arxiv-2024-Adversarial Attacks on Both Face Recognition and Face Anti-spoofing Models
发布时间
阅读量:
阅读量
一、研究背景
1.对抗性攻击仅适用于纯FR模型而无法影响完整FR系统的原因在于合并后的FAS模型能够识别大量对抗样本。
2.通过识别并标记这些对抗样本的边缘区域(即贴图边界),这些样本在进入FAS模型后就会被过滤掉而不进入FR处理流程。
二、研究动机
三、研究目标
1.设计一种同时影响FR与FAS模型的对抗攻击方案,并提升对FR系统的抗干扰能力。
2.FR可能导致被误认为他人;而FAS可能导致被误判其真实性。
四、技术路线
样式对齐分布偏置(SDB),提高对FR和FAS模型的黑盒攻击能力。
构建能够感知数据分布并调整评分偏向的模块,并通过生成与正常样本相似但更具欺骗性的对抗样本来提升模型鲁棒性;从而提高模型在不同场景下的适应能力
- 令\cal G无法鉴别真伪。
采用实例风格对齐模块,在对抗性样本与活体样本之间建立明确的对比关系,从而缩小活体样本与假样本之间在 style 上的显著差异
- 令\cal F无法鉴别身份。
- 缓解对抗样本与目标样本之间的风格差异。
- 构建梯度一致性模块,并被用来最小化FR和FAS模块之间存在的梯度差异,从而降低其不一致程度。
- 最小化近邻梯度
- x'=\tau (x^{adv})
五、实验结果
全部评论 (0)
还没有任何评论哟~