4人臉比對模型安全技術(shù)規(guī)范本文件規(guī)定了人臉比對模型及所在系統(tǒng)的功能要求、安全要求與相應(yīng)的測試方法，并將系統(tǒng)劃分為基本級和增強級。本文件適用于交通、酒店、學(xué)校、工廠等應(yīng)用場景的人臉比對模型及所在系統(tǒng)的設(shè)計、開發(fā)與測試，其他需要人臉比對技術(shù)的應(yīng)用場景可參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB17859-1999計算機信息系統(tǒng)安全保護劃分準則GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T26238-2010信息技術(shù)生物特征識別術(shù)語GB/T29268.1-2012信息技術(shù)生物特征識別性能測試和報告原則與框架（ISO/IEC19795-1:2006,IDT）GB/T38671-2020信息安全技術(shù)遠程人臉識別系統(tǒng)技術(shù)要求T/CESA1026-2018人工智能深度學(xué)習(xí)算法評估規(guī)范3術(shù)語和定義GB/T26238-2010、T/CESA1026-2018界定的及下列術(shù)語和定義適用于本標準。3.1人臉比對faceverification對兩張人臉圖像進行識別比對，評估屬于同一個人的可能性大小。3.2對抗樣本adversarialexamples在數(shù)據(jù)集中通過故意添加細微的干擾所形成輸入樣本，添加對抗噪聲之后的輸入樣本導(dǎo)致模型給出錯誤的輸出。3.3白盒攻擊white-boxattack5指在目標模型結(jié)構(gòu)及參數(shù)等信息已知的情況下，生成對抗樣本進行攻擊。3.4黑盒攻擊black-boxattack指在目標模型結(jié)構(gòu)及參數(shù)等信息未知的情況下，生成對抗樣本進行攻擊。3.5擾動大小perturbationbudget指構(gòu)造對抗樣本時添加的干擾大小。a)物理世界：根據(jù)實體干擾的面積大小進行計算；b)數(shù)字世界：根據(jù)生成的對抗樣本與真實樣本之間的距離進行計算。在L+∞距離下的計算方）， 3.6準確率accuracy對于給定的數(shù)據(jù)集，正確分類的樣本數(shù)占總樣本數(shù)的比率。3.7查全率recall對于給定的數(shù)據(jù)集，預(yù)測為對抗樣本的樣本占所有實際為對抗樣本的比率。3.8防御成功率defensesuccessrate對抗樣本的識別準確率與真實樣本的識別準確率之比。 64系統(tǒng)概述參照GB/T38671-2020，具備防御對抗樣本攻擊能力的人臉比對系統(tǒng)應(yīng)包含以下兩層：a)模型訓(xùn)練層：主要由用于對抗訓(xùn)練的對抗樣本生成算法、預(yù)訓(xùn)練模型或比對模型自身等模塊組成；對抗樣本生成算法針對預(yù)訓(xùn)練模型或人臉比對模型自身生成對抗樣本后，將生成的對抗樣本加入訓(xùn)練集進行對抗訓(xùn)練即可提升人臉比對模型的魯棒性。b)應(yīng)用層：由對抗樣本檢測、對抗樣本去噪、人臉比對服務(wù)等模塊組成；對抗樣本檢測模塊將對輸入數(shù)據(jù)進行分析處理，判斷數(shù)據(jù)是否為對抗樣本；對抗樣本去噪則負責(zé)對輸入數(shù)據(jù)進行去噪處理，破壞攻擊者惡意添加的對抗噪聲。本標準不規(guī)定具備防御對抗樣本攻擊能力的人臉比對系統(tǒng)具體實現(xiàn)方式。系統(tǒng)結(jié)構(gòu)圖見圖1：圖1人臉比對系統(tǒng)結(jié)構(gòu)圖5功能要求5.1對抗樣本檢測應(yīng)支持依據(jù)真實樣本和對抗樣本的差異性，判斷輸入數(shù)據(jù)中是否包含對抗樣本。系統(tǒng)應(yīng)拒絕已檢出的對抗樣本進入人臉比對流程。檢測方法包括但不限于：a)應(yīng)支持對輸入數(shù)據(jù)的直接分析進行對抗樣本檢測：通過分析真實樣本和對抗樣本在非任務(wù)模型（如專門訓(xùn)練的對抗樣本分類模型上）的不同表現(xiàn)，判斷輸入數(shù)據(jù)是否為對抗樣本；b)應(yīng)支持對人臉比對模型特征層的分析進行對抗樣本檢測：通過分析真實樣本和對抗樣本在人臉比對模型特征層上統(tǒng)計值的分布差異，判斷輸入數(shù)據(jù)是否為對抗樣本；7c)應(yīng)支持對人臉比對模型輸出層的分析進行對抗樣本檢測：通過分析真實樣本和對抗樣本在人臉比對模型輸出層上的分布特性差異，判斷輸入數(shù)據(jù)是否為對抗樣本。5.2對抗樣本去噪應(yīng)支持對輸入數(shù)據(jù)進行去噪處理，破壞惡意用戶添加在真實樣本上的對抗噪聲。去噪處理方法包括但不限于：a)應(yīng)支持通過圖片壓縮的方法對輸入數(shù)據(jù)做去噪處理：高頻信號可激發(fā)神經(jīng)網(wǎng)絡(luò)某些特定的神經(jīng)元，使得神經(jīng)網(wǎng)絡(luò)給出錯誤的輸出結(jié)果，圖片壓縮可改變高頻信號的分布，從而破壞對抗噪聲；b)應(yīng)支持通過使圖片總方差最小化的方法對輸入數(shù)據(jù)做去噪處理：在保證圖片語義信息損失較小的約束條件下，使得圖片總方差最小化，改變噪聲的分布，從而破壞對抗噪聲；c)應(yīng)支持通過數(shù)據(jù)驅(qū)動的方式訓(xùn)練對抗樣本去噪器對輸入數(shù)據(jù)做去噪處理：神經(jīng)網(wǎng)絡(luò)訓(xùn)練的對抗樣本去噪器通過最小化對抗樣本與真實樣本的距離（如像素級別的L1距離，特征層的L2距離等）使得處理后的對抗樣本接近于真實樣本的像素分布，從而破壞對抗噪聲。5.3對抗訓(xùn)練應(yīng)支持通過對抗訓(xùn)練提升人臉比對模型的魯棒性，提高模型防范對抗樣本攻擊的能力。對抗訓(xùn)練包括但不局限于：a)單模型對抗訓(xùn)練：應(yīng)支持在模型訓(xùn)練過程中，利用人臉比對模型自身構(gòu)建對抗樣本，將真實樣本和對抗樣本作為訓(xùn)練數(shù)據(jù)，通過損失函數(shù)等約束進行監(jiān)督學(xué)習(xí)訓(xùn)練，提高人臉比對模型的魯棒性；b)多模型集成對抗訓(xùn)練：應(yīng)支持通過預(yù)先訓(xùn)練多個類似的人臉比對模型生成的對抗樣本和真實樣本同時作為訓(xùn)練數(shù)據(jù)，通過損失函數(shù)等約束進行監(jiān)督學(xué)習(xí)訓(xùn)練，提高人臉比對模型的魯棒性。6安全要求參照GB/T20271-2006，確定了以下安全要求。6.1安全審計6.1.1審計日志生成系統(tǒng)應(yīng)生成以下事件的審計日志：a)審計功能的啟動與終止；b)管理員身份鑒別成功和失敗的事件；c)系統(tǒng)管理員、安全管理員、審計管理員和一般操作員所實施的操作；d)檢測到輸入數(shù)據(jù)含有對抗樣本；e)非授權(quán)保存人臉圖像；f)非授權(quán)進行數(shù)據(jù)庫操作。系統(tǒng)應(yīng)在每條審計日志中記錄事件發(fā)生的日期和時間、事件類型、事件描述和結(jié)果。審計功能部件應(yīng)能將可審計事件與發(fā)起該事件的用戶身份相關(guān)聯(lián)。6.1.2審計日志查閱系統(tǒng)應(yīng)為授權(quán)管理員提供審計日志查閱功能，方便管理員查看審計結(jié)果。除了具有明確訪問權(quán)限的8授權(quán)管理員之外，產(chǎn)品應(yīng)禁止所有其他用戶對審計日志的訪問。6.1.3審計日志保護系統(tǒng)應(yīng)具備審計日志保護功能，具體要求如下：a)應(yīng)能保護已存儲的審計日志，并能檢測和防止對審計日志的修改；b)審計日志應(yīng)存儲于斷電非易失性存儲介質(zhì)中，且在存儲空間達到閾值時通知授權(quán)管理員。6.2異常處理機制系統(tǒng)應(yīng)在非正常條件（如掉電、強行關(guān)機）下關(guān)機再重新啟動后，滿足以下技術(shù)要求：a)安全策略恢復(fù)到關(guān)機前的狀態(tài)；b)審計日志不會丟失；c)管理員重新鑒別。7測試方法7.1功能測試參照GB/T29268.1-2012，確定了以下測評方法。7.1.1對抗樣本檢測對抗樣本檢測的測試方法與預(yù)期結(jié)果如下：a)測試方法：嘗試輸入事先準備好的對抗樣本和正常樣本，檢查查全率、準確率是否不小于預(yù)期。b)預(yù)期結(jié)果：對于數(shù)字世界的對抗樣本，使用不同的距離度量約束對抗樣本生成，測試得出的查全率、準確率應(yīng)分別不小于預(yù)期（見表1對于物理世界的對抗樣本，使用面積大小約束對抗樣本生成。測試得出的查全率、準確率應(yīng)分別不小于預(yù)期（見表2）。表1數(shù)字世界對抗樣本預(yù)期表現(xiàn)類型擾動大小(L2/L+∞)查全率準確率黑盒攻擊方式生成的對抗樣本8/1690%95%4/885%90%2/480%85%75%80%白盒攻擊方式生成的對抗樣本8/1680%90%4/875%85%2/470%80%65%75%9表2物理世界對抗樣本預(yù)期表現(xiàn)類型擾動大小(cm2)查全率準確率物理世界對抗樣本85%90%80%85%675%80%370%75%7.1.2對抗樣本去噪對抗樣本去噪的測試方法與預(yù)期結(jié)果如下：a)測試方法：嘗試輸入事先準備好的數(shù)字世界、物理世界對抗樣本，檢查防御成功率是否不小于預(yù)期的值。b)預(yù)期結(jié)果：對于數(shù)字世界的對抗樣本，使用不同的距離度量約束對抗樣本生成，測試得出的防御成功率應(yīng)不小于預(yù)期（見表3）；對于物理世界的對抗樣本，使用面積大小約束對抗樣本生成。測試得出的防御成功率應(yīng)不小于預(yù)期（見表4）。表3數(shù)字世界對抗樣本預(yù)期表現(xiàn)類型擾動大小(L2/L+∞)防御成功率黑盒攻擊方式生成的對抗樣本8/1650%4/860%2/480%90%白盒攻擊方式生成的對抗樣本8/1640%4/850%2/470%80%表4物理世界對抗樣本預(yù)期表現(xiàn)類型擾動大小(L2/L+∞)防御成功率物理世界對抗樣本30%40%660%375%7.1.3對抗訓(xùn)練對抗樣本去噪的測試方法與預(yù)期結(jié)果如下：a)測試方法：嘗試輸入事先準備好的數(shù)字世界、物理世界對抗樣本，檢查防御成功率是否不小于預(yù)期的值。b)預(yù)期結(jié)果：對于數(shù)字世界的對抗樣本，預(yù)期使用不同的距離度量約束對抗樣本生成，測試得出的防御成功率應(yīng)不小于預(yù)期（見表5）。對于物理世界的對抗樣本，使用面積大小約束對抗樣本生成，測試得出的防御成功率應(yīng)不小于預(yù)期（見表6）。表5數(shù)字世界對抗樣本預(yù)期表現(xiàn)類型擾動大小(L2/L+∞)防御成功率黑盒攻擊方式生成的對抗樣本8/1660%4/870%2/485%95%白盒攻擊方式生成的對抗樣本8/1650%4/860%2/480%90%表6物理世界對抗樣本預(yù)期表現(xiàn)類型擾動大小(L2/L+∞)防御成功率物理世界對抗樣本50%60%680%390%7.2安全測試7.2.1審計日志7.2.1.1審計日志生成審計日志生成的測試方法與預(yù)期結(jié)果如下：a)測試方法：結(jié)合開發(fā)者和文檔，嘗試向系統(tǒng)輸入對抗樣本觸發(fā)相關(guān)時間，并對產(chǎn)品不同模塊進行訪問、運行、關(guān)閉以及重復(fù)失敗嘗試等相關(guān)操作，檢查產(chǎn)品提供了對哪些事件的審計，并審查審計日志的正確性；b)預(yù)期結(jié)果：1)產(chǎn)品至少為以下可審計事件產(chǎn)生審計記錄：——審計功能的啟動和終止；——檢測到對抗樣本攻擊。2)每個審計事件產(chǎn)生的審計記錄應(yīng)該記錄以下信息：——事件發(fā)生的日期和時間，日期包括年、月、日，時間包括時、分、秒；——事件的詳細描述；——時間的結(jié)果；——根據(jù)事件類型所需的其他信息。7.2.1.2審計日志查閱審計日志查閱的測試方法和預(yù)期結(jié)果如下：a)測試方法：1)嘗試以授權(quán)管理員身份與非授權(quán)管理員身份訪問審計日志，查看產(chǎn)品安全功能是否允許授權(quán)管理員訪問審計日志；2)審計日志的內(nèi)容是否容易理解；3)檢查產(chǎn)品是否能提供查閱審計日志的工具，是否能夠?qū)徲嬍录詴r間、日期、主體ID等為條件搜索，是否允許授權(quán)管理員使用查閱工具。b)預(yù)期結(jié)果：1)產(chǎn)品限制審計日志的訪問，除了具有明確的讀訪問權(quán)限的授權(quán)管理員外，產(chǎn)品禁止其他用戶對審計日志的讀??；2)審計日志的內(nèi)容容易理解；3)產(chǎn)品提供查閱審計日志的工具，并能夠?qū)徲嬍录詴r間、日期、主體ID等為條件搜索。7.2.1.3審計日志保護審計日志保護的測試方法和預(yù)期結(jié)果如下：a)測試方法：1)嘗試以授權(quán)管理員身份與非授權(quán)管理員身份修改審計日志，查看是否能夠修改成功；2)查看審計日志是否存儲于掉電非易損失性存儲介質(zhì)中，通過實施登錄、退出、修改配置等一系列事件，產(chǎn)生大量審計日志，直到達到閾值，查看系統(tǒng)是否能夠通知授權(quán)管理員。b)預(yù)期結(jié)果：1)產(chǎn)品能夠保存已存儲的審計日志，檢測和防止對審計日志的修改；2)審計日志存儲于掉電非易損失性存儲介質(zhì)中，且在存儲空間達到閾值時通知授權(quán)管理員。7.2.2異常處理機制異常處理機制的測試方法和預(yù)期結(jié)果如下：a)測試方法：1)記錄系統(tǒng)的當(dāng)前狀態(tài)、如安全策略等，保存配置；2)直接斷開系統(tǒng)電源，再接通電源開機啟動；3)再次嘗試通過界面進行管理，檢查安全策略和審計日志等。b)預(yù)期結(jié)果：1)重新通過管理界面對系統(tǒng)策略配置等進行查看時，需要重新鑒別；2)安全策略恢復(fù)到關(guān)機前