对抗样本检测方法、装置、计算机设备和存储介质与流程

本技术涉及人工智能领域，特别是涉及一种对抗样本检测方法、装置、计算机设备、存储介质和计算机程序产品。

背景技术：

1、近年来，随着图形处理器计算能力的大幅度跃升，卷积神经网络(convolutionalneural network，简称cnn)在包括图像分类、行人重识别和人脸识别在内的广泛任务中取得了长足的进步。

2、cnn容易受到对抗样本的影响，对抗样本通常难以被人类感知，但却会造成严重的算法输出错误。人脸对抗样本作为对抗样本的一种，严重影响人脸识别系统的安全。

3、然而相关技术的人脸对抗样本检测方法，通常针对特定攻击或特定任务而设计，要在新攻击出现后生成新的人脸对抗样本以重新训练对抗检测模型，导致对抗检测模型泛华性较差，无法准确识别不同对抗攻击类型的人脸对抗样本。

4、因此，相关技术中存在着针对人脸对抗样本的检测准确性低的问题。

技术实现思路

1、基于此，有必要针对上述技术问题，提供一种能够提高针对人脸对抗样本的检测准确性的对抗样本检测方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。

2、第一方面，本技术提供了一种对抗样本检测方法。所述方法包括：

3、针对原始人脸样本图像集，通过模拟通用对抗扰动，获得至少两种不同形状类型的模拟对抗扰动；所述通用对抗扰动为通过至少两种基于梯度的通用对抗攻击方法生成的对抗扰动；

4、添加各所述形状类型的模拟对抗扰动至所述原始人脸样本图像集中的原始人脸样本图像，得到模拟对抗样本图像集；

5、根据所述模拟对抗样本图像集和所述原始人脸样本图像集，生成目标对抗检测训练集；所述目标对抗检测训练集用于训练出人脸对抗检测模型；所述人脸对抗检测模型用于检测待检测人脸图像是否为人脸对抗样本。

6、在其中一个实施例中，所述针对原始人脸样本图像集，通过模拟通用对抗扰动，获得至少两种不同形状类型的模拟对抗扰动，包括：

7、将预设数量的所述原始人脸样本图像作为第一原始样本图像，并将所述原始人脸样本图像集中除所述第一原始样本图像以外的图像，作为第二原始样本图像；

8、针对所述第一原始样本图像，通过模拟所述通用对抗扰动，得到第一形状类型的模拟对抗扰动；

9、针对所述第二原始样本图像，通过模拟所述通用对抗扰动，得到第二形状类型的模拟对抗扰动；

10、根据所述第一形状类型的模拟对抗扰动和所述第二形状类型的模拟对抗扰动，确定所述至少两种不同形状类型的模拟对抗扰动。

11、在其中一个实施例中，所述针对所述第一原始样本图像，通过模拟所述通用对抗扰动，得到第一形状类型的模拟对抗扰动，包括：

12、获取第一全零矩阵；所述第一全零矩阵的矩阵规模与所述第一原始样本图像的图像尺寸匹配；

13、针对所述第一原始样本图像中的每个像素点在所述第一全零矩阵中对应的像素点位置，分别在各所述像素点位置处添加随机扰动值，得到第一目标矩阵；

14、将所述第一目标矩阵，作为点状的模拟对抗扰动，得到所述第一形状类型的模拟对抗扰动。

15、在其中一个实施例中，所述针对所述第二原始样本图像，通过模拟所述通用对抗扰动，得到第二形状类型的模拟对抗扰动，包括：

16、获取第二全零矩阵；所述第二全零矩阵的矩阵规模与所述第二原始样本图像的图像尺寸匹配；

17、遍历所述第二原始样本图像中的每个像素点在所述第二全零矩阵中对应的掩码区域，分别在各所述掩码区域中添加随机扰动值，得到第二目标矩阵；所述掩码区域为具有预设尺寸，且包含有相应的所述像素点的像素点区域；

18、将所述第二目标矩阵作为块状的模拟对抗扰动，得到所述第二形状类型的模拟对抗扰动。

19、在其中一个实施例中，所述添加各所述形状类型的模拟对抗扰动至所述原始人脸样本图像集中的原始人脸样本图像，得到模拟对抗样本图像集，包括：

20、将所述第一形状类型的模拟对抗扰动添加至所述第一原始样本图像，得到第一模拟样本图像；

21、将所述第二形状类型的模拟对抗扰动添加至所述第二原始样本图像，得到第二模拟样本图像；

22、根据所述第一模拟样本图像和所述第二模拟样本图像，确定所述模拟对抗样本图像集。

23、在其中一个实施例中，所述根据所述模拟对抗样本图像集和所述原始人脸样本图像集，生成目标对抗检测训练集，包括：

24、根据所述模拟对抗样本图像集和所述原始人脸样本图像集，得到对抗检测训练集；所述对抗检测训练集包括若干对抗检测样本图像；

25、定位所述对抗检测样本图像的分类敏感区域，得到所述目标对抗检测训练集；所述分类敏感区域为所述对抗检测样本图像中分类影响权重满足预设条件的区域。

26、在其中一个实施例中，所述定位所述对抗检测样本图像的分类敏感区域，得到所述目标对抗检测训练集，包括：

27、确定所述对抗检测样本图像对应的随机概率值；

28、在所述随机概率值大于预设概率值阈值的情况下，定位所述对抗检测样本图像的分类敏感区域，得到优化后的对抗检测样本图像；

29、根据所述优化后的对抗检测样本图像，得到所述目标对抗检测训练集。

30、在其中一个实施例中，所述定位所述对抗检测样本图像的分类敏感区域，包括：

31、通过将所述对抗检测样本图像输入至待训练的人脸对抗检测模型，对所述对抗检测样本图像进行伪造注意力图计算，得到所述对抗检测样本图像对应的注意力掩码图；所述注意力掩码图用于表征所述人脸对抗检测模型对所述对抗检测样本图像中每一像素点的分类敏感度；

32、根据所述对抗检测样本图像中每一像素点对应的分类敏感度，在所述对抗检测样本图像中筛选出目标像素点，得到所述对抗检测样本图像的分类敏感区域；所述目标像素点对应的分类敏感度大于预设敏感度阈值。

33、在其中一个实施例中，所述通过将所述对抗检测样本图像输入至待训练的人脸对抗检测模型，对所述对抗检测样本图像进行伪造注意力图计算，得到所述对抗检测样本图像对应的注意力掩码图，包括：

34、通过将所述对抗检测样本图像输入至所述待训练的人脸对抗检测模型，得到所述对抗检测样本图像对应的对抗类概率值和非对抗类概率值；

35、根据所述对抗类概率值和所述非对抗类概率值的差值，确定所述对抗检测样本图像对应的扰动梯度值；所述扰动梯度值为根据所述差值的绝对值进行梯度运算确定得到的；

36、针对所述对抗检测样本图像的每个像素点的色彩通道对应的扰动梯度值，确定最大扰动梯度值，作为各所述像素点对应的掩码值；

37、根据所述对抗检测样本图像的每个像素点对应的掩码值，得到所述注意力掩码图。

38、在其中一个实施例中，所述得到优化后的对抗检测样本图像，包括：

39、根据所述分类敏感区域在所述对抗检测样本图像中的位置，确定所述分类敏感区域在所述对抗检测样本图像中对应的待覆盖区域；所述待覆盖区域为根据随机起点位置和随机尺寸对所述分类敏感区域进行扩展确定得到的；

40、通过随机数矩阵对所述待覆盖区域进行覆盖，得到可疑伪造消除后的对抗检测样本图像；所述随机数矩阵的矩阵规模与所述待覆盖区域的区域规模匹配；

41、将所述可疑伪造消除后的对抗检测样本图像，作为所述优化后的对抗检测样本图像。

42、第二方面，本技术还提供了一种对抗样本检测装置。所述装置包括：

43、模拟模块，用于针对原始人脸样本图像集，通过模拟通用对抗扰动，获得至少两种不同形状类型的模拟对抗扰动；所述通用对抗扰动为通过至少两种基于梯度的通用对抗攻击方法生成的对抗扰动；

44、添加模块，用于添加各所述形状类型的模拟对抗扰动至所述原始人脸样本图像集中的原始人脸样本图像，得到模拟对抗样本图像集；

45、生成模块，用于根据所述模拟对抗样本图像集和所述原始人脸样本图像集，生成目标对抗检测训练集；所述目标对抗检测训练集用于训练出人脸对抗检测模型；所述人脸对抗检测模型用于检测待检测人脸图像是否为人脸对抗样本。

46、第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

47、针对原始人脸样本图像集，通过模拟通用对抗扰动，获得至少两种不同形状类型的模拟对抗扰动；所述通用对抗扰动为通过至少两种基于梯度的通用对抗攻击方法生成的对抗扰动；

48、添加各所述形状类型的模拟对抗扰动至所述原始人脸样本图像集中的原始人脸样本图像，得到模拟对抗样本图像集；

49、根据所述模拟对抗样本图像集和所述原始人脸样本图像集，生成目标对抗检测训练集；所述目标对抗检测训练集用于训练出人脸对抗检测模型；所述人脸对抗检测模型用于检测待检测人脸图像是否为人脸对抗样本。

50、第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

51、针对原始人脸样本图像集，通过模拟通用对抗扰动，获得至少两种不同形状类型的模拟对抗扰动；所述通用对抗扰动为通过至少两种基于梯度的通用对抗攻击方法生成的对抗扰动；

52、添加各所述形状类型的模拟对抗扰动至所述原始人脸样本图像集中的原始人脸样本图像，得到模拟对抗样本图像集；

53、根据所述模拟对抗样本图像集和所述原始人脸样本图像集，生成目标对抗检测训练集；所述目标对抗检测训练集用于训练出人脸对抗检测模型；所述人脸对抗检测模型用于检测待检测人脸图像是否为人脸对抗样本。

54、第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

55、针对原始人脸样本图像集，通过模拟通用对抗扰动，获得至少两种不同形状类型的模拟对抗扰动；所述通用对抗扰动为通过至少两种基于梯度的通用对抗攻击方法生成的对抗扰动；

56、添加各所述形状类型的模拟对抗扰动至所述原始人脸样本图像集中的原始人脸样本图像，得到模拟对抗样本图像集；

57、根据所述模拟对抗样本图像集和所述原始人脸样本图像集，生成目标对抗检测训练集；所述目标对抗检测训练集用于训练出人脸对抗检测模型；所述人脸对抗检测模型用于检测待检测人脸图像是否为人脸对抗样本。

58、上述对抗样本检测方法、装置、计算机设备、存储介质和计算机程序产品，通过针对原始人脸样本图像集，通过模拟通用对抗扰动，获得至少两种不同形状类型的模拟对抗扰动；其中，通用对抗扰动为通过至少两种基于梯度的通用对抗攻击方法生成的对抗扰动；添加各形状类型的模拟对抗扰动至原始人脸样本图像集中的原始人脸样本图像，得到模拟对抗样本图像集；根据模拟对抗样本图像集和原始人脸样本图像集，生成目标对抗检测训练集；目标对抗检测训练集用于训练出人脸对抗检测模型；人脸对抗检测模型用于检测待检测人脸图像是否为人脸对抗样本。

59、如此，虽然多种基于梯度的通用对抗攻击方法可以对应生成多种通用对抗扰动，但通用对抗扰动存在着固定模式，具有通用的对抗扰动形状，而通过针对原始人脸样本图像集，模拟通用对抗扰动的固定模式，以获得至少两种不同形状类型的模拟对抗扰动，并添加至原始人脸样本图像得到模拟对抗样本图像集，使得模拟对抗样本图像集可以覆盖多种通用对抗扰动，从而可以不使用根据通用的基于梯度的对抗攻击方法生成的对抗扰动得到的真实人脸对抗样本，仅使用原始人脸样本图像集和模拟对抗样本图像集，训练人脸对抗检测模型，从而使得训练出的人脸对抗检测模型不是仅针对某种特定的对抗攻击方法进行人脸对抗样本检测，而是可以针对多种通用的基于梯度的对抗攻击方法进行人脸对抗样本检测，有效提高了人脸对抗检测模型的性能和泛化能力，可以针对多种对抗攻击进行人脸对抗样本检测，进而提高了人脸对抗样本的检测准确性。