人臉比對(duì)模型安全技術(shù)規(guī)范

4人臉比對(duì)模型安全技術(shù)規(guī)范本文件規(guī)定了人臉比對(duì)模型及所在系統(tǒng)的功能要求、安全要求與相應(yīng)的測(cè)試方法，并將系統(tǒng)劃分為基本級(jí)和增強(qiáng)級(jí)。本文件適用于交通、酒店、學(xué)校、工廠等應(yīng)用場(chǎng)景的人臉比對(duì)模型及所在系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)與測(cè)試，其他需要人臉比對(duì)技術(shù)的應(yīng)用場(chǎng)景可參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)劃分準(zhǔn)則GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T26238-2010信息技術(shù)生物特征識(shí)別術(shù)語(yǔ)GB/T29268.1-2012信息技術(shù)生物特征識(shí)別性能測(cè)試和報(bào)告原則與框架（ISO/IEC19795-1:2006,IDT）GB/T38671-2020信息安全技術(shù)遠(yuǎn)程人臉識(shí)別系統(tǒng)技術(shù)要求T/CESA1026-2018人工智能深度學(xué)習(xí)算法評(píng)估規(guī)范3術(shù)語(yǔ)和定義GB/T26238-2010、T/CESA1026-2018界定的及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1人臉比對(duì)faceverification對(duì)兩張人臉圖像進(jìn)行識(shí)別比對(duì)，評(píng)估屬于同一個(gè)人的可能性大小。3.2對(duì)抗樣本adversarialexamples在數(shù)據(jù)集中通過(guò)故意添加細(xì)微的干擾所形成輸入樣本，添加對(duì)抗噪聲之后的輸入樣本導(dǎo)致模型給出錯(cuò)誤的輸出。3.3白盒攻擊white-boxattack5指在目標(biāo)模型結(jié)構(gòu)及參數(shù)等信息已知的情況下，生成對(duì)抗樣本進(jìn)行攻擊。3.4黑盒攻擊black-boxattack指在目標(biāo)模型結(jié)構(gòu)及參數(shù)等信息未知的情況下，生成對(duì)抗樣本進(jìn)行攻擊。3.5擾動(dòng)大小perturbationbudget指構(gòu)造對(duì)抗樣本時(shí)添加的干擾大小。a)物理世界：根據(jù)實(shí)體干擾的面積大小進(jìn)行計(jì)算；b)數(shù)字世界：根據(jù)生成的對(duì)抗樣本與真實(shí)樣本之間的距離進(jìn)行計(jì)算。在L+∞距離下的計(jì)算方）， 3.6準(zhǔn)確率accuracy對(duì)于給定的數(shù)據(jù)集，正確分類(lèi)的樣本數(shù)占總樣本數(shù)的比率。3.7查全率recall對(duì)于給定的數(shù)據(jù)集，預(yù)測(cè)為對(duì)抗樣本的樣本占所有實(shí)際為對(duì)抗樣本的比率。3.8防御成功率defensesuccessrate對(duì)抗樣本的識(shí)別準(zhǔn)確率與真實(shí)樣本的識(shí)別準(zhǔn)確率之比。 64系統(tǒng)概述參照GB/T38671-2020，具備防御對(duì)抗樣本攻擊能力的人臉比對(duì)系統(tǒng)應(yīng)包含以下兩層：a)模型訓(xùn)練層：主要由用于對(duì)抗訓(xùn)練的對(duì)抗樣本生成算法、預(yù)訓(xùn)練模型或比對(duì)模型自身等模塊組成；對(duì)抗樣本生成算法針對(duì)預(yù)訓(xùn)練模型或人臉比對(duì)模型自身生成對(duì)抗樣本后，將生成的對(duì)抗樣本加入訓(xùn)練集進(jìn)行對(duì)抗訓(xùn)練即可提升人臉比對(duì)模型的魯棒性。b)應(yīng)用層：由對(duì)抗樣本檢測(cè)、對(duì)抗樣本去噪、人臉比對(duì)服務(wù)等模塊組成；對(duì)抗樣本檢測(cè)模塊將對(duì)輸入數(shù)據(jù)進(jìn)行分析處理，判斷數(shù)據(jù)是否為對(duì)抗樣本；對(duì)抗樣本去噪則負(fù)責(zé)對(duì)輸入數(shù)據(jù)進(jìn)行去噪處理，破壞攻擊者惡意添加的對(duì)抗噪聲。本標(biāo)準(zhǔn)不規(guī)定具備防御對(duì)抗樣本攻擊能力的人臉比對(duì)系統(tǒng)具體實(shí)現(xiàn)方式。系統(tǒng)結(jié)構(gòu)圖見(jiàn)圖1：圖1人臉比對(duì)系統(tǒng)結(jié)構(gòu)圖5功能要求5.1對(duì)抗樣本檢測(cè)應(yīng)支持依據(jù)真實(shí)樣本和對(duì)抗樣本的差異性，判斷輸入數(shù)據(jù)中是否包含對(duì)抗樣本。系統(tǒng)應(yīng)拒絕已檢出的對(duì)抗樣本進(jìn)入人臉比對(duì)流程。檢測(cè)方法包括但不限于：a)應(yīng)支持對(duì)輸入數(shù)據(jù)的直接分析進(jìn)行對(duì)抗樣本檢測(cè)：通過(guò)分析真實(shí)樣本和對(duì)抗樣本在非任務(wù)模型（如專(zhuān)門(mén)訓(xùn)練的對(duì)抗樣本分類(lèi)模型上）的不同表現(xiàn)，判斷輸入數(shù)據(jù)是否為對(duì)抗樣本；b)應(yīng)支持對(duì)人臉比對(duì)模型特征層的分析進(jìn)行對(duì)抗樣本檢測(cè)：通過(guò)分析真實(shí)樣本和對(duì)抗樣本在人臉比對(duì)模型特征層上統(tǒng)計(jì)值的分布差異，判斷輸入數(shù)據(jù)是否為對(duì)抗樣本；7c)應(yīng)支持對(duì)人臉比對(duì)模型輸出層的分析進(jìn)行對(duì)抗樣本檢測(cè)：通過(guò)分析真實(shí)樣本和對(duì)抗樣本在人臉比對(duì)模型輸出層上的分布特性差異，判斷輸入數(shù)據(jù)是否為對(duì)抗樣本。5.2對(duì)抗樣本去噪應(yīng)支持對(duì)輸入數(shù)據(jù)進(jìn)行去噪處理，破壞惡意用戶添加在真實(shí)樣本上的對(duì)抗噪聲。去噪處理方法包括但不限于：a)應(yīng)支持通過(guò)圖片壓縮的方法對(duì)輸入數(shù)據(jù)做去噪處理：高頻信號(hào)可激發(fā)神經(jīng)網(wǎng)絡(luò)某些特定的神經(jīng)元，使得神經(jīng)網(wǎng)絡(luò)給出錯(cuò)誤的輸出結(jié)果，圖片壓縮可改變高頻信號(hào)的分布，從而破壞對(duì)抗噪聲；b)應(yīng)支持通過(guò)使圖片總方差最小化的方法對(duì)輸入數(shù)據(jù)做去噪處理：在保證圖片語(yǔ)義信息損失較小的約束條件下，使得圖片總方差最小化，改變?cè)肼暤姆植?，從而破壞?duì)抗噪聲；c)應(yīng)支持通過(guò)數(shù)據(jù)驅(qū)動(dòng)的方式訓(xùn)練對(duì)抗樣本去噪器對(duì)輸入數(shù)據(jù)做去噪處理：神經(jīng)網(wǎng)絡(luò)訓(xùn)練的對(duì)抗樣本去噪器通過(guò)最小化對(duì)抗樣本與真實(shí)樣本的距離（如像素級(jí)別的L1距離，特征層的L2距離等）使得處理后的對(duì)抗樣本接近于真實(shí)樣本的像素分布，從而破壞對(duì)抗噪聲。5.3對(duì)抗訓(xùn)練應(yīng)支持通過(guò)對(duì)抗訓(xùn)練提升人臉比對(duì)模型的魯棒性，提高模型防范對(duì)抗樣本攻擊的能力。對(duì)抗訓(xùn)練包括但不局限于：a)單模型對(duì)抗訓(xùn)練：應(yīng)支持在模型訓(xùn)練過(guò)程中，利用人臉比對(duì)模型自身構(gòu)建對(duì)抗樣本，將真實(shí)樣本和對(duì)抗樣本作為訓(xùn)練數(shù)據(jù)，通過(guò)損失函數(shù)等約束進(jìn)行監(jiān)督學(xué)習(xí)訓(xùn)練，提高人臉比對(duì)模型的魯棒性；b)多模型集成對(duì)抗訓(xùn)練：應(yīng)支持通過(guò)預(yù)先訓(xùn)練多個(gè)類(lèi)似的人臉比對(duì)模型生成的對(duì)抗樣本和真實(shí)樣本同時(shí)作為訓(xùn)練數(shù)據(jù)，通過(guò)損失函數(shù)等約束進(jìn)行監(jiān)督學(xué)習(xí)訓(xùn)練，提高人臉比對(duì)模型的魯棒性。6安全要求參照GB/T20271-2006，確定了以下安全要求。6.1安全審計(jì)6.1.1審計(jì)日志生成系統(tǒng)應(yīng)生成以下事件的審計(jì)日志：a)審計(jì)功能的啟動(dòng)與終止；b)管理員身份鑒別成功和失敗的事件；c)系統(tǒng)管理員、安全管理員、審計(jì)管理員和一般操作員所實(shí)施的操作；d)檢測(cè)到輸入數(shù)據(jù)含有對(duì)抗樣本；e)非授權(quán)保存人臉圖像；f)非授權(quán)進(jìn)行數(shù)據(jù)庫(kù)操作。系統(tǒng)應(yīng)在每條審計(jì)日志中記錄事件發(fā)生的日期和時(shí)間、事件類(lèi)型、事件描述和結(jié)果。審計(jì)功能部件應(yīng)能將可審計(jì)事件與發(fā)起該事件的用戶身份相關(guān)聯(lián)。6.1.2審計(jì)日志查閱系統(tǒng)應(yīng)為授權(quán)管理員提供審計(jì)日志查閱功能，方便管理員查看審計(jì)結(jié)果。除了具有明確訪問(wèn)權(quán)限的8授權(quán)管理員之外，產(chǎn)品應(yīng)禁止所有其他用戶對(duì)審計(jì)日志的訪問(wèn)。6.1.3審計(jì)日志保護(hù)系統(tǒng)應(yīng)具備審計(jì)日志保護(hù)功能，具體要求如下：a)應(yīng)能保護(hù)已存儲(chǔ)的審計(jì)日志，并能檢測(cè)和防止對(duì)審計(jì)日志的修改；b)審計(jì)日志應(yīng)存儲(chǔ)于斷電非易失性存儲(chǔ)介質(zhì)中，且在存儲(chǔ)空間達(dá)到閾值時(shí)通知授權(quán)管理員。6.2異常處理機(jī)制系統(tǒng)應(yīng)在非正常條件（如掉電、強(qiáng)行關(guān)機(jī)）下關(guān)機(jī)再重新啟動(dòng)后，滿足以下技術(shù)要求：a)安全策略恢復(fù)到關(guān)機(jī)前的狀態(tài)；b)審計(jì)日志不會(huì)丟失；c)管理員重新鑒別。7測(cè)試方法7.1功能測(cè)試參照GB/T29268.1-2012，確定了以下測(cè)評(píng)方法。7.1.1對(duì)抗樣本檢測(cè)對(duì)抗樣本檢測(cè)的測(cè)試方法與預(yù)期結(jié)果如下：a)測(cè)試方法：嘗試輸入事先準(zhǔn)備好的對(duì)抗樣本和正常樣本，檢查查全率、準(zhǔn)確率是否不小于預(yù)期。b)預(yù)期結(jié)果：對(duì)于數(shù)字世界的對(duì)抗樣本，使用不同的距離度量約束對(duì)抗樣本生成，測(cè)試得出的查全率、準(zhǔn)確率應(yīng)分別不小于預(yù)期（見(jiàn)表1對(duì)于物理世界的對(duì)抗樣本，使用面積大小約束對(duì)抗樣本生成。測(cè)試得出的查全率、準(zhǔn)確率應(yīng)分別不小于預(yù)期（見(jiàn)表2）。表1數(shù)字世界對(duì)抗樣本預(yù)期表現(xiàn)類(lèi)型擾動(dòng)大小(L2/L+∞)查全率準(zhǔn)確率黑盒攻擊方式生成的對(duì)抗樣本8/1690%95%4/885%90%2/480%85%75%80%白盒攻擊方式生成的對(duì)抗樣本8/1680%90%4/875%85%2/470%80%65%75%9表2物理世界對(duì)抗樣本預(yù)期表現(xiàn)類(lèi)型擾動(dòng)大小(cm2)查全率準(zhǔn)確率物理世界對(duì)抗樣本85%90%80%85%675%80%370%75%7.1.2對(duì)抗樣本去噪對(duì)抗樣本去噪的測(cè)試方法與預(yù)期結(jié)果如下：a)測(cè)試方法：嘗試輸入事先準(zhǔn)備好的數(shù)字世界、物理世界對(duì)抗樣本，檢查防御成功率是否不小于預(yù)期的值。b)預(yù)期結(jié)果：對(duì)于數(shù)字世界的對(duì)抗樣本，使用不同的距離度量約束對(duì)抗樣本生成，測(cè)試得出的防御成功率應(yīng)不小于預(yù)期（見(jiàn)表3）；對(duì)于物理世界的對(duì)抗樣本，使用面積大小約束對(duì)抗樣本生成。測(cè)試得出的防御成功率應(yīng)不小于預(yù)期（見(jiàn)表4）。表3數(shù)字世界對(duì)抗樣本預(yù)期表現(xiàn)類(lèi)型擾動(dòng)大小(L2/L+∞)防御成功率黑盒攻擊方式生成的對(duì)抗樣本8/1650%4/860%2/480%90%白盒攻擊方式生成的對(duì)抗樣本8/1640%4/850%2/470%80%表4物理世界對(duì)抗樣本預(yù)期表現(xiàn)類(lèi)型擾動(dòng)大小(L2/L+∞)防御成功率物理世界對(duì)抗樣本30%40%660%375%7.1.3對(duì)抗訓(xùn)練對(duì)抗樣本去噪的測(cè)試方法與預(yù)期結(jié)果如下：a)測(cè)試方法：嘗試輸入事先準(zhǔn)備好的數(shù)字世界、物理世界對(duì)抗樣本，檢查防御成功率是否不小于預(yù)期的值。b)預(yù)期結(jié)果：對(duì)于數(shù)字世界的對(duì)抗樣本，預(yù)期使用不同的距離度量約束對(duì)抗樣本生成，測(cè)試得出的防御成功率應(yīng)不小于預(yù)期（見(jiàn)表5）。對(duì)于物理世界的對(duì)抗樣本，使用面積大小約束對(duì)抗樣本生成，測(cè)試得出的防御成功率應(yīng)不小于預(yù)期（見(jiàn)表6）。表5數(shù)字世界對(duì)抗樣本預(yù)期表現(xiàn)類(lèi)型擾動(dòng)大小(L2/L+∞)防御成功率黑盒攻擊方式生成的對(duì)抗樣本8/1660%4/870%2/485%95%白盒攻擊方式生成的對(duì)抗樣本8/1650%4/860%2/480%90%表6物理世界對(duì)抗樣本預(yù)期表現(xiàn)類(lèi)型擾動(dòng)大小(L2/L+∞)防御成功率物理世界對(duì)抗樣本50%60%680%390%7.2安全測(cè)試7.2.1審計(jì)日志7.2.1.1審計(jì)日志生成審計(jì)日志生成的測(cè)試方法與預(yù)期結(jié)果如下：a)測(cè)試方法：結(jié)合開(kāi)發(fā)者和文檔，嘗試向系統(tǒng)輸入對(duì)抗樣本觸發(fā)相關(guān)時(shí)間，并對(duì)產(chǎn)品不同模塊進(jìn)行訪問(wèn)、運(yùn)行、關(guān)閉以及重復(fù)失敗嘗試等相關(guān)操作，檢查產(chǎn)品提供了對(duì)哪些事件的審計(jì)，并審查審計(jì)日志的正確性；b)預(yù)期結(jié)果：1)產(chǎn)品至少為以下可審計(jì)事件產(chǎn)生審計(jì)記錄：——審計(jì)功能的啟動(dòng)和終止；——檢測(cè)到對(duì)抗樣本攻擊。2)每個(gè)審計(jì)事件產(chǎn)生的審計(jì)記錄應(yīng)該記錄以下信息：——事件發(fā)生的日期和時(shí)間，日期包括年、月、日，時(shí)間包括時(shí)、分、秒；——事件的詳細(xì)描述；——時(shí)間的結(jié)果；——根據(jù)事件類(lèi)型所需的其他信息。7.2.1.2審計(jì)日志查閱審計(jì)日志查閱的測(cè)試方法和預(yù)期結(jié)果如下：a)測(cè)試方法：1)嘗試以授權(quán)管理員身份與非授權(quán)管理員身份訪問(wèn)審計(jì)日志，查看產(chǎn)品安全功能是否允許授權(quán)管理員訪問(wèn)審計(jì)日志；2)審計(jì)日志的內(nèi)容是否容易理解；3)檢查產(chǎn)品是否能提供查閱審計(jì)日志的工具，是否能夠?qū)徲?jì)事件以時(shí)間、日期、主體ID等為條件搜索，是否允許授權(quán)管理員使用查閱工具。b)預(yù)期結(jié)果：1)產(chǎn)品限制審計(jì)日志的訪問(wèn)，除了具有明確的讀訪問(wèn)權(quán)限的授權(quán)管理員外，產(chǎn)品禁止其他用戶對(duì)審計(jì)日志的讀??；2)審計(jì)日志的內(nèi)容容易理解；3)產(chǎn)品提供查閱審計(jì)日志的工具，并能夠?qū)徲?jì)事件以時(shí)間、日期、主體ID等為條件搜索。7.2.1.3審計(jì)日志保護(hù)審計(jì)日志保護(hù)的測(cè)試方法和預(yù)期結(jié)果如下：a)測(cè)試方法：1)嘗試以授權(quán)管理員身份與非授權(quán)管理員身份修改審計(jì)日志，查看是否能夠修改成功；2)查看審計(jì)日志是否存儲(chǔ)于掉電非易損失性存儲(chǔ)介質(zhì)中，通過(guò)實(shí)施登錄、退出、修改配置等一系列事件，產(chǎn)生大量審計(jì)日志，直到達(dá)到閾值，查看系統(tǒng)是否能夠通知授權(quán)管理員。b)預(yù)期結(jié)果：1)產(chǎn)品能夠保存已存儲(chǔ)的審計(jì)日志，檢測(cè)和防止對(duì)審計(jì)日志的修改；2)審計(jì)日志存儲(chǔ)于掉電非易損失性存儲(chǔ)介質(zhì)中，且在存儲(chǔ)空間達(dá)到閾值時(shí)通知授權(quán)管理員。7.2.2異常處理機(jī)制異常處理機(jī)制的測(cè)試方法和預(yù)期結(jié)果如下：a)測(cè)試方法：1)記錄系統(tǒng)的當(dāng)前狀態(tài)、如安全策略等，保存配置；2)直接斷開(kāi)系統(tǒng)電源，再接通電源開(kāi)機(jī)啟動(dòng)；3)再次嘗試通過(guò)界面進(jìn)行管理，檢查安全策略和審計(jì)日志等。b)預(yù)期結(jié)果：1)重新通過(guò)管理界面對(duì)系統(tǒng)策略配置等進(jìn)行查看時(shí)，需要重新鑒別；2)安全策略恢復(fù)到關(guān)機(jī)前