王 鑫，肖韜睿

（中國(guó)電子科技集團(tuán)公司第十五研究所系統(tǒng)一部，北京 100083）

0 引 言

人臉識(shí)別（Face Recognition，F(xiàn)R）是一項(xiàng)重要的計(jì)算機(jī)視覺(jué)任務(wù)，廣泛用于解決身份驗(yàn)證問(wèn)題，人臉驗(yàn)證（Face Verification，F(xiàn)V）是人臉識(shí)別的一個(gè)子任務(wù)，它可以判斷一對(duì)人臉圖像是否屬于同一身份［1］。在過(guò)去幾十年里，人臉驗(yàn)證在移動(dòng)支付、軍事、金融、監(jiān)控安全和邊境控制等各種應(yīng)用場(chǎng)景中取得了巨大成就［2］。

深度神經(jīng)網(wǎng)絡(luò)（Deep-learning Neural Network，DNN）容易受到對(duì)抗樣本的影響，這些對(duì)抗樣本在圖像中添加了人類視覺(jué)無(wú)法察覺(jué)的微小擾動(dòng)，以此來(lái)欺騙DNN 模型產(chǎn)生錯(cuò)誤的預(yù)測(cè)［3］。對(duì)抗攻擊可以分為白盒攻擊和黑盒攻擊，白盒和黑盒是基于對(duì)攻擊者知識(shí)進(jìn)行假設(shè)而區(qū)分出的2 種主要環(huán)境［4］。前者假設(shè)攻擊者可以訪問(wèn)模型的參數(shù)值、體系結(jié)構(gòu)、訓(xùn)練方法、輸入、輸出和權(quán)重；而后者假設(shè)攻擊者只能訪問(wèn)模型的輸入和輸出，但不知道有關(guān)模型的信息。

人臉屬性是表征人類面部特征的一系列生物特性，是現(xiàn)代安全系統(tǒng)中新興的軟生物識(shí)別技術(shù)之一。最近，基于生成對(duì)抗網(wǎng)絡(luò)（Generative Adversarial Network，GAN）的方法被用于操縱面部特征圖像，如StarGAN［5］、STGAN［6］和AttGAN［7］。本文提出一種有效的攻擊方法，稱為使用StarGAN 的語(yǔ)義對(duì)抗攻擊（SGAN-AA），旨在通過(guò)改變顯著面部特征來(lái)欺騙人臉驗(yàn)證模型（FV 模型）。該方法除了通過(guò)修改每個(gè)輸入圖像的顯著面部特征來(lái)提高攻擊的可轉(zhuǎn)移性外，還可以有效地生成語(yǔ)義對(duì)抗樣本，這些特征會(huì)通過(guò)影響不同F(xiàn)V 模型的決策來(lái)欺騙這些模型。在白盒環(huán)境中，該方法使用基于目標(biāo)人臉驗(yàn)證（Target Face Verification，TFV）模型［8］的余弦相似度（Cosine Similarity，CS）［9］或可能性評(píng)分（Probability Score，PS）［10］來(lái)預(yù)測(cè)每個(gè)輸入圖像的最顯著屬性，然后通過(guò)特征空間中的StarGAN 模型來(lái)改變一個(gè)或多個(gè)屬性。注意力特征融合（Attention Feature Fusion，AFF）方法用于融合語(yǔ)義不一致的特征以生成逼真的圖像［11］。在黑盒環(huán)境中，SGAN-AA 依賴余弦相似度預(yù)測(cè)最顯著屬性，通過(guò)進(jìn)行循環(huán)迭代順序地改變這些屬性直到生成對(duì)抗人臉圖像。

實(shí)證表明，預(yù)測(cè)最顯著屬性在成功攻擊中起著重要作用。SGAN-AA方法在黑盒環(huán)境中的攻擊成功率明顯優(yōu)于其他方法，并且在白盒環(huán)境中的假冒和躲閃攻擊中保持較高的攻擊成功率。

1 相關(guān)研究

1.1 對(duì)圖像的對(duì)抗攻擊

人們已經(jīng)提出了許多對(duì)抗樣本生成方法來(lái)欺騙不同的圖像分類模型，大多數(shù)研究都集中在通過(guò)向輸入圖像添加擾動(dòng)來(lái)生成受限的對(duì)抗樣本。文獻(xiàn)［3］首先發(fā)現(xiàn)了圖像分類的對(duì)抗樣本的存在，該樣本將圖像少量部分轉(zhuǎn)換為不可檢測(cè)的，從而改變圖像的分類方式。文獻(xiàn)［12］提出了一種快速梯度符號(hào)方法（Fast Gradient Sign Method，F(xiàn)GSM），該方法使用神經(jīng)網(wǎng)絡(luò)的梯度來(lái)生成對(duì)抗樣本，但只是在每個(gè)像素上沿著梯度符號(hào)的方向應(yīng)用了一步梯度更新。文獻(xiàn)［13］提出了一種基本迭代方法（Building Information Modeling，BIM），該方法將較小幅度的FGSM 擾動(dòng)應(yīng)用于多次迭代以提高攻擊成功率，并在每次迭代中修剪像素以避免大的變化。投影梯度下降（Projected Gradient Descent，PGD）［14］使合成的對(duì)抗樣本多樣化，是BIM方法的擴(kuò)展。

1.2 對(duì)人臉識(shí)別的對(duì)抗攻擊

人們已經(jīng)提出了多種對(duì)抗攻擊來(lái)攻擊FR模型，可以分為3類：添加對(duì)抗擾動(dòng)、操縱面部特征、物理攻擊。

第1 類攻擊方式是在特定區(qū)域添加人眼無(wú)法察覺(jué)的擾動(dòng)來(lái)改變輸入圖像，文獻(xiàn)［15］提出了AdvFaces自動(dòng)對(duì)抗方法，該方法通過(guò)生成對(duì)抗網(wǎng)絡(luò)在面部區(qū)域中產(chǎn)生最小擾動(dòng)。第2 類是基于操縱面部特征，文獻(xiàn)［16］介紹了SemanticAdv，它可以通過(guò)改變單個(gè)面部特征來(lái)生成不受限制的對(duì)抗樣本。物理攻擊可以通過(guò)各種不同的工具產(chǎn)生，例如添加一些對(duì)抗面部裝飾、自然妝容和對(duì)抗補(bǔ)丁［17］，這些方法使攻擊在物理世界中更加危險(xiǎn)。

2 人臉識(shí)別攻擊

2.1 問(wèn)題定義

FV模型通過(guò)在數(shù)據(jù)集D（x，y）上訓(xùn)練模型來(lái)識(shí)別輸入圖像，其中x是根據(jù)潛在分布采樣的人臉圖像，y是相應(yīng)的真實(shí)標(biāo)簽。根據(jù)f(x):x→y，該模型可以預(yù)測(cè)每個(gè)輸入人臉圖像的標(biāo)簽，主要目標(biāo)是生成與原始圖像x相似但能欺騙FV 模型的對(duì)抗人臉圖像xadv，即FV(xadv)=y' ≠y。

對(duì)抗攻擊分為2 種類型：躲閃攻擊和假冒攻擊［18］。躲閃攻擊（無(wú)目標(biāo)攻擊）是為了欺騙目標(biāo)模型，使得輸出是除原始身份之外的隨機(jī)身份；假冒攻擊（目標(biāo)攻擊）通過(guò)將對(duì)抗人臉圖像識(shí)別為指定的目標(biāo)身份來(lái)欺騙目標(biāo)模型。生成一個(gè)xadv，躲閃攻擊使模型將xadv識(shí)別為不同的身份，使得FV(xadv)≠y，假冒攻擊使模型將xadv識(shí)別為目標(biāo)身份，使得FV(xadv)=ytgt。

2.2 語(yǔ)義對(duì)抗攻擊

本文提出一種有效的攻擊方法SGAN-AA，該方法首先預(yù)測(cè)每個(gè)輸入圖像最顯著面部特征，然后在中間層生成xadv。該方法的白盒攻擊框架有2個(gè)步驟：

1）預(yù)測(cè)每個(gè)輸入圖像的最顯著屬性；

2）通過(guò)修改一個(gè)或多個(gè)最顯著屬性來(lái)生成xadv。

StarGAN 模型［5］由單個(gè)生成器G和鑒別器D組成，鑒別器經(jīng)過(guò)學(xué)習(xí)訓(xùn)練將圖像從一個(gè)域轉(zhuǎn)換到另一個(gè)域，這些屬性通過(guò)使用StarGAN模型進(jìn)行更改。

2.2.1 顯著屬性預(yù)測(cè)

SGAN-AA 使用余弦相似度CS 或可能性評(píng)分PS來(lái)檢測(cè)顯著屬性，相應(yīng)的方法分別表示為SGANAA-CS 和SGAN-AA-PS。該方法應(yīng)用CS 或PS 來(lái)預(yù)測(cè)最顯著屬性并比較它們的結(jié)果，然后在所有面部特征上重新訓(xùn)練StarGAN 的G以用于顯著屬性的預(yù)測(cè)步驟。

1）余弦相似度CS。

SGAN-AA 通過(guò)計(jì)算TFV 模型［19］的輸出特征之間的余弦相似度來(lái)獲得顯著屬性，對(duì)于圖像屬性a=（a1，a2，…，aK），其中ai表示第i個(gè)屬性，K表示屬性總數(shù)。首先使用StarGAN 來(lái)改變輸入x的每個(gè)ai，以獲得圖像合成x*ai。然后通過(guò)TFV 模型提取合成圖像特征fx*ai和原始圖像特征fx，并計(jì)算它們的余弦相似度以得到Sai，即通過(guò)改變屬性ai來(lái)改變TFV輸出的變化程度。之后根據(jù)相似度分值按升序?qū)中的屬性進(jìn)行排序，以獲得最顯著屬性C=（c1，c2，…，cK），其中ci是第i個(gè)排序的屬性，余弦相似度越小，屬性的顯著程度就越大。如式（1）所示，余弦相似度是一種測(cè)量2 個(gè)向量之間相似度的方法，范圍是從0到1。

2）可能性評(píng)分PS。

可能性評(píng)分法的基本思想是使用TFV 模型作為屬性預(yù)測(cè)模型（Att-Pred）來(lái)預(yù)測(cè)輸入的顯著屬性。對(duì)于輸入x中的每個(gè)屬性ai，使用Att-Pred 模型來(lái)獲得類可能性評(píng)分PS，如圖1 所示。如果在原始圖像x中發(fā)現(xiàn)a'i，則在合成圖像x*中去除它，所以本文方法使用StarGAN 模型來(lái)更改a'i以獲得x*a'i。輸入人臉圖像中的每個(gè)屬性對(duì)最終決策都有不同的影響，因此需要計(jì)算x和x*的a'i的概率值Pa'i以獲得變化程度，ΔPa'i表示在改變a'i以確定每個(gè)圖像x的最顯著屬性前后，圖像x中的概率值的變化程度。

圖1 FaceNet屬性預(yù)測(cè)模型輸出

其中：

這里，表示在改變屬性之后生成的圖像。

最后使用ΔPa'i按降序?qū)傩赃M(jìn)行排序，以獲得最顯著屬性C，從而生成xadv，這些屬性代表了最佳的攻擊效果。

2.2.2 對(duì)抗人臉圖像生成

第2 步重點(diǎn)生成對(duì)抗人臉圖像，如圖2 所示。原始圖像和最顯著屬性被輸入編碼器（GE）以改變這些屬性，并從不同的層提取它們的特征，然后使用注意力特征融合框架（AFF 框架）來(lái)生成β并執(zhí)行特征之間的融合，之后將融合的特征發(fā)送到解碼器（GD）以獲得合成圖像。最后，TFV模型接收合成圖像和目標(biāo)身份，以計(jì)算對(duì)抗損失并在特征級(jí)別優(yōu)化β值。為了生成xadv，SGAN-AA 使用單個(gè)或多個(gè)屬性應(yīng)用2 種擾動(dòng)，SGAN-AA-CS-M 和SGAN-AA-PS-M 分別表示CS和PS技術(shù)中用于多個(gè)屬性的方法。

圖2 SGAN-AA攻擊框架

1）對(duì)于單個(gè)屬性，在完成預(yù)測(cè)C=（c1，c2，…，cK）的第1 步后使用StarGAN 的生成器G，面部特征已經(jīng)在顯著屬性預(yù)測(cè)步驟中進(jìn)行了訓(xùn)練。G由編碼器GE和解碼GD器組成，如式（3）所示。GE獲取輸入圖像x和單個(gè)有效屬性c1并獲得中間層中的輸出特征，GD將該特征作為輸入并輸出合成圖像。

如圖2 所示，使用x作為具有顯著屬性c1的GE的輸入，然后從編碼器的conv層和殘差塊層中提取輸出特征，如式（4）和式（5）所示。

SGAN-AA 利用注意力特征融合AFF 方法來(lái)獲得融合的特征作為解碼器GD的輸入。注意力特征融合是一種基于多尺度通道注意力模塊（Multi-Scale Channel Attention Module，MS-CAM）將不同層次的特征組合在一起的框架，以克服輸入特征之間的語(yǔ)義不一致，生成更逼真的圖像。式（6）表示融合權(quán)重β，其中β∈［0，1］，是根據(jù)注意力特征融合中多尺度通道注意力模塊生成的注意力權(quán)重計(jì)算的，該方法會(huì)更新β的值，直到模型具有欺騙性。為了獲得更好的融合特征f*，在特征空間中應(yīng)用插值，如式（7）所示。最后，解碼器GD將融合的特征f*作為輸入，并獲得合成的面部圖像x*作為輸出，如式（8）所示。

SGAN-AA通過(guò)特征級(jí)插值修改每個(gè)圖像的顯著屬性c1來(lái)獲得xadv，為了實(shí)現(xiàn)假冒攻擊，使用L2 損失函數(shù)來(lái)最小化xadv的人臉嵌入和目標(biāo)圖像xtgt之間的距離，如式（9）所示。

對(duì)抗人臉圖像通過(guò)最大化特征空間中xadv和x之間的距離來(lái)躲閃攻擊，如下所示：

2）對(duì)于多個(gè)屬性，同樣使用StarGAN 的生成器G，但它在這種情況下用于更改特征空間中的多個(gè)顯著屬性C。在實(shí)驗(yàn)中改變了2 個(gè)顯著屬性c1和c2，表示為獨(dú)熱向量，結(jié)果得到了變化較大的合成圖像。

2.2.3 黑盒環(huán)境中的SGAN-AA

為了進(jìn)行成功的攻擊，需要2個(gè)步驟：

1）預(yù)測(cè)目標(biāo)模型的最顯著屬性。這個(gè)步驟與白盒環(huán)境中的步驟類似，但只使用CS方法，因?yàn)樗恍枰?xùn)練目標(biāo)模型來(lái)預(yù)測(cè)屬性。

2）通過(guò)在迭代循環(huán)中用γ改變每個(gè)人臉圖像的最顯著屬性，進(jìn)行線性搜索以找到影響生成的人臉圖像的最大γ值，直到輸出欺騙模型。

為了改變最顯著屬性C，SGAN-AA 使用StarGAN模型中的GE來(lái)獲得特征。但不同的是SGAN-AA 進(jìn)行迭代循環(huán)，按照最顯著到最不顯著的順序來(lái)更改屬性，直到滿足對(duì)抗條件。這里使用具有變量γ值的雙線性插值來(lái)生成融合特征f*γi，根據(jù)置信度得分的變化進(jìn)行線性搜索以找到最佳的γopt值。創(chuàng)建一個(gè)向量γ，它由從［0，1］中提取的100 個(gè)隨機(jī)值組成，該向量用于研究式（11）中每個(gè)值γ的影響，然后根據(jù)分?jǐn)?shù)的變化來(lái)排列這些值。

對(duì)于假冒攻擊，選擇最佳的γopt值以減少生成人臉圖像的人臉嵌入與目標(biāo)人臉圖像之間的距離。對(duì)于躲閃攻擊，選擇最佳的γopt值使生成人臉圖像的人臉嵌入和輸入的人臉圖像之間的距離最大。最后，用最優(yōu)γopt值來(lái)生成融合特征并將其反饋到解碼器，通過(guò)以下公式獲得x*：

為了保證生成的人臉圖像與原始人臉圖像保持語(yǔ)義相似，需要測(cè)量生成的人臉和輸入的人臉圖像之間的語(yǔ)義相似度sim，以過(guò)濾掉不真實(shí)的人臉圖像并控制其質(zhì)量，當(dāng)達(dá)到對(duì)抗標(biāo)準(zhǔn)并且語(yǔ)義相似度高于閾值th（sim＞th）時(shí)，就找到了對(duì)抗人臉圖像。重復(fù)上述步驟，在有序的顯著屬性中添加下一個(gè)顯著屬性，直到找到一個(gè)對(duì)抗樣本。

3 實(shí)驗(yàn)設(shè)置

3.1 數(shù)據(jù)集

SGAN-AA 方法使用CelebA 數(shù)據(jù)集［20］來(lái)生成語(yǔ)義對(duì)抗人臉圖像，該數(shù)據(jù)集有202599 張人臉圖像，具有40 個(gè)人臉屬性和10177 個(gè)身份。實(shí)驗(yàn)使用40 個(gè)面部特征來(lái)訓(xùn)練StarGAN 模型，隨機(jī)選擇5000 個(gè)不同的身份作為原始圖像，并選擇5000 個(gè)相同的身份作為目標(biāo)圖像。

3.2 目標(biāo)人臉驗(yàn)證模型

實(shí)驗(yàn)選擇了6種最先進(jìn)的FV 模型來(lái)評(píng)估SGANAA 的有效性，其中包含不同的模型架構(gòu)和訓(xùn)練損失函數(shù)，使用FaceNet［21］和ArcFace［19］作為白盒TFV 模型，這2個(gè)模型返回圖像的512維嵌入，此外還使用了另外2 種公開(kāi)可用的模型SphereFace［22］和CosFace［23］進(jìn)行評(píng)估，然后在不同的主干和損失函數(shù)下選擇訓(xùn)練模型ResNet-101［24］和MobileFace［25］以驗(yàn)證SGANAA在不同模型上的有效性，最后根據(jù)每個(gè)FV模型的誤報(bào)率（FPR）計(jì)算最佳閾值T。

3.3 基線

實(shí)驗(yàn)采用了8 種基線方法來(lái)評(píng)估SGAN-AA，包括隨機(jī)選擇（Random Selection）方法，F(xiàn)GSM、BIM、PGD 和MI-FGSM 的典型一步攻擊方法，此外還包括人臉攻擊方法Sticker［26］和Face Mask［27］。SemanticAdv［16］的面部攻擊方法是與本文方法最相似的方法，也通過(guò)修改面部特征以生成對(duì)抗人臉圖像。對(duì)于Random Selection 方法，G1應(yīng)用了4 個(gè)面部特征：頭發(fā)顏色、濃妝、性別和蒼白皮膚，而G2則應(yīng)用微笑、微微張嘴、劉海、眼鏡和年輕；對(duì)于FGSM，將L2 攻擊的擾動(dòng)設(shè)置為ε=0.2，將BIM 的迭代次數(shù)設(shè)置為20；對(duì)于像素值在［0，255］范圍內(nèi)的PGD 和MI-FGSM，將擾動(dòng)設(shè)置為ε=8。迭代次數(shù)為40，衰減因子μ=1.0。

3.4 評(píng)估指標(biāo)

實(shí)驗(yàn)使用幾個(gè)評(píng)估矩陣來(lái)評(píng)估在不同基線下的攻擊有效性，選擇攻擊成功率來(lái)評(píng)估SGAN-AA 生成的對(duì)抗人臉圖像，使用余弦相似度來(lái)測(cè)量圖像之間的相似度，并對(duì)每個(gè)TFV 模型使用閾值T來(lái)決定2 個(gè)身份之間的相似度是否匹配。在將特征歸一化為Ts=1-（T/2）之后，可以從歐幾里得閾值獲得余弦閾值Ts。

用于假冒攻擊的攻擊成功率計(jì)算如下：

其中ImagePairs 由SGAN-AA 生成的對(duì)抗人臉圖像和匹配的目標(biāo)人臉組成。

用于躲閃攻擊的攻擊成功率計(jì)算如下：

其中ImagePairs 由SGAN-AA 生成的對(duì)抗人臉圖像和輸入面部圖像組成。

最后，計(jì)算均方誤差（MSE）和結(jié)構(gòu)相似度指數(shù)測(cè)度（SSIM）以評(píng)估不同攻擊的原始人臉圖像x和對(duì)抗人臉圖像xadv之間的質(zhì)量。

3.5 環(huán)境與細(xì)節(jié)

實(shí)驗(yàn)使用Adam 優(yōu)化器，并在NVIDIARTX3090ti圖形處理器上進(jìn)行，所有實(shí)驗(yàn)的固定學(xué)習(xí)率為0.05，最多300次epochs。SGAN-AA 是使用PyTorch v1.7.0實(shí)現(xiàn)的，該方法訓(xùn)練TFV模型以獲得每個(gè)屬性的類可能性評(píng)分PS。實(shí)驗(yàn)基于具有不同身份的原始圖像和目標(biāo)圖像執(zhí)行假冒攻擊，并基于具有相同身份的成對(duì)原始圖像執(zhí)行躲閃攻擊。所有選擇的人臉圖像都通過(guò)MTNN 檢測(cè)器來(lái)檢測(cè)并對(duì)齊，然后在112×112×3 像素范圍內(nèi)得到調(diào)整后的圖像，但由于模型輸入的差異，每個(gè)模型內(nèi)部將執(zhí)行特定的輸入。

4 實(shí)驗(yàn)結(jié)果

為了驗(yàn)證SGAN-AA 的有效性，實(shí)驗(yàn)評(píng)估了該方法的對(duì)抗人臉圖像，并驗(yàn)證其在不同的FV 模型下實(shí)現(xiàn)了更高的攻擊成功率，而且提高了對(duì)抗攻擊的可轉(zhuǎn)移性。黑盒環(huán)境下SGAN-AA 實(shí)現(xiàn)了高攻擊成功率，而且可以生成逼真、多樣化的對(duì)抗人臉圖像。表1 和表2 列出了各種方法的攻擊成功率，分別使用FaceNet 和ArcFace 模型生成對(duì)抗樣本進(jìn)行假冒和躲閃攻擊。

表1 FaceNet模型生成對(duì)抗樣本進(jìn)行攻擊（*表示白盒攻擊，粗體數(shù)字表示最高攻擊成功率）

表2 ArcFace模型生成對(duì)抗樣本進(jìn)行攻擊（*表示白盒攻擊，粗體數(shù)字表示最高攻擊成功率）

4.1 白盒攻擊的比較

為了驗(yàn)證SGAN-AA 方法的有效性，實(shí)驗(yàn)首先將SGAN-AA 與白盒環(huán)境中的基線方法進(jìn)行比較，在CelebA 數(shù)據(jù)集上使用FaceNet 和ArcFace 模型對(duì)這些基線方法進(jìn)行訓(xùn)練，然后計(jì)算每種方法的攻擊成功率。表1 中比較了SGAN-AA 和FaceNet 模型上白盒環(huán)境中的基線，用于假冒攻擊和躲閃攻擊。SGANAA 方法的所有變體都達(dá)到了近100%的攻擊成功率，證實(shí)了SGAN-AA 可以成功欺騙TFV 模型。表2中比較了SGAN-AA 和ArcFace 模型上白盒環(huán)境中的基線，用于假冒攻擊和躲閃攻擊。通過(guò)實(shí)驗(yàn)得出結(jié)論，SGAN-AA 可以生成有效的對(duì)抗人臉圖像以在白盒環(huán)境中欺騙TFV模型。

4.2 黑盒攻擊的比較

大多數(shù)人臉識(shí)別系統(tǒng)不允許訪問(wèn)神經(jīng)網(wǎng)絡(luò)的內(nèi)部信息。在黑盒環(huán)境中，權(quán)重和網(wǎng)絡(luò)架構(gòu)不包括在訓(xùn)練過(guò)程中，因此有必要評(píng)估人臉識(shí)別在基于轉(zhuǎn)移和基于分?jǐn)?shù)置信度的攻擊環(huán)境中的脆弱性。

4.2.1 可轉(zhuǎn)移性分析

不同模型之間的可轉(zhuǎn)移性是對(duì)抗樣本最重要的特性之一。為了驗(yàn)證SGAN-AA 生成的對(duì)抗人臉圖像在2 個(gè)白盒模型下的可轉(zhuǎn)移性，實(shí)驗(yàn)從FaceNet 和ArcFace模型生成的對(duì)抗人臉圖像中構(gòu)建了一個(gè)數(shù)據(jù)集，然后評(píng)估5 種不同TFV 模型的攻擊成功率。觀察表1 可得，對(duì)于假冒攻擊，SGAN-AA 與各種基線相比實(shí)現(xiàn)了較高的攻擊成功率。相比之下，Sticker 和Face Mask 方法的攻擊成功率沒(méi)有超過(guò)17%，F(xiàn)GSM和BIM 方法在所有TFV 模型上表現(xiàn)出最弱的可轉(zhuǎn)移性，PGD、MI-FGSM、Random Selection 和SemanticAdv方法實(shí)現(xiàn)了比FGSM 和BIM 更好的可轉(zhuǎn)移性。這些攻擊的攻擊成功率在7.4%～32.4%之間，SGAN-AA 顯然優(yōu)于它們。

Random Selection 和SemanticAdv 方法也通過(guò)修改面部特征來(lái)進(jìn)行對(duì)抗攻擊，但它們只改變隨機(jī)屬性或單個(gè)固定屬性，SGAN-AA-CS 對(duì)單個(gè)屬性的可轉(zhuǎn)移性在所有模型上都超過(guò)了其他方法。同樣，該方法在躲閃攻擊方面明顯優(yōu)于其他基線，如表1 所示，SGAN-AA-CS 針對(duì)SphereFace 生成的對(duì)抗人臉圖像比基線攻擊高出14.1～53.7個(gè)百分點(diǎn)。

如表2 所示，SGAN-AA 提高了ArcFace 模型生成的對(duì)抗人臉圖像相較于基線攻擊針對(duì)不同模型的可轉(zhuǎn)移性，主要原因是該方法改變了影響決策的最顯著屬性。SGAN-AA-CS 的主要優(yōu)點(diǎn)是它不需要為屬性預(yù)測(cè)任務(wù)訓(xùn)練TFV模型，可以簡(jiǎn)單高效地直接應(yīng)用這些模型。MobileFace 由于權(quán)重較輕，容易受到Arc-Face 上生成的對(duì)抗人臉圖像的攻擊，而FaceNet 模型則很難轉(zhuǎn)移到其他模型。

4.2.2 基于分?jǐn)?shù)置信度的攻擊比較

本文評(píng)估了基于分?jǐn)?shù)置信度的SGAN-AA 黑盒攻擊的性能，以實(shí)驗(yàn)驗(yàn)證SGAN-AA 在黑盒環(huán)境中可以生成欺騙不同F(xiàn)V 模型的對(duì)抗圖像。實(shí)驗(yàn)改進(jìn)了SemanticAdv 方法（表示為ImSemanticAdv），以在隨機(jī)屬性選擇的基礎(chǔ)上向黑盒環(huán)境中添加多個(gè)屬性，然后將SGAN-AA 與ImSemanticAdv 進(jìn)行比較，后者更改屬性的過(guò)程遵循相同的方法，即通過(guò)循環(huán)來(lái)改變隨機(jī)屬性直到達(dá)成對(duì)抗?；诜?jǐn)?shù)置信度的假冒和躲閃黑盒攻擊的主要結(jié)果如圖3 所示。SGAN-AA 在所有不同的模型中都優(yōu)于ImSemanticAdv，與ImSemanticAdv 相比，SGAN-AA 在假冒和躲閃攻擊下的平均攻擊成功率分別提高了13～29.8個(gè)百分點(diǎn)和9.9～54.7個(gè)百分點(diǎn)。因此，預(yù)測(cè)目標(biāo)模型的最顯著屬性會(huì)提升攻擊的性能。

圖3 黑盒攻擊的平均攻擊成功率

5 結(jié)束語(yǔ)

本文提出了一種對(duì)抗攻擊方法SGAN-AA，用于在白盒和黑盒環(huán)境中生成語(yǔ)義對(duì)抗人臉圖像。在白盒環(huán)境中，SGAN-AA 首先通過(guò)TFV 預(yù)測(cè)每個(gè)輸入圖像的顯著屬性，并使用余弦相似度或可能性評(píng)分來(lái)確定最顯著屬性，然后使用特征空間中的StarGAN 模型來(lái)改變最顯著屬性。在黑盒環(huán)境中，SGAN-AA 循環(huán)更改有序的顯著屬性直到輸出對(duì)抗圖像，生成的對(duì)抗人臉圖像實(shí)現(xiàn)了良好的假冒和躲閃攻擊。結(jié)果表明，SGAN-AA 可以生成高質(zhì)量且逼真的圖像，在白盒和黑盒環(huán)境中實(shí)現(xiàn)較高的攻擊成功率，并且表現(xiàn)出比許多常見(jiàn)的人臉攻擊方法更高的可轉(zhuǎn)移性。