作为计算机视觉领域三大顶会之一,CVPR2021将于将于 6 月 19 日到 25 日线上举行。6月12日,为促进国内计算机视觉学术交流,国内领先的前沿科技媒体机器之心组织「CVPR 2021论文分享会」线下学术交流活动。
RealAI算法科学家萧子豪应邀带来入选论文《利用生成模型提高针对人脸识别对抗样本的迁移性》的分享,他表示,这一攻击方法的提出能够促进防御技术的优化,大幅提升人脸识别模型的鲁棒性,推动人脸应用的安全可控。
深度神经网络的提出极大提高了人脸识别的效率,也推动人脸识别模型在身份认证等安全场景中的应用。但深度神经网络容易受到对抗样本的攻击,甚至对抗样本可以在物理空间以隐蔽的方式实现,比如路牌上的对抗补丁、带有噪音的对抗眼镜等,这些给人脸识别模型的实际应用带来了全新的安全问题。AI算法攻防研究是目前计算机视觉识别领域的热门研究方向,通过攻防升级不断提升模型的鲁棒性。本次分享的论文,RealAI提出一种“基于生成模型提升人脸识别中对抗样本迁移性”的方法。
萧子豪表示,针对黑盒模型的攻防研究具有现实意义,但黑盒模型无法获知模型参数、无法进行大量访问等信息,所以需采用对抗样本的可迁移性开展针对黑盒的对抗研究,即首先针对某白盒替代模型开展攻击研究,然后将对应的攻击样本迁移至目标的黑盒模型上。这篇论文在原本基于迁移性的攻击技术基础上进行了扩展。
在基于迁移性的方法下,对抗样本的迁移性对于初始值很敏感,当扰动幅度较大时,即添加的对抗图案过于明显时,样本的可迁移性下降,这也表明攻击样本过拟合替代模型。因此,RealAI算法团队提出在低维数据流形上正则化对抗样本,流形由在正常人脸图像上预先训练的生成模型表示。通过在数据流形上优化,将人脸特征作为对抗性扰动,可以将替代模型的响应与目标模型的响应之间的差距显著减小,提升对抗样本的迁移能力。在数字世界的大量实验也证明了该方法的攻击成功性可得到提高,而且可应用于物理世界。
萧子豪表示,伴随人脸识别等计算机视觉识别技术的大规模应用,这一攻击方法的提出具有现实意义,通过提升攻击能力发现潜在的实际漏洞,对加固和防御能力进行针对性优化,算法的鲁棒性相应地得到提升。同时,这也是RealAI算法团队在AI安全攻防领域的又一项重大探索,获得业内广泛认可。