲁棒性Li等人。[26]利用梯度操纵Style-GAN [48]的噪声向量和潜在向量来欺骗面部伪造模型。Neekhara等人。[34]在黑盒设置中执行对抗攻击以进行面部伪造检测。Carlini等人。[4]提出了人脸伪造分类器在各种类型的攻击方法下的鲁棒性。上述方法在空间域上生成对抗性示例，而一些作品[19，39]则在其他任务中探索频率攻击因为面部伪造由于检测与频域有着密切的关系，本文提出了一种结合频域特征的攻击方法，以产生更多的不可感知的攻击样本。3. 方法令Xinit表示原始图像，f（X，θ）表示面部伪造检测器，并且ygt表示对应的地面真实标签。我们的目标是生成对抗样本Xadv，使人脸伪造检测器预测错误，即，f（Xadv，θ）=ygt.在对抗攻击中，目标是最大化损失函数（Xadv，ygt），其中是人脸伪造检测中的二进制交叉熵损失具体优化定义为：arg maxL（Xadv，ygt），S. t. ||（1）||p<ϵ,(1)其中p是lp范数，以确保对抗图像接近原始图像。由于不同模型中分类边界的多样性，我们选择非目标攻击来最大化对抗损失。针对性攻击虽然严重破坏了白盒模型，但其对其他模型的可移植性极弱，在特定网络上容易产生过拟合。3.1. 空间对抗攻击现有的攻击方法大多被认为是空间对抗攻击，修改像素上的对抗样本。由于篇幅所限，本文只介绍了两种空间对抗攻击方法，并在实验中进行了比较。这些方法的更多变体可以参考[10]。快速梯度符号法。FGSM [15]是一种单步攻击方法，它根据对抗损失的梯度计算扰动。优化定义为：Xadv= Xinit+·sign（XL（Xadv，ygt））。 （二）4106·00nP Unnn将K×K块合并到X中;n+1n+1×ΣΣMMP Un+1nn算法1：频率对抗攻击输入： 输入图像Xinit，取证检测器f（）;输出：对抗性示例Xadv;1对f（Xadv，θ）进行分类以得到真实标签ygt;2生成初始扰动0（0，1）;3初始化Xadv=Xinit，yt=ygt;4，n=0至N，5将Xadv分割成K×K块;LoyMjddl@HjghFy@6.对每个块D（Xadv）应用DCT;7通过等式计算对抗损失L4个;8通过等式更新扰动Pn+1。7;9通过等式 将Pn+1和M代入D（Xadv）。6个;10对每个块D′（F（Xadv））应用IDCT;(a) 图（b）频率分布图 3. 真 实 面 孔 和 虚 假 面 孔 在 频 域 中 的 差 异 。 我 们 从FaceForensics++ [37]中选择了两个具有不同标签的示例，并计算了不同频段的能量。虚假人脸在高频带的能量比真实人脸丰富。投影梯度下降（PGD）。PGD [31]是FGSM [51]的多步骤变体。同时，它采用了随机初始化的扰动在第一步。更新过程定义为：Xadv =Xinit，advn+112对f（Xadv，θ）进行分类，得到预测结果y;13端部14 returnx;呈现融合模块以修改频率域中的能量。同时，利用lp-范数对原始频率分布的偏差详细来说，我们首先通过以下方法实现DCT将图像从空间域转换到频域[36]。为了平衡转型的效率和质量，0Xadv=夹子. Xadv+ α·sign（<$XL（Xadv，ygt））<$.（三）在DCT变换之前，先对原始图像进行K-K分块。对于每个块，我们应用DCT如下：3.2. 频率对抗攻击以前的研究[5，36]已经证明了真实面孔和虚假面孔在频率上的差异-N−1N−1D（u，v）=c（u）·c（v）X（i，j）i=0j =0（五）main.图3展示了真实面部和虚假面部之间不同频带中的能量的多样性。低频区域与图像的内容有关，占能量的大部分，而高频区域与图像的边缘和纹理信息有关与真实人脸相比，假人脸在高频区域显示出更多的能量受此启发，我们提出了一种频率对抗攻击，直接修改频域中的能量。与空间攻击相比，该攻击方法将广告隐藏在频带中，并减少了像素级的冗余噪声，从而使攻击更加不可见。频率对抗攻击的流水线如图2所示。我们将优化过程总结如下：（2i+ 1）π（2j+ 1）πcos[2Nu]· cos[2Nv]，其中X（i，j）是图像坐标（i，j）上的值，c（u）和c（v）旨在使DCT矩阵正交，N是每个块的大小。然后，我们生成初始扰动（0，1）注入到频带上。当RGB图像转换到频域时，不同频率的能量范围不平衡，如图3所示。因此，我们提出了一个自适应步长的矩阵，这是基于每个频带的比例，以平衡不平衡的能量的影响此外，该矩阵是动态重置为不同的输入，以保持视觉质量。完整融合模块定义为：adv advargmaxL（D′（F（D（Xadv），θ，ygt），F（Xn ）=D（Xn ）+MPn+1，（6）其中DS. t. ||p||p（四）<，′其中，λ是Hadamard乘积。在优化过程中Pn+1更新如下：（·）表示离散余弦变换（DCT），阿德夫gt表示逆离散余弦变换（IDCT），Pn+1=Pn+λ·sign（λPL（D（F（D（Xn）），θ，y）），（7）Hjgh血压µdFpk@ FPC@R@plFpc@11410700LAAL·一AAAASn+1Fiter=1频率计算第一域毕业生...空间计算域第二域毕业生iter=N空间计算第一域毕业生频率计算域第二域毕业生图4.混合对抗攻击的过程。为了在不同的域中组合对抗攻击，我们按顺序计算两个域的梯度并更新扰动。然后，我们在下一步中切换域的顺序在迭代之后，对抗性示例从两个域中收集梯度，从而对白盒和黑盒设置进行更强的对抗性攻击其中λ是每次迭代中的步长。然后，我们应用IDCT将频域中的每个块转换注意，DCT和IDCT的单独操作是非破坏性的，其中在该过程中不引入块当它达到最大迭代或将Xadv分类为错误标签时，我们结束循环并输出最终的对抗示例Xadv。伪代码在算法1中示出。3.3. 混合对抗攻击元学习[12]的目标是训练一个模型，它可以快速适应一个新的任务，只有几个训练步骤，并训练-算法2：混合对抗攻击输入： 输入图像Xinit，取证检测器f（），空间攻击S，频率攻击F;输出：对抗性示例Xadv;1对f（Xadv，θ）进行分类以得到真实标签ygt;2初始化Xadv=Xinit，yt=ygt;3，n=0到N，4通过等式计算对抗性损失AF。4个;5通过方程更新微扰η′8个;6计算对抗性损失AS 经由等式1个;7通过方程更新扰动η"9;8用lp-范数裁剪输出图像Xadv学习数据，概括为“学会学习”。启发Advn+1通过元学习的思想，我们提出了一种结合空域和频域的混合对抗攻击。与通过训练数据更新新模型的普通元学习不同我们的混合对抗攻击可以从这两个领域收集优点，并以兼容的方式将它们整合起来。混合扰动提高了对抗性攻击在白盒环境中的有效性，并具有很强的可移植性。我们的混合对抗攻击的过程如图4所示。令S和F分别表示空域和频域中的对抗攻击。首先，我们在频域中计算基于对抗损失的梯度。 频域中的F的优化通过下式计算：gtη′=η−γf·ηLA（η，θ，y），（8）其中η'是频率值，γf是频域中的步长然后，我们在空间域中的对抗损失的基础上计算梯度空间攻击AS的过程被公式化为：η′′=η′−γs·εη′LA（η′，θ，ygt），（9）其中η"是像素值，γs是空间域中的步长。在每个域中对抗攻击的详细过程遵循上述部分。我们选择9对f（Xn+1，θ）进行分类，得到预测结果y∈ N;10转换攻击AS和AF的顺序;11端部12 returnx;PGD [31]作为我们的空间攻击，提出的频率攻击方法作为我们的频率攻击。请注意，我们在两次攻击中都删除了clip函数，并在每次迭代结束时添加它。每次迭代后，我们切换频率攻击F和空间攻击S的顺序，重复整个过程。我们的混合对抗攻击的完整算法在算法2中给出。4. 实验在本节中，我们首先介绍实验设置。然后，我们评估所提出的攻击方法的性能与单一的攻击和集成攻击的空间为基础的模型。我们进一步验证我们的攻击方法的频率为基础的模型。此外，我们进行烧蚀研究的变化，我们的方法和不同的频带。最后对该方法的图像质量进行了定性和定量的评价。4.1. 实验装置数据集。DFDC [9]是一个具有挑战性的数据集，具有各种匿名操作和扰动。我们从DFDC数据集中随机选择了1000张假人脸图像4108×××××××Nn=1表1.基于空间和基于频率的人脸伪造检测器在DFDC [9]和FaceForensics++[38]数据集上的准确性数据集EfficientNet b4 [四十三]ResNet 50 [20个]XceptionNet [6]F3-Net [5]LRL [36]DFDC [9]百分之九十一点一78.7%88.0%69.8%百分之九十点四[37]第三十七话94.3%百分之八十九点一92.7%88.8%98.2%表2.在DFDC [9]数据集上基于空间的模型上的假面孔的攻击成功率。模型攻击EFF B4[43][20]第二十话XCEP[6]FGSM33.2%百分之七点一百分之二点三EFF B4 [43] PGD百分之七十七点七百分之八点七百分之一点八我们百分之九十七点一20.1%2.7%FGSM百分之零点零百分之三十六点七百分之零点九[20]第二十话PGD百分之零点零85.4%百分之零点零我们23.2%百分之八十七点八24.1%FGSM百分之零点零百分之八点四45.6%XCEP [6]PGD百分之零点零百分之十点一72.3%我们1.2%百分之十四点三百分之七十七点五FaceForensics++ [37]是一个流行的数据集，包含来自YouTube的真实视频和相应的假视频，包括Deepfake[46]，Face2Face [45]，FaceSwap [25]NeuralTextures [44]。我们总共从每个假脸视频中选择了560（140 4）个单独的帧。模型对于基于空间的人脸伪造检测器，我们选择了三个基于空间的分类网络，即，Ef- ficientNet b4 [43]、ResNet 50 [20]和XceptionNet [6]。对于基于频率的模型，我们考虑最先进的人脸伪造检测器，即，F3-Net[36]和LRL [5]。所有模型都是按照相应的论文进行训练的。表1总结了这些模型在不同数据集所选图像上的准确性。评估指标。对于DFDC和FaceForensics++，我们都选择攻击成功率作为评估指标。它被定义为所有被分类为假脸的图像中成功攻击图像的比例，即，表3. FaceForensics++数据集上基于空间的模型上的假面孔攻击成功率[37]。模型攻击EFF B4[43][20]第二十话XCEP[6]FGSM百分之三十八点七百分之四点八百分之零点九EFF B4 [43] PGD71.6%百分之一点三百分之零点三我们83.2%22.7%1.4%FGSM百分之三点二32.0%二点一厘[20]第二十话PGD百分之三点九百分之六十点二百分之二点三我们41.4%65.4%49.6%FGSM百分之一点一4.1%百分之十八点九XCEP [6]PGD百分之一点一百分之七点七61.6%我们1.5%8.5%百分之七十点五表3分别报告了DFDC [9]和FaceForensics++ [37]数据集上的攻击成功率。我们考虑第一列中的基本分类器来生成对抗性示例，并将它们转移到其他网络上进行评估。对角块表示白盒攻击，而非对角块表示它们作为黑盒攻击的可转移性如表2和表3所报告的，所提出的方法对于白盒攻击优于FGSM和PGD，并且对于黑盒攻击获得更高的攻击成功率。例如，在FaceForen-sics++ [37]数据集上，Res 50使用我们的方法生成的对抗示例在Eff b4上的成功率为41.4%，在Xcep上的成功率为 49.6% ， 比 FGSM 高 38.2% ， 比 Eff b4 上 的 PGD 高37.5%，比FGSM高47.5%，比Xcep上的PGD高47.3%。实验结果表明，该方法结合频率跟踪增强了对抗性样本的可移植性。由于Eff b4和Eff b4之间结构的明显多样性，1ΣNf（Xadv，θ）/=f（Xinit，θ）.用于图像质量XCEP，两个网络之间的对抗性攻击在评估中，我们利用MSE、PSNR和SSIM作为评估指标来呈现生成的对抗性示例与原始图像之间的差异实作详细数据。三个基于空间的模型的图像的输入大小为320 320 3。F3-Net [36]和LRL [5]的输入大小分别为299 299 3和320 320 3，分别。我们将对抗示例调整为相应的大小，以进行转移攻击。 至于攻击的参数，我们将每个像素的最大扰动设置为λ=0。FGSM和PGD均为1。我们还使用PGD作为混合攻击的空间攻击41094.2. 基于空间模型我们将所提出的方法与FGSM [15]和PGD [31]在攻击基于空间的模型方面进行了比较。表2和相互之间的可转移性有限。4.3. 基于空间模型如[51]所述，具有多个网络的对抗性示例实现了更强的攻击性能。我们利用两个网络的合奏攻击另一个在三种方式：合奏像素，增强损失，和合奏的logits。表4和表5中总结了两个数据集上的攻击结果。我们考虑所有三个网络，第一列中的符号'-'表示在攻击期间未使用的网络。因此，对角块指示传输攻击（即，黑盒设置），非对角块指示白盒攻击。从这两个数据集，我们观察到，在logits的合奏执行最强的攻击性能，4110∼表4.在DFDC [9]数据集上使用集合攻击的假面孔的攻击成功率。模型少尉EFF B4[43][20]第二十话XCEP[6]像素4.1%86.9%44.4%[43]第四十三话损失百分之二点三72.0%57.3%Logit百分之二点四百分之八十八点五百分之七十七点五像素79.7%百分之二十点四28.5%-Res50 [20]损失71.1%百分之十八点一百分之四十六点二Logit百分之九十三点一22.1%百分之六十五点三像素百分之七十二点四百分之八十六点二13.1%-XCEP [6]损失百分之七十六点四百分之七十五点八百分之十四点七Logit百分之九十五点四百分之九十五点六百分之十二点七表5.在FaceForensics++ [37]数据集上使用集成攻击的假面孔的攻击成功率。模型少尉EFF B4[43][20]第二十话XCEP[6]像素百分之二十三点一64.0%71.1%[43]第四十三话损失27.0%百分之五十二点九79.1%Logit百分之二十七点五百分之六十九点五百分之六十八点六像素百分之七十七点三百分之二十六点六49.1%-Res50 [20]损失55.2%百分之二十一点八百分之五十七点九Logit78.0%百分之二十九点八76.1%像素78.9%64.6%百分之三十点七-XCEP [6]损失百分之八十三点四57.3%百分之三十六点二Logit82.0%64.4%百分之三十八点二在大多数情况下，曼在DFDC [9]数据集中，当对Res50网络进行攻击时，Res50和Eff b4的logits集成比白盒设置下的单个网络Res50高7.8%此外，对于FaceForen-sics++ [37]数据集，Res 50和Eff b4的logits集成在Xcep上实现了38.2%的成功率，而单个网络Res 50在黑盒设置下仅获得8.5%的成功率。总之，不同模型的集成可以增加结构的多样性，从而导致更大的可移植性。4.4. 对基于频率模型的所提出的混合攻击与频域有关。为了进一步说明其有效性，我们还选择了两种基于频率的人脸伪造检测方法，即，F3-Net [5]和LRL [36]。这两种方法都是通过采集人脸的频率信息来区分真假人脸的差异进行检测。表6和表7分别报告了对DFDC [9]和FaceForensics++ [37为了更好地进行比较，我们还进行了FGSM [15]和PGD[31]两种探测器的实验。此外，我们测试的adversar- ial的例子，我们的混合攻击时产生的攻击- ING基于空间的检测器的可移植性简而言之，我们与频域相关的混合为4111表6.在DFDC [9]数据集上基于频率的模型上的假面孔攻击成功率。模型攻击F3-Net [5]LRL [36]FGSM43.5%百分之九点六F3-Net [5]PGD百分之九十七点六4.0%我们百分之九十八点七百分之十点三FGSM百分之二点三71.3%LRL [36]PGD3.0%100.0%我们5.5%100.0%EFF B4 [43]我们百分之七点四百分之八点五[20]第二十话我们12.8%43.6%XCEP [6]我们百分之七点六百分之九点一表7. FaceForensics++数据集上基于频率的模型上的假面孔攻击成功率。模型攻击F3-Net [5]LRL [36]FGSM百分之二十四点八百分之七点七F3-Net [5]PGD80.9%百分之二十八点七我们百分之八十二点五百分之三十六点二FGSM百分之零点二百分之六十八点六LRL [36]PGD百分之零点零百分之九十八点七我们0.5%百分之九十九点三EFF B4 [43]我们百分之零点五百分之十一点八[20]第二十话我们7.1%百分之五十七点五XCEP [6]我们百分之一点一百分之十九点五转移攻击，我们的方法是稍微大于空间攻击。当使用基于空间的检测器进行传输攻击时，Res 50优于其他两个网络，F3-Net的成功攻击率为12.8%，DFDC上的LRL为43.6%[9]，F3-Net为7.1%，FaceForensics++上的LRL为57.5%[37]。所提出的频域混合攻击也增强了网络在基于频率的模型上的可转移性。4.5. 消融研究我们进行了一系列的消融研究所提出的攻击方法。由于页面有限，我们仅使用Res50 [20]作为威胁模型在FaceForensics++ [37]数据集上生成对抗示例，并显示其在Eff b4 [43]和Xcep [6]上的可转移性。我们方法的变体。我们执行我们的方法的一些变体来分析对不同域的影响。具体地说，我们首先只将空间攻击应用于制作对抗性示例。然后，我们只实施频率攻击。此外，我们简单地从空间和频率域的扰动。具体结果总结见表8。 单一空间攻击容易过拟合已有模型，可移植性有限;单一频率攻击容易陷入局部最优，二进制分类损失固定，攻击能力有限。对于扰动的组合，扰动4112表8.在FaceForensics++ [37]数据集上使用我们的方法变体的假面孔的攻击成功率。方法EFF B4[43][20]第二十话XCEP[6]空间攻击百分之三点九百分之六十点二百分之二点三频率攻击百分之十四点五29.3%百分之十五点九和攻击百分之七点七百分之六十一点二12.1%混合攻击41.4%65.4%49.6%表9.在FaceForensics++ [37]数据集上攻击不同频带的假面孔的攻击成功率。频率EFF B4[43][20]第二十话XCEP[6]低频带百分之三十九点五65.2%49.1%中间带百分之三十八点四百分之六十二点七48.0%高频带百分之三十六点二百分之六十一点二47.1%所有频带41.4%65.4%49.6%表10. FGSM [15]，PGD [31]和我们的方法在FaceForen-sics++ [37]数据集上生成的对抗性示例的定量评估。(a)（b）FGSM [15]（c）PGD [31]（d）我们的从两个域的攻击提高了白盒攻击的性能，但削弱了其可移植性。我们的混合对抗攻击在白盒和黑盒攻击上都具有更强的攻击性能，这表明我们的方法既保持了每个领域的优势，又以兼容的方式将它们整合在一起。频段。为了研究不同频带的影响，我们将整个频带分为三个频带，即，低频带、中频带和高频带，并且仅利用混合对抗攻击来攻击其中一个频带表9报告了不同频带的攻击性能。与中频带和高频带相比，对低频带的混合对抗攻击在两种白盒攻击（例如，Res50 [20]）和黑盒攻击（例如，Eff b4 [43]和Xcep [6]），因为低频带携带更多的图像内容信息，并在空间域中产生更多的扰动。4.6. 图像质量评价为了说明我们的方法优越的图像质量，我们定性和定量地分析生成的对抗性例子。在图5中，我们可视化了由FGSM [15]，PGD [31]和我们的方法制作的对抗性示例。FGSM和PGD生成的对抗样本在放大时具有明显的噪声模式，而我们的方法生成的对抗样本对观察者来说更难以察觉此外，我们使用常用的图像质量评估指标来计算与原始图像的差异表10报告了MSE的定量结果攻击方法MSE（↓）峰值信噪比（↑）SSIM（↑）FGSM0.027923.30.0881FGD0.023830.40.1343我们0.002742.70.17634113图5. FGSM [15]，PGD [31]和我们的方法在Face-Forensics++ [37]数据集上生成的对抗性示例的定性评估。这些样本包 含 四 种 类 型 的 面 部 伪 造 生 成 ， 即 ， Deepfake 、Face2Face、FaceSwap和NeuralTextures。虽然所有对抗性示例都成功地欺骗了检测器作为真实面孔，但通过我们的混合对抗性攻击制作的示例获得了卓越的图像质量。PSNR和SSIM，其中我们的方法的图像质量大大优于其他攻击。实验结果表明，该混合攻击具有较强的攻击能力，并能很好地保持图像质量。5. 结论在本文中，我们提出了一种频率对抗攻击的人脸伪造检测方法，它实现了更好的图像质量相比，空间攻击。为了进一步提高其泛化能力，我们提出了一种与空间域和频域攻击相关联的混合对抗攻击多个域的结合保留了各自的优点，对基于空间域和基于频率域的人脸伪造检测器都取得了良好的在两个数据集上的大量实验表明，该方法不仅成功地攻击了白盒模型，而且增强了黑盒设置下对其他模型的可移植性。我们希望我们的工作可以引起更多的关注，人脸伪造检测器的鲁棒性。鸣谢。本课题得到了国家自然科学基金（61906119，U19 B2035）、上海市科技重大专项（2021 SHZDZX0102）和CCF-腾讯开放研究基金的资助。4114引用[1] Darius Afchar 、 Vincent Nozick 、 Junichi Yamagishi 和Isao Echizen。Mesonet：一个紧凑的面部视频伪造检测网络。在IEEE WIFS，2018。[2] Hadar Averbuch-Elor ， Daniel Cohen-Or ， JohannesKopf，and Michael F Cohen.将肖像画带入生活。ACMTOG，2017年。[3] Aayush Bansal 、 Shugao Ma 、 Deva Ramanan 和 YaserSheikh。Recycle-gan：无监督视频重定向。在ECCV，2018。[4] 尼古拉斯·卡利尼和哈尼·法里德。通过白盒和黑盒攻击躲避深度伪造图像检测器。在CVPRW，2020年。[5] 沈晨，姚太平，陈扬，丁守宏，李吉林，姬荣荣。局部关系学习在人脸伪造检测中的应用。在AAAI，2021年。[6] 弗朗索瓦·肖莱。Xception：使用深度可分离卷积的深度学习在CVPR，2017年。[7] Davide Cozzolino，Giovanni Poggi，and Luisa Verdoliva.重构基于残差的局部描述符作为卷积神经网络：在图像伪造检测中的应用。在ACM MM，2017年。[8] Hao Dang，Feng Liu，Joel Stehouwer，Xiaoming Liu，and Anil K Jain.数字人脸篡改的检测。在CVPR，2020年。[9] Brian Dolhansky ， Russ Howes ， Ben Pflaum ， NicoleBaram 和 Cristian Canton Ferrer 。 Deepfake DetectionChallenge（DFDC）预览数据集。arXiv预印本arXiv：1910.08854，2019。[10] 董银鹏，庞天宇，苏航，朱军。通过平移不变攻击规避对可转移对抗样本的防御。在CVPR，2019年。[11] Ricard Durall，Margret Keuper，Franz-Josef Pfreundt，and Janis Keuper.用简单的功能揭露deepfakes。arXiv预印本arXiv：1911.00686，2019。[12] Chelsea Finn，Pieter Abbeel，Sergey Levine.用于深度网络快速适应的模型不可知元学习。ICML，2017。[13] 阿普尔瓦·甘地和舒米克·杰恩。对抗性扰动欺骗了深度伪造检测器。InIJCNN，2020.[14] Pablo Garrido、Levi Valgaerts、Ole Rehmsen、ThorstenThormahlen、Patrick Perez和Christian Theobalt。自动面部重现。CVPR，2014。[15] Ian J Goodfellow，Jonathon Shlens，Christian Szegedy.解释和利用对抗性的例子。2015年，国际会议。[16] 古七七，沈沉，太平瑶，杨晨，丁守宏，冉毅。通过渐进增强学习利用细粒度人脸伪造线索。arXiv预印本arXiv：2112.13977，2021。[17] 顾志豪、陈扬、姚太平、丁守红、李吉林、黄飞跃、马丽庄。用于Deepfake视频检测的时空干扰学习在ACMMM，2021年。[18] 顾志豪、陈扬、姚太平、丁守宏、李吉林、马丽庄。深入研究当地：动态-Deepfake视频检测的一致性学习在AAAI，2022年。[19] Chuan Guo，Jared S Frank，and Kilian Q Weinberger.低频对抗干扰。arXiv预印本arXiv：1809.08758，2018。[20] Kaiming He，Xiangyu Zhang，Shaoying Ren，and JianSun.用于图像识别的深度残差学习。在CVPR，2016年。[21] Shehzeen Hussain ， Paarth Neekhara ， Malhar Jere ，Farinaz Koushanfar ， and Julian McAuley. 对 抗 性deepfakes：评估deepfake检测器对对抗性示例的脆弱性在WACV，2021年。[22] Shuai Jia，Chao Ma，Yibing Song，and Xiaokang Yang.对抗性攻击的防误击跟踪。在ECCV，2020年。[23] Tero Karras ， Timo Aila ， Samuli Laine ， and JaakkoLehtinen.为提高质量、稳定性和变异性而进行的干细胞生长。在ICLR，2018年。[24] Tero Karras Samuli Laine和Timo Aila一个基于样式的生成器架构，用于生成对抗网络。在CVPR，2019年。[25] 马雷克·科瓦尔斯基脸罩。https://github.com/marekkowalski/faceswap，2018.[26] 李东泽、魏王、范洪兴、荆东。人脸流形上对抗性虚假图像的探索.在CVPR，2021年。[27] Jiaming Li ， Hongtao Xie ， Jiahong Li ， ZhongyuanWang，and Yongdong Zhang.基于单中心损失监督的频率感知鉴别特征学习人脸伪造检测。在CVPR，2021年。[28] Honggu Liu ， Xiaodan Li ， Wenbo Zhou ， YuefengChen ， Yuan He ， Hui Xue ， Weiming Zhang ， andNenghai Yu.空间-相位浅层学习：重新思考频域人脸伪造检测。在CVPR，2021年。[29] Ming Liu ，Yukang Ding， Min Xia ，Xiao Liu ，ErruiDing，Wangmeng Zuo，and Shilei Wen. Stgan：一个