生成攻击样本的方法、装置、设备及存储介质与流程

【技术领域】

本发明涉及计算机应用技术，特别涉及生成攻击样本的方法、装置、设备及存储介质。

背景技术：

人脸识别技术与其它生物特征识别技术相比，在实际应用中具有天然独到的优势：可通过摄像头直接获取，可以非接触的方式完成识别过程，方便快捷。

目前已应用在金融、教育、景区、旅运、社保等各个领域，但方便的同时也带来了一些问题，如易获取，使得人脸容易被一些人用照片、视频等方式进行复制，从而达到窃取盗用信息的目的。尤其是在新兴的金融行业，人脸识别技术已逐渐应用于远程开户、取款、支付等，涉及用户的切身利益。

为此，现有技术中又提出了活体检测技术，所谓活体检测，通俗地讲，就是在人脸识别的过程中证明这张人脸对应的是个“活人”。

非活体(即攻击)的来源是比较广泛的，比如可包括手机或pad等上显示的照片和视频、各种打印的不同材质的照片(包含各种情形的弯曲、折叠、剪裁、挖洞等)等。

活体检测在社保、网上开户等重要场合都有其应用，比如，通过验证确定老年用户身份真实且健在后才能进行养老金的领取，网上开户时，以此来保证用户信息的真实、有效和安全等。

现有的活体检测方式中，通常利用摄像头来拍摄用户图片，之后利用分类模型区分出用户图片中的用户是否为活体等，相应地，则需要预先利用训练数据来训练得到分类模型。

训练数据中需要包括正样本和负样本，正样本即指针对真人(活人)拍摄到的图片样本，负样本即指攻击样本(攻击图片)。

而获取攻击样本通常是比较困难的，一旦攻击样本不足，则会导致分类模型训练效果不佳，进而影响后续的活体检测结果。

技术实现要素：

有鉴于此，本发明提供了生成攻击样本的方法、装置、设备及存储介质，能够克服攻击样本不足的问题。

具体技术方案如下：

一种生成攻击样本的方法，包括：

训练生成网络，所述生成网络用于利用真人图片生成攻击图片；

训练完成，利用所述生成网络生成攻击图片，将生成的攻击图片作为所述攻击样本。

根据本发明一优选实施例，所述利用真人图片生成攻击图片包括：

利用真人图片以及噪声生成攻击图片。

根据本发明一优选实施例，所述训练生成网络包括：

训练由所述生成网络以及判别网络组成的对抗生成网络；

其中，所述判别网络用于区分输入的图片为真人图片还是攻击图片。

根据本发明一优选实施例，该方法进一步包括：

在进行训练时，利用监督网络来限定所述生成网络生成的攻击图片的内容。

根据本发明一优选实施例，所述限定所述生成网络生成的攻击图片的内容包括：

限定生成的攻击图片与用于生成攻击图片的真人图片相比，其中的人脸id不变。

一种生成攻击样本的装置，包括：网络训练单元以及样本生成单元；

所述网络训练单元，用于训练生成网络，所述生成网络用于利用真人图片生成攻击图片；

所述样本生成单元，用于在训练完成后，利用所述生成网络生成攻击图片，将生成的攻击图片作为所述攻击样本。

根据本发明一优选实施例，所述生成网络利用真人图片以及噪声生成攻击图片。

根据本发明一优选实施例，所述网络训练单元训练由所述生成网络以及判别网络组成的对抗生成网络；

其中，所述判别网络用于区分输入的图片为真人图片还是攻击图片。

根据本发明一优选实施例，所述网络训练单元进一步用于，

在进行训练时，利用监督网络来限定所述生成网络生成的攻击图片的内容。

根据本发明一优选实施例，所述网络训练单元限定生成的攻击图片与用于生成攻击图片的真人图片相比，其中的人脸id不变。

一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如以上所述的方法。

一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如以上所述的方法。

基于上述介绍可以看出，采用本发明所述方案，可预先训练生成网络，生成网络用于利用真人图片来生成攻击图片，这样，在训练完成后，即可利用生成网络来生成攻击图片，进而将生成的攻击图片作为攻击样本，从而克服了现有技术中攻击样本不足的问题。

【附图说明】

图1为本发明所述生成攻击样本的方法第一实施例的流程图。

图2为本发明所述生成攻击样本的方法第二实施例的流程图。

图3为本发明所述生成攻击样本的方法第三实施例的流程图。

图4为本发明所述生成攻击样本的装置实施例的组成结构示意图。

图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框图。

【具体实施方式】

为了使本发明的技术方案更加清楚、明白，以下参照附图并举实施例，对本发明所述方案进行进一步说明。

显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明所述生成攻击样本的方法第一实施例的流程图，如图1所示，包括以下具体实现方式。

在101中，训练生成网络，生成网络用于利用真人图片生成攻击图片。

在102中，训练完成，利用生成网络生成攻击图片，将生成的攻击图片作为攻击样本。

即可预先训练生成网络，生成网络用于利用真人图片来生成攻击图片，这样，在训练完成后，即可利用生成网络来生成攻击图片，进而将生成的攻击图片作为攻击样本，从而克服了现有技术中攻击样本不足的问题。

可见，生成网络的任务就是要让一张真人图片变成一张攻击图片，由于需要对生成的攻击图片是否符合要求进行评估，因此，较佳地，可进一步引入判别网络，生成网络和判别网络共同组成对抗生成网络。

相应地，图2为本发明所述生成攻击样本的方法第二实施例的流程图，如图2所示，包括以下具体实现方式。

在201中，训练由生成网络以及判别网络组成的对抗生成网络，其中，生成网络用于利用真人图片生成攻击图片，判别网络用于区分输入的图片为真人图片还是攻击图片。

在202中，训练完成，利用生成网络生成攻击图片，将生成的攻击图片作为攻击样本。

目前，对抗生成网络是学术界的一个研究热点，对抗生成网络由生成网络和判别网络组成，生成网络也可称为生成器(generator)，判别网络也可称为鉴别器(discriminator)。

生成网络会竭尽全力地模仿真实分布生成样本，而判别网络则会竭尽全力地区分出真实样本和生成网络生成的模仿样本，直到判别网络无法区分出真实样本和模仿样本为止。

生成网络就好比一个小偷，而判别网络则好比一个警察，小偷的目的是想方设法地欺骗警察，而警察的目的则是想方设法地不被小偷欺骗，小偷和警察都在不断地优化自己去达到目的，彼此都在对方的“监督”下得到提升。

具体到本实施例中，生成网络可利用真人图片以及噪声来生成攻击图片，真人图片可以是指真人对着摄像头拍摄到的图片等，可预先获取多张真人图片，所述噪声可为随机噪声，如何根据真人图片和噪声生成攻击图片为现有技术。判别网络用于区分输入的图片为真人图片还是攻击图片。

训练对抗生成网络主要是为了得到生成网络，如何训练对抗生成网络同样为现有技术，训练完成后，即当判别网络无法区分出生成网络生成的图片为真实图片还是攻击图片时，即可利用生成网络来生成攻击图片，进而将生成的攻击图片作为所需的攻击样本。

后续，即可利用生成的攻击样本来进行分类模型的训练等，从而克服了现有技术中攻击样本不足的问题。

另外，根据真人图片生成的攻击图片，不能是乱七八糟的没有意义的图片，如果是这样，那么判别网络可以很容易地区分出是攻击图片，从而失去了训练价值。

为此，本实施例中提出，在进行训练时，可以利用监督网络来限定生成网络生成的攻击图片的内容。

较佳地，可限定生成的攻击图片与用于生成攻击图片的真人图片相比，其中的人脸id不变。

比如，对于一张真人图片来说，可从中抽取出一个固定维度如128维的人脸特征向量，在利用该真人图片生成一张攻击图片之后，从攻击图片中也可以抽取出一个128维的人脸特征向量，这两个人脸特征向量之间的距离需要尽可能的小，即相比于从真人图片中提取出的人脸特征向量，从攻击图片中提取出的人脸特征向量需要保持不变或变化很小，从而保证生成的攻击图片中还是一张正常的人脸。

基于上述介绍，图3为本发明所述生成攻击样本的方法第三实施例的流程图，如图3所示，包括以下具体实现方式。

在301中，训练由生成网络以及判别网络组成的对抗生成网络，其中，生成网络用于利用真人图片生成攻击图片，判别网络用于区分输入的图片为真人图片还是攻击图片。

生成网络可利用输入的真人图片以及噪声来生成攻击图片。

在302中，在生成攻击图片时，利用监督网络来限定生成网络生成的攻击图片的内容。

比如，限定生成的攻击图片与用于生成攻击图片的真人图片相比，其中的人脸id不变。

在303中，训练完成，利用生成网络生成攻击图片，将生成的攻击图片作为攻击样本。

训练完成，即当判别网络无法区分出生成网络生成的图片为真实图片还是攻击图片时，即可利用生成网络来生成攻击图片，进而将生成的攻击图片作为攻击样本。

后续，即可利用生成的攻击样本来进行分类模型的训练等，从而克服了现有技术中攻击样本不足的问题。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

总之，采用上述各方法实施例所述方案，可预先训练由生成网络以及判别网络组成的对抗生成网络，训练完成后，即可利用其中的生成网络来生成攻击图片，进而将生成的攻击图片作为攻击样本，从而克服了现有技术中攻击样本不足的问题。

而且，采用上述各方法实施例所述方案，可利用监督网络来限定生成网络生成的攻击图片的内容，从而提升了训练效果。

以上是关于方法实施例的介绍，以下通过装置实施例，对本发明所述方案进行进一步说明。

图4为本发明所述生成攻击样本的装置实施例的组成结构示意图，如图4所示，包括：网络训练单元401以及样本生成单元402。

网络训练单元401，用于训练生成网络，生成网络用于利用真人图片生成攻击图片。

样本生成单元402，用于在训练完成后，利用生成网络生成攻击图片，将生成的攻击图片作为攻击样本。

即可由网络训练单元401来预先训练生成网络，训练完成后，样本生成单元402即可利用生成网络来生成攻击图片，进而将生成的攻击图片作为攻击样本。

可见，生成网络的任务就是要让一张真人图片变成一张攻击图片，由于需要对生成的攻击图片是否符合要求进行评估，因此，较佳地，可进一步引入判别网络，生成网络和判别网络共同组成对抗生成网络。

相应地，网络训练单元401可训练由生成网络以及判别网络组成的对抗生成网络，其中，判别网络用于区分输入的图片为真人图片还是攻击图片。

目前，对抗生成网络是学术界的一个研究热点，对抗生成网络由生成网络和判别网络组成。

生成网络会竭尽全力地模仿真实分布生成样本，而判别网络则会竭尽全力地区分出真实样本和生成网络生成的模仿样本，直到判别网络无法区分出真实样本和模仿样本为止。

生成网络就好比一个小偷，而判别网络则好比一个警察，小偷的目的是想方设法地欺骗警察，而警察的目的则是想方设法地不被小偷欺骗，小偷和警察都在不断地优化自己去达到目的，彼此都在对方的“监督”下得到提升。

具体到本实施例中，生成网络可利用真人图片以及噪声来生成攻击图片，真人图片可以是指真人对着摄像头拍摄到的图片等，可预先获取多张真人图片，所述噪声可为随机噪声，如何根据真人图片和噪声生成攻击图片为现有技术。判别网络用于区分输入的图片为真人图片还是攻击图片。

训练对抗生成网络主要是为了得到生成网络，如何训练对抗生成网络同样为现有技术，训练完成后，即当判别网络无法区分出生成网络生成的图片为真实图片还是攻击图片时，样本生成单元402即可利用生成网络来生成攻击图片，进而将生成的攻击图片作为所需的攻击样本。

另外，根据真人图片生成的攻击图片，不能是乱七八糟的没有意义的图片，如果是这样，那么判别网络可以很容易地区分出是攻击图片，从而失去了训练价值。

为此，网络训练单元401可进一步用于，利用监督网络来限定生成网络生成的攻击图片的内容。

较佳地，可限定生成的攻击图片与用于生成攻击图片的真人图片相比，其中的人脸id不变。

比如，对于一张真人图片来说，可从中抽取出一个固定维度如128维的人脸特征向量，在利用该真人图片生成一张攻击图片之后，从攻击图片中也可以抽取出一个128维的人脸特征向量，这两个人脸特征向量之间的距离需要尽可能的小，即相比于从真人图片中提取出的人脸特征向量，从攻击图片中提取出的人脸特征向量需要保持不变或变化很小，从而保证生成的攻击图片中还是一张正常的人脸。

图4所示装置实施例的具体工作流程请参照前述方法实施例中的相应说明，不再赘述。

总之，采用上述装置实施例所述方案，可预先训练由生成网络以及判别网络组成的对抗生成网络，训练完成后，即可利用其中的生成网络来生成攻击图片，进而将生成的攻击图片作为攻击样本，从而克服了现有技术中攻击样本不足的问题。

而且，采用上述装置实施例所述方案，可利用监督网络来限定生成网络生成的攻击图片的内容，从而提升了训练效果。

图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框图。图5显示的计算机系统/服务器12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图5所示，计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于：一个或者多个处理器(处理单元)16，存储器28，连接不同系统组件(包括存储器28和处理器16)的总线18。

总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。

计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图5未显示，通常称为“硬盘驱动器”)。尽管图5中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom,dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如存储器28中，这样的程序模块42包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。

计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信，和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口22进行。并且，计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图5所示，网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白，尽管图中未示出，可以结合计算机系统/服务器12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

处理器16通过运行存储在存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现图1、2或3所示实施例中的方法，即训练生成网络，生成网络用于利用真人图片生成攻击图片，训练完成，利用生成网络生成攻击图片，将生成的攻击图片作为攻击样本。

较佳地，可训练由生成网络以及判别网络组成的对抗生成网络，其中，判别网络用于区分输入的图片为真人图片还是攻击图片。

具体实现请参照前述各实施例中的相关说明，不再赘述。

本发明同时公开了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时将实现如图1、2或3所示实施例中的方法。

可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、电线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如”c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法等，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。