[发明专利]一种基于PSO的反人脸识别方法

说明书

一种基于PSO的反人脸识别方法，包括以下步骤：S1：攻击者人脸数据预处理，加入数据集；S2：利用混合数据集训练人脸分类器；S3：设置PSO参数以及对抗攻击参数；S4：PSO初始化，开始迭代进化过程寻找最优对抗扰动；S5：提取并实物化对抗配件，进行物理攻击测试。本发明针对黑盒人脸识别系统，通过PSO进化策略生成最优对抗扰动，利用面部配件实现对抗扰动的实物化，可以在数字与物理环境中实现有效的反人脸识别，相比其他白盒攻击策略有更好的模型泛化能力和实际应用价值。

技术领域

本发明涉及计算机视觉、机器学习领域，特别是涉及一种基于PSO的反人脸识别方法。

背景技术

随着人工智能的快速发展，人脸识别的研究方法从早期的模板匹配、PCA主成分分析到人工提取特征，再到如今主流的深度学习，这一技术已经走向成熟并成功应用于市场。

然而研究者发现神经网络存在天然缺陷，通过对抗攻击策略生成的对抗样本会干扰深度学习模型在图像识别等任务上的精度。攻击者通过对抗攻击策略生成带有对抗扰动的数据样本，将该对抗样本输入神经网络会导致模型对其预测发生改变，反映在人脸识别场景中，便是攻击者通过对抗样本可以在人脸识别系统下改变身份从而冒充他人。

目前针对人脸识别的对抗攻击，即反人脸识别的研究，主要是基于白盒人脸识别模型的图像攻击。这样的研究存在一定弊端，主要表现在忽略了：1.现实场景中无法获取人脸识别系统的内部信息；2.图片局部或全局扰动无法部署于真实场景；3.白盒攻击严重依赖模型，泛化能力较差；4.物理攻击引起的危害更大。

鉴于以上的研究盲点，本发明通过粒子群优化的进化策略，生成针对黑盒人脸识别模型的对抗样本，同时利用面部配件约束并物理化对抗扰动，使之可以部署于真实场景，达到较好的物理攻击效果。

发明内容

为了克服现有的人脸识别对抗攻击忽略了对抗扰动的物理可实现性、攻击策略的泛化能力等问题，本发明提供了一种基于PSO的反人脸识别方法，不仅考虑到设置黑箱模型模拟真实场景，同时也利用面部配件实现对抗扰动的物理化。

为了解决上述技术问题，本发明提供如下的技术方案：

一种基于PSO的反人脸识别方法，包括如下步骤：

S1：数据集预处理：将测试物理攻击的攻击者的人脸图像进行预处理，根据所选人脸识别模型网络的输入要求，对数据进行裁剪对齐；将预处理后的攻击者人脸数据加入数据库，和已有的数据集混合，用于训练人脸分类器；

S2：训练人脸分类器：利用所选人脸识别系统预训练的特征模型，对预处理的数据集进行训练得到人脸分类器，并利用测试集测试分类器精度；

S3：参数设置：设置PSO所需的参数以及对抗攻击的参数；

S4：进化寻优：首先进行PSO初始化，生成一定数量的不同纯色人脸粒子；在PSO的每次迭代中，对全部的粒子进行人脸识别得到相应的标签置信度排名，根据每个粒子的标签置信度排名以及面部配件像素信息计算每个粒子的适应度，更新粒子的个体最优与种群最优，最后更新每个粒子的速度与位置信息，重复迭代直至达到设置的最大迭代次数或者种群适应度收敛；

S5：物理攻击测试：若成功得到对抗样本，则提取对抗样本中的对抗配件，打印并佩戴在对应实验人员上，进行针对该人脸识别模型的物理攻击测试。

进一步，所述步骤S1中，数据库中已有的数据集为从LFW数据集中选取的部分标签构成的子数据集，为不可接触标签，可用于提供目标标签。测试物理攻击的实验人员为可接触的、可佩戴面部配件的可接触标签，区别于LFW数据集中的不可接触标签。模型网络的输入要求为人脸图像的尺寸大小。

再进一步，所述步骤S2中，预训练的特征模型为官方提供的、在其他大型数据集上进行特征提取训练过的模型。同时，预处理的数据集在训练过程中自动划分为80％训练集，20％测试集。