AdvDiffusion:用于面部识别的对抗性补丁生成技术,其在物理场景中具有高度的可迁移性
《Journal of Optical Communications and Networking》:AdvDiffusion: Adversarial Patches Generation for Face Recognition With High Transferability in Physical Domain
【字体:
大
中
小
】
时间:2026年06月10日
来源:Journal of Optical Communications and Networking 4.3
编辑推荐:
摘要: 在现实世界中,面部识别模型容易受到对抗性补丁的欺骗。攻击者只需在目标脸上贴上带有特殊图案的贴纸,就能使面部识别模型做出错误的身份判断。然而,现有的攻击方法无法应用于黑盒模型,且对模型迁移性的改进主要集中在基于p-范数的对抗性扰动上。为了进一步提高攻击效果和迁移性,提出了
摘要:
在现实世界中,面部识别模型容易受到对抗性补丁的欺骗。攻击者只需在目标脸上贴上带有特殊图案的贴纸,就能使面部识别模型做出错误的身份判断。然而,现有的攻击方法无法应用于黑盒模型,且对模型迁移性的改进主要集中在基于p-范数的对抗性扰动上。为了进一步提高攻击效果和迁移性,提出了一种名为AdvDiffusion的高迁移性面部识别对抗性补丁生成方法。该方法首先根据面部梯度图确定对抗性补丁的生成区域,然后通过添加噪声并使用预训练的扩散模型进行去噪来生成对抗性补丁。在去噪过程中,利用对抗性损失来微调模型,以生成具有欺骗能力的对抗性补丁。实验和分析表明,该方法生成的对抗性补丁在数字和物理领域对黑盒面部识别模型都具有很强的攻击效果,并且在复杂物理环境变化下也比一些现有技术具有更好的鲁棒性。它在物理领域的黑盒攻击中具有广泛的应用潜力。
I. 引言
基于深度学习的面部识别模型已被广泛应用于许多现实场景中,如手机解锁、面部识别登录以及移动支付[1]。早期的对抗性攻击主要针对数字世界,通过对数字图像中的单个像素点进行微小扰动来实现,这些扰动人眼无法察觉。随后出现了对抗性补丁[2],使得攻击方式从数字领域扩展到了物理领域。将对抗性补丁打印到现实世界中,再用相机拍摄,仍然可以成功欺骗分类模型[3]。此后,关于物理领域对抗性补丁的研究越来越多。攻击者可以通过在身体部位打印对抗性图案来欺骗目标检测模型[4]、[5]、[6];在交通标志上精心制作的对抗性补丁会导致交通标志检测系统输出错误的识别结果[7]、[8]、[9];将对抗性补丁隐藏在攻击者的面部装饰品中也能使面部识别模型产生误判[10]、[11]、[12]、[13]。这些研究表明,即使在物理世界中打印出来后,数字领域生成的对抗性补丁仍然具有攻击性,这给现实世界的安全系统带来了更多挑战。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
