身份认证技术-第六章 身份认证中对抗性攻击和防御

目录CONTENTS04对抗攻击05对抗防御01章节结构02章节背景03背景术语XidianUniversity06身份认证中的对抗攻击07身份认证中的对抗防御01章节结构XidianUniversity背景知识术语概念对抗攻击/防御身份认证中的对抗攻击/防御介绍章节的背景知识以及相关的概念。介绍对抗攻击以及对抗防御的常见类型。对章节中涉及的主要术语进行解释说明。介绍身份认证中对抗攻击以及对抗防御的常见形式。XidianUniversity01章节结构02章节背景XidianUniversity02章节背景近年来，许多生物特征认证系统利用神经网络进行开发，受益于深度学习模型的高效率和高准确度，生物特征认证系统得到了长足的发展。然而，面对恶意攻击、强噪声等干扰因素，其识别准确度较低，鲁棒性不足的问题也亟需解决。深度神经网络易受到对抗样本干扰的弊端，即在输入数据中施加微小扰动来诱骗模型产生错误输出。一方面对抗样本的存在揭示了深度学习模型的可解释性不足，使得实际部署的单功能深度神经网络存在严重的安全隐患；另一方面从以攻促防的应用前景来看，生成对抗样本的对抗攻击算法也已经成为近年来深度学习领域炙手可热的研究热点。鉴于此，本章节将主要围绕对抗样本展开，对已经被提出的一些经典的、具有一定代表性的攻击技术以及其相对应的防御手段进行梳理总结，并简要介绍其在身份认证中的发展及变体。XidianUniversity03背景术语XidianUniversity由对抗攻击所生成的有害样本，可以误导模型进行错误分类，人眼无法识别出对抗样本和干净样本。对抗样本针对某张干净样本以某种攻击形式添加对抗性扰动以生成对抗样本，分为有目标攻击以及无目标攻击。对抗攻击针对对抗攻击进行主动或是被动的防御以缓解对抗攻击对模型预测分类结果的不良影响。对抗防御XidianUniversity03背景术语04对抗攻击XidianUniversity与训练神经网络类似的思想类似。基于优化扰动的攻击方法将对抗样本的生成过程可定义为求解一个优化问题，通过固定模型及其超参数，依据某种优化策略搜索足以改变模型预测的最小扰动。C&W攻击、EAD攻击基于优化扰动的攻击方法基于约束扰动的攻击放宽了限制条件，将扰动大小设置为优化问题的约束，常常通过对扰动进行裁剪操作满足扰动阈值的限制。该类攻击通常依托于损失函数的梯度信息寻找可行扰动。FGSM攻击、PGD攻击基于约束扰动的攻击基于决策边界的攻击方法放弃了复杂的优化问题求解思路，转而去在寻找距离样本最近的某类决策边界。通过跨越决策边界，改变模型的预测结果来找到合适的对抗样本，从而完成对抗攻击。DeepFool、UAP攻击基于决策边界的攻击方法不同于传统攻击对所有像素进行修改，其他白盒攻击对像素扰动进行的限制，从全局的扰动添加变为了专注于个别像素的修改。这样攻击者更有针对性地添加扰动，减少对原本干净样本的修改痕迹。One-pixel、JSMA攻击其他白盒攻击方法XidianUniversity04白盒攻击白盒攻击通过深入访问和利用机器学习模型的内部结构和参数信息来生成对抗样本。攻击者能够获取模型的权重、梯度等详细信息，并利用这些信息设计输入数据的微小扰动，使模型产生错误预测。基于白盒攻击的优越性能以及神经网络的可迁移，基于迁移的攻击旨在利用替代数据集自行训练一个替代神经网络，并对其进行白盒攻击，再将得到的对抗样本用于攻击目标黑盒模型。DI-FGSM、SMBEA基于迁移的攻击基于预测软标签的攻击方旨在利用黑盒模型输出的概率分布信息（软标签），逐步调整输入数据的微小扰动，以最大化目标类的概率或最小化真实类的概率，从而迫使模型做出错误预测。ZOO攻击、AutoZOOM基于预测软标签的攻击与软标签不同，基于硬标签的攻击仅能使用模型给出的类别标签（硬标签），是最为严苛的攻击约束设定。基于此攻击者一般从一个扰动极大的初始样本出发，在模型决策边界附近游走以最小化有效扰动。RGF攻击、HSJA攻击基于预测硬标签的攻击其他黑盒攻击旨在将黑盒攻击与各领域结合以发掘新的攻击方法。比较典型的例子如使用生成对抗网络来生成与模型无关的对抗样本；或是将贝叶斯优化与黑盒攻击相结合以降低搜索空间的维度进行高效搜索。AdvGAN、BO-ATP其他黑盒攻击方法XidianUniversity04黑盒攻击黑盒攻击通过无需访问机器学习模型内部结构和参数信息，仅依赖输入输出行为来生成对抗样本。攻击者通过观察模型对不同输入的预测结果，逐步调整输入数据的微小扰动，使模型产生错误预测。05对抗防御XidianUniversity基于压缩与变换的防御通过对输入数据进行压缩和变换来抵御对抗攻击。压缩操作可以移除输入数据中的微小扰动，而变换操作则改变数据的空间结构，从而达到破坏对抗样本的效果。JEPG压缩、ComDefend基于压缩与变换的防御基于破坏与重构的防御通过对输入数据进行破坏和重构来抵御对抗攻击。破坏操作可以有效削弱对抗扰动，而重构操作又起到了恢复数据的关键特征的作用，从而提高模型的鲁棒性和安全性。ME-Net、CIIDefence基于破坏与重构的防御基于检测器的防御通过某种算法来训练专门的检测模型来识别和过滤对抗样本。检测器分析输入数据的特征，以区分正常样本和对抗样本，从而在对抗样本进入主模型之前进行拦截或标记。MagNet检测器基于检测器的防御除了常见的三种主动防御方法，通过发掘模型与数据中更深层次的信息以解释对抗样本与干净样本的差异，或是与前沿各种领域的新技术相结合，一些新的主动检测对抗样本的防御策略也逐渐被提出。HGD降噪、Defense-GAN其他主动防御方法XidianUniversity05基于预处理的主动防御基于预处理的主动防御是一种通过在输入数据进入机器学习模型之前对其进行处理，以抵御对抗攻击的方法。这种防御机制通过在输入数据上施加特定的变换，如图像去噪、裁剪、缩放、平滑滤波、随机噪声添加等，使得对抗样本的效果减弱或失效。基于模型蒸馏的防御通过训练一个更小、更平滑的学生模型来模仿原始复杂的教师模型，从而增强鲁棒性。蒸馏过程减少模型对输入扰动的敏感性，使得微量扰动对模型无效，提高其抵御对抗攻击的能力。DefensiveDistillation基于模型蒸馏的防御考虑到对抗样本的一个特点是其扰动幅度十分微小，因此基于梯度正则化的防御会惩罚输入的微小变化，从而使得在模型的训练阶段就引导模型的梯度向着无视微小变化的方向变化，从而防御对抗样本。GradientRegularization基于梯度正则化的防御在对抗训练中，训练目标模型所需要的数据集由对抗样本和原始数据集共同构成。在训练过程中，模型不仅会接触到干净的原始样本，同时也会接触到含有对抗扰动的对抗样本，以此来提升模型的鲁棒性。TRADES、MART基于对抗训练的防御对抗训练普遍被认为是最有效的防御策略，但生成对抗样本却需要计算开销。基于此，针对早期使用原始PGD方式生成对抗样本效率低的问题，各种新的生成方法被提出以提高对抗训练的整体效率。FreeAT、FreeLB对抗训练的改进XidianUniversity05基于正则化的被动防御基于正则化的被动防御通过在模型训练过程中引入约束，限制模型的复杂度和灵活性，从而增强模型的鲁棒性和抗攻击能力。这种防御方法旨在使模型对输入数据的微小扰动不敏感，减少过度拟合的风险，增强模型对异常输入的稳定性。06身份认证中的对抗攻击XidianUniversity端对端网络在对抗攻击章节已经被证实对抗样本缺乏鲁棒性，而利用深度特征进行生物识别的系统同样无法抵御对抗攻击。由于GAN网络超越传统神经网络的特征提取性能，并且能够按照原样本的特点生成新的数据，GAN也常用于人脸识别领域生成对抗样本。advGan便是其中的代表。针对人脸识别模块的攻击与针对人脸识别模块的攻击不同，针对人脸检测模块的攻击旨在通过逃避预处理检测器的检测而达成攻击的目的，针对的目标并不是识别模型本身。在这种攻击模式下攻击者训练一个生成器来不断生成对抗样本，同时根据检测器的分类结果来对生成器进行矫正以达到最终的检测逃避的目的。针对人脸检测模块的攻击06针对人脸识别的对抗攻击数字域对抗攻击假设攻击者能够直接向深度学习算法馈入数字图像形式的对抗样本。攻击者利用流行的FGSM、PGD等梯度优化算法或者GAN网络在原始输入的基础上生成对抗样本。数字域对抗攻击advGan示意图检测逃避示意图在数字域中生成的对抗样本同样可以作用于物理域，但考虑到图像被捕获后可能发生的种种微小变形，需要进行一定措施的处理避免对抗样本失效。在advHat中，首先对生成的对抗图案做非平面转换，以模仿粘贴至额前可能发生的形变从而增强对抗图案的鲁棒性，之后根据损失函数更改图像变动的方向，通过迭代优化的方式生成对抗样本。针对人脸识别模块的攻击在针对人脸检测模块的攻击中，有研究者发现附着在帽檐上甚至隐藏在发丝中的红外线LED灯可以通过投射红外点至面部关键区域，微妙地改变目标体的面部特征，从而逃避检测。相对于贴纸类攻击，该种基于红外的隐形面部变形在扰动体量和隐蔽性上都更具优势。并且无需针对具体的识别模型进行调整，具备更高的通用性。针对人脸检测模块的攻击06针对人脸识别的对抗攻击物理域对抗攻击关注在真实目标体上部署对抗样本，在这种情况下，对抗样本总是被摄像头或传感器捕获。在该方面同样存在很多关于攻击方法的研究，相较于数字域上的攻击手段，其面临更多的挑战，如打印后图像颜色失真、对抗图像的移位旋转及形变、现实空间中复杂的光照等。物理域对抗攻击advHat示意图检测逃避所用的LED灯安装了LED灯的鸭舌帽作为语音身份验证系统防御攻击的城池堡垒，语音欺骗对策模块通常也无法成功抵御对抗攻击。Liu等人从完整性考虑，采用快速梯度符号法（FGSM）和投影梯度下降法（PGD）在白盒和黑盒两种场景设置下首次对语音欺骗对策模块的可靠性进行评估，证明深度语音欺骗对策模块对于对抗音频的非鲁棒性。Andre等开发了ADVCM作为第一个针对语音欺骗对策模块的实际攻击，以生成对抗样本作为攻击策略，将生成针对语音欺骗对策模块对抗噪声的问题归约为一个受威胁模型约束的优化问题。06针对语音身份验证平台的攻击方法声纹识别的判定机理建立在未知输入语音和已注册语音的特征相似性上，在一般的声纹识别任务中，对于真实的模型攻击，攻击者只扰动待测试语音并且保持注册语音集的干净性。在代表性针对声纹识别子系统的FAKEBOB攻击中，攻击者将对抗性样本的生成公式化为一个优化问题，以平衡对抗语音的强度和隐蔽性。针对声纹识别子系统的攻击FAKEBOB示意图针对语音欺骗对策模块的攻击ADVCM示意图作为远距离身份认证方法之一，行人重识别是利用计算机视觉技术比对不同方位角度下行人外表特征，从而判断图像或者视频序列中是否存在某些特定行人的技术，通常意义上可以认为是一个图像检索的子问题，通过检索跨设备下的行人图像，判别目标行人是否出现。Zhao等提出一种基于GAN的无监督对抗攻击方法UAA-GAN，包含生成对抗样本的生成器、区分真伪图像的鉴别器和计算输入图像深度特征的目标网络，其在攻击行人重识别模型方面有着不俗的表现。06针对远距离识别技术的攻击方法步态识别是一种新兴的生物特征辨别技术，旨在利用人类行走的姿态实现身份辨识，相较于其他的生物识别技术，步态识别有着非接触式远距离的优势，其在社会治安、远程监视领域有着广泛的应用。Jia等人提出一种结合GAN在合成视频方面的优势与步态识别中先验知识的攻击方法，从特定目标的源步态序列和目标场景图像中渲染出伪造视频。针对步态识别的攻击步态识别生成器示意图针对行人重识别的攻击UAA-GAN示意图心电图ECG是一种可以进行短时间存储的信号，高保真ECG信号在稍后的时间可再现对应的生物特征信号，因此如果缺少监督可能会导致被攻击者攻击。Eberz等提出一种针对ECG生物特征的系统攻击，其基本思想是学习一个映射函数转换待攻击的ECG信号，使其尽可能地逼近目标信号；转换后的ECG信号可用于欺骗识别系统以进行非法访问，这体现了有目标攻击的思想，将原样本（待攻击的ECG信号）转换成对抗样本（目标ECG信号）。06针对其他生物特征认证系统的攻击方法基于手势的身份验证已成为一种在移动设备上对用户进行身份验证的非侵入式、有效的方法。近年来，深度学习技术应用于基于手势的身份验证系统中，已经取得可喜的成果。其中，有多种分析手势的技术，包括加速度、角运动、3D运动以及三者的混合。Huang等收集用户手持智能手机并进行签名操作时的三轴加速计手势数据作为数据集并做相应的预处理；后续采用深度卷积生成对抗网络生成对抗样本。针对手势身份验证的攻击针对生理信号身份验证的攻击ECG攻击示意图一般来说，向语音验证码增加对抗扰动的方式主要分为三种，一种是可以通过基于优化策略的方式，直接向语音样本中增加噪声，使用目标模型的识别结果反向传播优化梯度从而实现样本的不断优化，最终达到合成对抗语音样本的目的，此外，由于对抗生成式网络的生成能力优势，近年来也有研究者尝试使用GAN来对语音验证码添加对抗噪声，第三种方式则是通过对语音验证码音频文件本身的解析，在时域和频域中通过分段处理添加噪声从而实现对目标识别模型的愚弄。06针对验证码防御设计的对抗攻击由于图像的分布具有随机性，相比于字符的规律性和目标性更强（即一个字符对应一个具体的标签，而一个文本验证码中一般同时存在多个字符）。图像验证码的对抗性设计相对文本验证码来说更加容易，攻击者可以利用特定字符作为背景针对文本验证码字符逐个添加扰动，从而生成具备对抗模式识别的文本验证码图像。针对图像识别验证的攻击针对语音识别验证码的攻击基于对抗样本的文本验证码生成示意图基于对抗攻击的语音验证码生成示意图07身份认证中的对抗防御XidianUniversity而在实际的身份认证系统中，基于预处理的主动防御策略往往更加易于部署，对多种身份认证方式的适配性也更加灵活。基于对抗扰动是添加在原始图像上的相同大小的“掩码”这一假设，防御者可以首先将原有对抗样本和干净样本相匹配得到其中的差异量，并利用该差异量学习扰动分布，据此使用GAN生成对抗样本扩充数据集；然后在此基础上融合知识蒸馏技术训练深度去噪网络UDDN（U-N