[发明专利]一种基于噪声灭活的生物特征识别对抗防御方法

说明书

本发明提供通用的一种基于噪声灭活的生物特征识别对抗防御方法，包括：采用主成分分析算法在输入图像训练集上计算所述输入图像训练集的M个特征向量组成的特征向量库F；子空间估计器训练，所述子空间估计器的输出为m个概率向量，所述m个概率向量p的每一分量均对应所述特征向量库F中的一个特征向量；根据所述子空间估计器输出的m个概率向量p中每个分量提供的选择概率在所述特征向量库F中进行采样，选出特征向量构成所述子空间；将输入图像x’投影至选出的特征向量张成的所述子空间进行图像重建。

技术领域

本申请涉及模式识别领域，尤其涉及一种基于噪声灭活的生物特征识别对抗防御方法。

背景技术

近年来，生物特征识别技术有了突破性进展，包括人脸识别、虹膜识别、指纹识别、掌纹识别、静脉识别、行人再识别等。生物特征识别技术在各个领域得到了广泛应用，其中大多数应用场景都具有较高的安全性要求，例如金融、安防、边境管控等。然而，当前主流的生物特征识别方法在对抗攻击下却十分脆弱，通过在物理上或输入图像中添加对抗噪声，对抗攻击产生的对抗样本能够轻易攻破生物特征识别系统，改变识别结果。这给生物特征识别系统带来了巨大的安全隐患。

为了应对对抗攻击带来的威胁，现有的生物特征识别对抗防御方法都采用了对抗训练的思路，即将对抗攻击产生的对抗样本引入识别模型的训练过程，以增强识别模型对于对抗样本的鲁棒性。其中主要包括两类实现方案：

1）直接将对抗样本加入训练数据集。此类方案首先用某种或某几种对抗攻击方法产生对抗样本，而后用产生的对抗样本对识别模型进行训练。训练的方式可以是将预训练好的识别模型在对抗样本上进行微调，也可以是将对抗样本与普通样本进行混合后进行训练，以增强识别模型对于对抗样本的鲁棒性。

2）通过训练策略或训练的损失函数将对抗样本引入训练过程。此类方案不显式地产生对抗样本，而是依据某种对抗攻击方法，设计对抗训练的策略或者改变训练的损失函数，在训练过程中迭代优化识别模型和输入样本，以增强识别模型对于对抗样本的鲁棒性。

由于针对生物特征识别的攻击方法层出不穷，部署在开放环境中的生物特征识别系统会面对事先无法预知的对抗攻击方法的威胁，因此对未曾出现在训练过程中的对抗攻击方法的泛化性能对于对抗防御方法是十分关键的。

而现有的基于对抗训练的方法，不论是直接将对抗样本加入训练数据集还是通过训练策略或训练的损失函数将对抗样本引入训练过程，由于其识别模型的训练都依赖于特定的对抗攻击方法产生的对抗样本，因此其得到的识别模型对于出现在训练过程中的对抗攻击方法具有较好的鲁棒性，而对于那些未曾出现在训练过程中的对抗攻击方法，往往鲁棒性较差，也就是说不具备较好的泛化性。

同时，基于对抗训练的对抗防御方法需要对识别模型进行重新训练，因此其实际部署成本较高。

申请公布号CN111753275A提了一种基于图像的用户隐私保护方法、装置、设备和存储介质，其中方法包括：获取待进行隐私保护的用户生物特征图像。该用户生物特征图像中包括特定类别的用户生物特征。该用户生物特征图像通过该特定类别的用户生物特征对应的生物特征识别模型识别后，能够得到用户个人信息。获取该特定类别的用户生物特征对应的对抗噪声模板。该对抗噪声模板基于该特定类别的用户生物特征对应的对抗样本图像、该特定类别的用户生物特征对应的生物特征识别模型和预设的对抗噪声模板生成算法生成。将上述用户生物特征图像与上述对抗噪声模板进行叠加，叠加后的用户生物特征图像含有对抗噪声，用于干扰用户生物特征识别，防止个人信息泄露。