身份認證技術(shù) 課件 第六章 身份認證中對抗性攻擊和防御

第六章身份認證中對抗性攻擊和防御目錄CONTENTS04對抗攻擊05對抗防御01章節(jié)結(jié)構(gòu)02章節(jié)背景03背景術(shù)語06身份認證中的對抗攻擊07身份認證中的對抗防御01章節(jié)結(jié)構(gòu)背景知識術(shù)語概念對抗攻擊/防御身份認證中的對抗攻擊/防御介紹章節(jié)的背景知識以及相關(guān)的概念。介紹對抗攻擊以及對抗防御的常見類型。對章節(jié)中涉及的主要術(shù)語進行解釋說明。介紹身份認證中對抗攻擊以及對抗防御的常見形式。01章節(jié)結(jié)構(gòu)02章節(jié)背景02章節(jié)背景近年來，許多生物特征認證系統(tǒng)利用神經(jīng)網(wǎng)絡(luò)進行開發(fā)，受益于深度學(xué)習(xí)模型的高效率和高準確度，生物特征認證系統(tǒng)得到了長足的發(fā)展。然而，面對惡意攻擊、強噪聲等干擾因素，其識別準確度較低，魯棒性不足的問題也亟需解決。深度神經(jīng)網(wǎng)絡(luò)易受到對抗樣本干擾的弊端，即在輸入數(shù)據(jù)中施加微小擾動來誘騙模型產(chǎn)生錯誤輸出。一方面對抗樣本的存在揭示了深度學(xué)習(xí)模型的可解釋性不足，使得實際部署的單功能深度神經(jīng)網(wǎng)絡(luò)存在嚴重的安全隱患；另一方面從以攻促防的應(yīng)用前景來看，生成對抗樣本的對抗攻擊算法也已經(jīng)成為近年來深度學(xué)習(xí)領(lǐng)域炙手可熱的研究熱點。鑒于此，本章節(jié)將主要圍繞對抗樣本展開，對已經(jīng)被提出的一些經(jīng)典的、具有一定代表性的攻擊技術(shù)以及其相對應(yīng)的防御手段進行梳理總結(jié)，并簡要介紹其在身份認證中的發(fā)展及變體。03背景術(shù)語由對抗攻擊所生成的有害樣本，可以誤導(dǎo)模型進行錯誤分類，人眼無法識別出對抗樣本和干凈樣本。對抗樣本針對某張干凈樣本以某種攻擊形式添加對抗性擾動以生成對抗樣本，分為有目標攻擊以及無目標攻擊。對抗攻擊針對對抗攻擊進行主動或是被動的防御以緩解對抗攻擊對模型預(yù)測分類結(jié)果的不良影響。對抗防御03背景術(shù)語04對抗攻擊與訓(xùn)練神經(jīng)網(wǎng)絡(luò)類似的思想類似?；趦?yōu)化擾動的攻擊方法將對抗樣本的生成過程可定義為求解一個優(yōu)化問題，通過固定模型及其超參數(shù)，依據(jù)某種優(yōu)化策略搜索足以改變模型預(yù)測的最小擾動。C&W攻擊、EAD攻擊基于優(yōu)化擾動的攻擊方法基于約束擾動的攻擊放寬了限制條件，將擾動大小設(shè)置為優(yōu)化問題的約束，常常通過對擾動進行裁剪操作滿足擾動閾值的限制。該類攻擊通常依托于損失函數(shù)的梯度信息尋找可行擾動。FGSM攻擊、PGD攻擊基于約束擾動的攻擊基于決策邊界的攻擊方法放棄了復(fù)雜的優(yōu)化問題求解思路，轉(zhuǎn)而去在尋找距離樣本最近的某類決策邊界。通過跨越?jīng)Q策邊界，改變模型的預(yù)測結(jié)果來找到合適的對抗樣本，從而完成對抗攻擊。DeepFool、UAP攻擊基于決策邊界的攻擊方法不同于傳統(tǒng)攻擊對所有像素進行修改，其他白盒攻擊對像素擾動進行的限制，從全局的擾動添加變?yōu)榱藢Ｗ⒂趥€別像素的修改。這樣攻擊者更有針對性地添加擾動，減少對原本干凈樣本的修改痕跡。One-pixel、JSMA攻擊其他白盒攻擊方法04白盒攻擊白盒攻擊通過深入訪問和利用機器學(xué)習(xí)模型的內(nèi)部結(jié)構(gòu)和參數(shù)信息來生成對抗樣本。攻擊者能夠獲取模型的權(quán)重、梯度等詳細信息，并利用這些信息設(shè)計輸入數(shù)據(jù)的微小擾動，使模型產(chǎn)生錯誤預(yù)測?；诎缀泄舻膬?yōu)越性能以及神經(jīng)網(wǎng)絡(luò)的可遷移，基于遷移的攻擊旨在利用替代數(shù)據(jù)集自行訓(xùn)練一個替代神經(jīng)網(wǎng)絡(luò)，并對其進行白盒攻擊，再將得到的對抗樣本用于攻擊目標黑盒模型。DI-FGSM、SMBEA基于遷移的攻擊基于預(yù)測軟標簽的攻擊方旨在利用黑盒模型輸出的概率分布信息（軟標簽），逐步調(diào)整輸入數(shù)據(jù)的微小擾動，以最大化目標類的概率或最小化真實類的概率，從而迫使模型做出錯誤預(yù)測。ZOO攻擊、AutoZOOM基于預(yù)測軟標簽的攻擊與軟標簽不同，基于硬標簽的攻擊僅能使用模型給出的類別標簽（硬標簽），是最為嚴苛的攻擊約束設(shè)定?；诖斯粽咭话銖囊粋€擾動極大的初始樣本出發(fā)，在模型決策邊界附近游走以最小化有效擾動。RGF攻擊、HSJA攻擊基于預(yù)測硬標簽的攻擊其他黑盒攻擊旨在將黑盒攻擊與各領(lǐng)域結(jié)合以發(fā)掘新的攻擊方法。比較典型的例子如使用生成對抗網(wǎng)絡(luò)來生成與模型無關(guān)的對抗樣本；或是將貝葉斯優(yōu)化與黑盒攻擊相結(jié)合以降低搜索空間的維度進行高效搜索。AdvGAN、BO-ATP其他黑盒攻擊方法04黑盒攻擊黑盒攻擊通過無需訪問機器學(xué)習(xí)模型內(nèi)部結(jié)構(gòu)和參數(shù)信息，僅依賴輸入輸出行為來生成對抗樣本。攻擊者通過觀察模型對不同輸入的預(yù)測結(jié)果，逐步調(diào)整輸入數(shù)據(jù)的微小擾動，使模型產(chǎn)生錯誤預(yù)測。05對抗防御基于壓縮與變換的防御通過對輸入數(shù)據(jù)進行壓縮和變換來抵御對抗攻擊。壓縮操作可以移除輸入數(shù)據(jù)中的微小擾動，而變換操作則改變數(shù)據(jù)的空間結(jié)構(gòu)，從而達到破壞對抗樣本的效果。JEPG壓縮、ComDefend基于壓縮與變換的防御基于破壞與重構(gòu)的防御通過對輸入數(shù)據(jù)進行破壞和重構(gòu)來抵御對抗攻擊。破壞操作可以有效削弱對抗擾動，而重構(gòu)操作又起到了恢復(fù)數(shù)據(jù)的關(guān)鍵特征的作用，從而提高模型的魯棒性和安全性。ME-Net、CIIDefence基于破壞與重構(gòu)的防御基于檢測器的防御通過某種算法來訓(xùn)練專門的檢測模型來識別和過濾對抗樣本。檢測器分析輸入數(shù)據(jù)的特征，以區(qū)分正常樣本和對抗樣本，從而在對抗樣本進入主模型之前進行攔截或標記。MagNet檢測器基于檢測器的防御除了常見的三種主動防御方法，通過發(fā)掘模型與數(shù)據(jù)中更深層次的信息以解釋對抗樣本與干凈樣本的差異，或是與前沿各種領(lǐng)域的新技術(shù)相結(jié)合，一些新的主動檢測對抗樣本的防御策略也逐漸被提出。HGD降噪、Defense-GAN其他主動防御方法05基于預(yù)處理的主動防御基于預(yù)處理的主動防御是一種通過在輸入數(shù)據(jù)進入機器學(xué)習(xí)模型之前對其進行處理，以抵御對抗攻擊的方法。這種防御機制通過在輸入數(shù)據(jù)上施加特定的變換，如圖像去噪、裁剪、縮放、平滑濾波、隨機噪聲添加等，使得對抗樣本的效果減弱或失效?；谀Ｐ驼麴s的防御通過訓(xùn)練一個更小、更平滑的學(xué)生模型來模仿原始復(fù)雜的教師模型，從而增強魯棒性。蒸餾過程減少模型對輸入擾動的敏感性，使得微量擾動對模型無效，提高其抵御對抗攻擊的能力。DefensiveDistillation基于模型蒸餾的防御考慮到對抗樣本的一個特點是其擾動幅度十分微小，因此基于梯度正則化的防御會懲罰輸入的微小變化，從而使得在模型的訓(xùn)練階段就引導(dǎo)模型的梯度向著無視微小變化的方向變化，從而防御對抗樣本。GradientRegularization基于梯度正則化的防御在對抗訓(xùn)練中，訓(xùn)練目標模型所需要的數(shù)據(jù)集由對抗樣本和原始數(shù)據(jù)集共同構(gòu)成。在訓(xùn)練過程中，模型不僅會接觸到干凈的原始樣本，同時也會接觸到含有對抗擾動的對抗樣本，以此來提升模型的魯棒性。TRADES、MART基于對抗訓(xùn)練的防御對抗訓(xùn)練普遍被認為是最有效的防御策略，但生成對抗樣本卻需要計算開銷。基于此，針對早期使用原始PGD方式生成對抗樣本效率低的問題，各種新的生成方法被提出以提高對抗訓(xùn)練的整體效率。FreeAT、FreeLB對抗訓(xùn)練的改進05基于正則化的被動防御基于正則化的被動防御通過在模型訓(xùn)練過程中引入約束，限制模型的復(fù)雜度和靈活性，從而增強模型的魯棒性和抗攻擊能力。這種防御方法旨在使模型對輸入數(shù)據(jù)的微小擾動不敏感，減少過度擬合的風(fēng)險，增強模型對異常輸入的穩(wěn)定性。06身份認證中的對抗攻擊端對端網(wǎng)絡(luò)在對抗攻擊章節(jié)已經(jīng)被證實對抗樣本缺乏魯棒性，而利用深度特征進行生物識別的系統(tǒng)同樣無法抵御對抗攻擊。由于GAN網(wǎng)絡(luò)超越傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的特征提取性能，并且能夠按照原樣本的特點生成新的數(shù)據(jù)，GAN也常用于人臉識別領(lǐng)域生成對抗樣本。advGan便是其中的代表。針對人臉識別模塊的攻擊與針對人臉識別模塊的攻擊不同，針對人臉檢測模塊的攻擊旨在通過逃避預(yù)處理檢測器的檢測而達成攻擊的目的，針對的目標并不是識別模型本身。在這種攻擊模式下攻擊者訓(xùn)練一個生成器來不斷生成對抗樣本，同時根據(jù)檢測器的分類結(jié)果來對生成器進行矯正以達到最終的檢測逃避的目的。針對人臉檢測模塊的攻擊06針對人臉識別的對抗攻擊數(shù)字域?qū)构艏僭O(shè)攻擊者能夠直接向深度學(xué)習(xí)算法饋入數(shù)字圖像形式的對抗樣本。攻擊者利用流行的FGSM、PGD等梯度優(yōu)化算法或者GAN網(wǎng)絡(luò)在原始輸入的基礎(chǔ)上生成對抗樣本。數(shù)字域?qū)构鬭dvGan示意圖檢測逃避示意圖在數(shù)字域中生成的對抗樣本同樣可以作用于物理域，但考慮到圖像被捕獲后可能發(fā)生的種種微小變形，需要進行一定措施的處理避免對抗樣本失效。在advHat中，首先對生成的對抗圖案做非平面轉(zhuǎn)換，以模仿粘貼至額前可能發(fā)生的形變從而增強對抗圖案的魯棒性，之后根據(jù)損失函數(shù)更改圖像變動的方向，通過迭代優(yōu)化的方式生成對抗樣本。針對人臉識別模塊的攻擊在針對人臉檢測模塊的攻擊中，有研究者發(fā)現(xiàn)附著在帽檐上甚至隱藏在發(fā)絲中的紅外線LED燈可以通過投射紅外點至面部關(guān)鍵區(qū)域，微妙地改變目標體的面部特征，從而逃避檢測。相對于貼紙類攻擊，該種基于紅外的隱形面部變形在擾動體量和隱蔽性上都更具優(yōu)勢。并且無需針對具體的識別模型進行調(diào)整，具備更高的通用性。針對人臉檢測模塊的攻擊06針對人臉識別的對抗攻擊物理域?qū)构絷P(guān)注在真實目標體上部署對抗樣本，在這種情況下，對抗樣本總是被攝像頭或傳感器捕獲。在該方面同樣存在很多關(guān)于攻擊方法的研究，相較于數(shù)字域上的攻擊手段，其面臨更多的挑戰(zhàn)，如打印后圖像顏色失真、對抗圖像的移位旋轉(zhuǎn)及形變、現(xiàn)實空間中復(fù)雜的光照等。物理域?qū)构鬭dvHat示意圖檢測逃避所用的LED燈安裝了LED燈的鴨舌帽作為語音身份驗證系統(tǒng)防御攻擊的城池堡壘，語音欺騙對策模塊通常也無法成功抵御對抗攻擊。Liu等人從完整性考慮，采用快速梯度符號法（FGSM）和投影梯度下降法（PGD）在白盒和黑盒兩種場景設(shè)置下首次對語音欺騙對策模塊的可靠性進行評估，證明深度語音欺騙對策模塊對于對抗音頻的非魯棒性。Andre等開發(fā)了ADVCM作為第一個針對語音欺騙對策模塊的實際攻擊，以生成對抗樣本作為攻擊策略，將生成針對語音欺騙對策模塊對抗噪聲的問題歸約為一個受威脅模型約束的優(yōu)化問題。06針對語音身份驗證平臺的攻擊方法聲紋識別的判定機理建立在未知輸入語音和已注冊語音的特征相似性上，在一般的聲紋識別任務(wù)中，對于真實的模型攻擊，攻擊者只擾動待測試語音并且保持注冊語音集的干凈性。在代表性針對聲紋識別子系統(tǒng)的FAKEBOB攻擊中，攻擊者將對抗性樣本的生成公式化為一個優(yōu)化問題，以平衡對抗語音的強度和隱蔽性。針對聲紋識別子系統(tǒng)的攻擊FAKEBOB示意圖針對語音欺騙對策模塊的攻擊ADVCM示意圖作為遠距離身份認證方法之一，行人重識別是利用計算機視覺技術(shù)比對不同方位角度下行人外表特征，從而判斷圖像或者視頻序列中是否存在某些特定行人的技術(shù)，通常意義上可以認為是一個圖像檢索的子問題，通過檢索跨設(shè)備下的行人圖像，判別目標行人是否出現(xiàn)。Zhao等提出一種基于GAN的無監(jiān)督對抗攻擊方法UAA-GAN，包含生成對抗樣本的生成器、區(qū)分真?zhèn)螆D像的鑒別器和計算輸入圖像深度特征的目標網(wǎng)絡(luò)，其在攻擊行人重識別模型方面有著不俗的表現(xiàn)。06針對遠距離識別技術(shù)的攻擊方法步態(tài)識別是一種新興的生物特征辨別技術(shù)，旨在利用人類行走的姿態(tài)實現(xiàn)身份辨識，相較于其他的生物識別技術(shù)，步態(tài)識別有著非接觸式遠距離的優(yōu)勢，其在社會治安、遠程監(jiān)視領(lǐng)域有著廣泛的應(yīng)用。Jia等人提出一種結(jié)合GAN在合成視頻方面的優(yōu)勢與步態(tài)識別中先驗知識的攻擊方法，從特定目標的源步態(tài)序列和目標場景圖像中渲染出偽造視頻。針對步態(tài)識別的攻擊步態(tài)識別生成器示意圖針對行人重識別的攻擊UAA-GAN示意圖心電圖ECG是一種可以進行短時間存儲的信號，高保真ECG信號在稍后的時間可再現(xiàn)對應(yīng)的生物特征信號，因此如果缺少監(jiān)督可能會導(dǎo)致被攻擊者攻擊。Eberz等提出一種針對ECG生物特征的系統(tǒng)攻擊，其基本思想是學(xué)習(xí)一個映射函數(shù)轉(zhuǎn)換待攻擊的ECG信號，使其盡可能地逼近目標信號；轉(zhuǎn)換后的ECG信號可用于欺騙識別系統(tǒng)以進行非法訪問，這體現(xiàn)了有目標攻擊的思想，將原樣本（待攻擊的ECG信號）轉(zhuǎn)換成對抗樣本（目標ECG信號）。06針對其他生物特征認證系統(tǒng)的攻擊方法基于手勢的身份驗證已成為一種在移動設(shè)備上對用戶進行身份驗證的非侵入式、有效的方法。近年來，深度學(xué)習(xí)技術(shù)應(yīng)用于基于手勢的身份驗證系統(tǒng)中，已經(jīng)取得可喜的成果。其中，有多種分析手勢的技術(shù)，包括加速度、角運動、3D運動以及三者的混合。Huang等收集用戶手持智能手機并進行簽名操作時的三軸加速計手勢數(shù)據(jù)作為數(shù)據(jù)集并做相應(yīng)的預(yù)處理；后續(xù)采用深度卷積生成對抗網(wǎng)絡(luò)生成對抗樣本。針對手勢身份驗證的攻擊針對生理信號身份驗證的攻擊ECG攻擊示意圖一般來說，向語音驗證碼增加對抗擾動的方式主要分為三種，一種是可以通過基于優(yōu)化策略的方式，直接向語音樣本中增加噪聲，使用目標模型的識別結(jié)果反向傳播優(yōu)化梯度從而實現(xiàn)樣本的不斷優(yōu)化，最終達到合成對抗語音樣本的目的，此外，由于對抗生成式網(wǎng)絡(luò)的生成能力優(yōu)勢，近年來也有研究者嘗試使用GAN來對語音驗證碼添加對抗噪聲，第三種方式則是通過對語音驗證碼音頻文件本身的解析，在時域和頻域中通過分段處理添加噪聲從而實現(xiàn)對目標識別模型的愚弄。06針對驗證碼防御設(shè)計的對抗攻擊由于圖像的分布具有隨機性，相比于字符的規(guī)律性和目標性更強（即一個字符對應(yīng)一個具體的標簽，而一個文本驗證碼中一般同時存在多個字符）。圖像驗證碼的對抗性設(shè)計相對文本驗證碼來說更加容易，攻擊者可以利用特定字符作為背景針對文本驗證碼字符逐個添加擾動，從而生成具備對抗模式識別的文本驗證碼圖像。針對圖像識別驗證的攻擊針對語音識別驗證碼的攻擊基于對抗樣本的文本驗證碼生成示意圖基于對抗攻擊的語音驗證碼生成示意圖07身份認證中的對抗防御而在實際的身份認證系統(tǒng)中，基于預(yù)處理的主動防御策略往往更加易于部署，對多種身份認證方式的適配性也更加靈活?；趯箶_動是添加在原始圖像上的相同大小的“掩碼”這一假設(shè)，防御者可以首先將原有對抗樣本和干凈樣本相匹配得到其中的差異量，并利用該差異量學(xué)習(xí)擾動分布，據(jù)此使用GAN生成對抗樣本擴充數(shù)據(jù)集；然后在此基礎(chǔ)上融合知識蒸餾技術(shù)訓(xùn)練深度去噪網(wǎng)絡(luò)UDDN（U-NetbasedDeepDenoisingN