DB11∕T 2252-2024 信息安全 人臉識別防對抗樣本攻擊測試要求_第1頁
DB11∕T 2252-2024 信息安全 人臉識別防對抗樣本攻擊測試要求_第2頁
DB11∕T 2252-2024 信息安全 人臉識別防對抗樣本攻擊測試要求_第3頁
DB11∕T 2252-2024 信息安全 人臉識別防對抗樣本攻擊測試要求_第4頁
DB11∕T 2252-2024 信息安全 人臉識別防對抗樣本攻擊測試要求_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

ICS35.240

CCSL70

DB11

北京市地方標準

DB11/T2252—2024

信息安全人臉識別防對抗樣本攻擊測試

要求

Informationsecurity—Testingrequirementsondefendingadversarial

attackagainstfacerecognition

2024-06-28發(fā)布2024-10-01實施

北京市市場監(jiān)督管理局發(fā)布

DB11/T2252—2024

目次

前言.................................................................................II

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語和定義..........................................................................1

4攻擊方式分類........................................................................1

5測試方法............................................................................2

5.1測試條件.......................................................................2

5.2對抗樣本制作方法...............................................................2

5.3測試流程.......................................................................4

5.4測試結(jié)果計算方法...............................................................5

附錄A(資料性).....................................................................6

I

DB11/T2252—2024

前言

本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

本文件由北京市公安局提出并歸口。

本文件由北京市公安局組織實施。

本文件起草單位:北京市公安局、北京市公安局人工智能安全研究中心、北京瑞萊智慧科技有限公

司、北京百度網(wǎng)訊科技有限公司、中國科學院計算技術(shù)研究所、科大訊飛股份有限公司、公安部第三研

究所、北京市標準化研究院。

本文件主要起草人:蔡瑜坤、曹奇、王崇鵬、張曉飛、孫毅、劉鳴、鄧佳、馬飛翔、孔凡真、楊彬、

李曉波、王東明、辛錚、韋云霞、張旭東、孫空軍、李連吉、蕭子豪、張浩天、王海棠、郭建嶺、曹娟、

唐勝、方凌飛、朱莉莉、孔凡勝、程鳴、孫文琦、丁治國、周巧霖、樊子風。

II

DB11/T2252—2024

信息安全人臉識別防對抗樣本攻擊測試要求

1范圍

本文件規(guī)定了人臉識別防對抗樣本攻擊的攻擊方式分類、測試方法。

本文件適用于人臉識別應(yīng)用或系統(tǒng)的開發(fā)者、使用者及相關(guān)方開展防對抗樣本攻擊測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,

僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本

文件。

GB/T38671信息安全技術(shù)遠程人臉識別系統(tǒng)技術(shù)要求

GB/T41987公共安全人臉識別應(yīng)用防假體呈現(xiàn)攻擊測試方法

GA/T1324安全防范人臉識別應(yīng)用靜態(tài)人臉圖像采集規(guī)范

3術(shù)語和定義

GB/T38671界定的以及下列術(shù)語和定義適用于本文件。

3.1

對抗樣本adversarialexamples

在輸入數(shù)據(jù)中通過故意添加細微干擾獲得的、可導(dǎo)致機器學習算法模型以高置信度給出錯誤輸出的

樣本。

3.2

對抗補丁adversarialpatch

通過替換特定區(qū)域圖像內(nèi)容構(gòu)造的對抗樣本,通常表現(xiàn)為特定形狀的圖像塊。

3.3

物理對抗補丁physicaladversarialpatch

基于對抗補丁制作出的物理攻擊道具。

4攻擊方式分類

根據(jù)被測試的人臉識別應(yīng)用或系統(tǒng)在進行識別時可接受的輸入類型,攻擊方式分為兩大類,如表1

所示。

1

DB11/T2252—2024

表1攻擊方式分類

攻擊方式類型攻擊輸入適用測試對象

基于像素擾動的對抗樣本(參見A.1)人臉識別應(yīng)用或系統(tǒng)可通過輸入人臉圖像數(shù)

注入攻擊類

基于對抗補丁的對抗樣本(參見A.2)據(jù)進行識別

人臉識別應(yīng)用或系統(tǒng)可通過攝像頭采集人臉

呈現(xiàn)攻擊類物理對抗補丁

數(shù)據(jù)進行識別

5測試方法

5.1測試條件

5.1.1人臉識別準確率

測試開始前應(yīng)按要求部署被測人臉識別應(yīng)用或系統(tǒng)。被測人臉識別應(yīng)用或系統(tǒng)的相似度閾值等各項

設(shè)置應(yīng)調(diào)整到默認狀態(tài)。應(yīng)確保被測應(yīng)用人臉識別功能正常,可通過輸入人臉圖像或直接采集人臉圖像

等方式進行多次識別并統(tǒng)計人臉識別結(jié)果,記錄正常人臉樣本的識別次數(shù)、識別準確率。

5.1.2測試環(huán)境光線

進行呈現(xiàn)攻擊測試時,測試環(huán)境光線可分別模擬室內(nèi)環(huán)境、半室外環(huán)境及室外環(huán)境,應(yīng)符合GB/T

41987中測試過程中環(huán)境光線的要求。

5.2對抗樣本制作方法

5.2.1人臉識別對象選取

在對抗樣本攻擊的測試對象樣本中,男女比例應(yīng)為1:1,年齡在16歲~60歲的占80%,小于16歲的占

10%,大于60歲的占10%。測試人員確定后按照性別一致、年齡相仿的原則進行兩兩分組,隨機選取其中

一人作為模擬攻擊者,另一人作為模擬攻擊目標。

5.2.2人臉數(shù)據(jù)采集

在呈現(xiàn)攻擊類測試中,按照GA/T1324采集規(guī)范采集人臉照片,針對每個測試組,需采集模擬攻擊

者、模擬攻擊目標兩人各1張照片。

5.2.3對抗樣本制作

5.2.3.1基于像素擾動的對抗樣本制作

以被測人臉識別應(yīng)用或系統(tǒng)為攻擊對象,選取不少于200個測試組人臉數(shù)據(jù),分別制作基于像素擾

動的對抗樣本。針對于每個測試組應(yīng)生成不同擾動大小的對抗樣本圖像。記錄測試組數(shù)量、對抗樣本制

作方法及擾動大小。

5.2.3.2基于對抗補丁的對抗樣本制作

以被測人臉識別應(yīng)用或系統(tǒng)為攻擊對象,選取不少于200個測試組人臉數(shù)據(jù),分別制作基于對抗補

丁的對抗樣本。如圖1所示,針對每個測試組應(yīng)分別生成覆蓋眼部區(qū)域的對抗樣本圖像,如圖1a)所示;

生成覆蓋眼部及鼻子區(qū)域的對抗圖像,如圖1b)所示;生成覆蓋眼部鼻子及臉頰區(qū)域的對抗樣本圖像,

如圖1c)所示。記錄測試組數(shù)量、對抗樣本制作方法及擾動大小。

2

DB11/T2252—2024

a)覆蓋眼部的對抗樣本b)覆蓋眼部及鼻子的對抗樣本c)覆蓋眼部鼻子及臉頰的對抗樣本

圖1基于對抗補丁的對抗樣本規(guī)格示例

5.2.3.3物理對抗補丁制作

以被測人臉識別應(yīng)用或系統(tǒng)為攻擊對象,選取不少于10個測試組人臉數(shù)據(jù),分別制作物理對抗補

丁。針對每個測試組應(yīng)分別制作覆蓋眼部區(qū)域的物理對抗補丁,如圖2a)和圖2b)所示,其中圖2b)為

扣眼的物理對抗補??;制作覆蓋眼部及鼻子區(qū)域的物理對抗補丁,如圖2c)和圖2d)所示,其中圖2d)

為覆蓋眼部及鼻子的摳眼對抗補??;制作覆蓋眼部鼻子及臉頰區(qū)域的物理對抗補丁,如圖2e)和圖2f)

所示,其中圖2f)為覆蓋眼部鼻子及臉頰的摳眼對抗補丁。針對于帶有眨眼動作配合式活體的人臉識別

應(yīng)用或系統(tǒng)應(yīng)分別制作扣眼區(qū)域類型的物理對抗補丁,針對于不帶有眨眼動作配合式活體的人臉識別應(yīng)

用或系統(tǒng)應(yīng)制作帶有眼部區(qū)域特征類型的物理對抗補丁。記錄測試組數(shù)量、對抗樣本制作方法及擾動大

小。

a)覆蓋眼部的對抗補丁b)覆蓋眼部的摳眼對抗補丁

c)覆蓋眼部及鼻子的對抗補丁d)覆蓋眼部及鼻子的摳眼對抗補丁

e)覆蓋眼部鼻子及臉頰的對抗補丁f)覆蓋眼部鼻子及臉頰的摳眼對抗補丁

圖2物理對抗補丁規(guī)格示例

物理對抗補丁可選用紙張、硅膠、塑料等材質(zhì)進行制作,所生成的對抗補丁瞳距需與模擬攻擊者瞳

3

DB11/T2252—2024

距保持一致。

5.3測試流程

5.3.1防基于像素擾動的對抗樣本攻擊測試

5.3.1.1針對人臉驗證的測試流程

測試流程如下:

a)輸入準備好的模擬攻擊目標圖像及對應(yīng)的基于像素擾動的對抗樣本測試組,并依次獲取識別結(jié)

果;

b)若應(yīng)用將模擬攻擊者對抗樣本及模擬攻擊目標識別為同一人,則判定應(yīng)用防對抗樣本攻擊失

?。环粗畡t判斷為防對抗樣本攻擊成功。

5.3.1.2針對人臉辨識的測試流程

測試流程如下:

a)將模擬攻擊目標圖像標識注冊到人臉辨識應(yīng)用中;

b)將基于像素擾動的對抗樣本輸入人臉辨識應(yīng)用中;

c)若應(yīng)用將模擬攻擊者對抗樣本及模擬攻擊目標識別為同一人,則判定防對抗樣本攻擊失敗,反

之則判斷為防對抗樣本攻擊成功。

5.3.2防基于對抗補丁的對抗樣本攻擊測試

5.3.2.1針對人臉驗證測試流程

測試流程如下:

a)輸入準備好的模擬攻擊目標圖像及對應(yīng)的基于對抗補丁的對抗樣本測試組,并依次獲取識別結(jié)

果。

b)若應(yīng)用將模擬攻擊者對抗樣本及模擬攻擊目標識別為同一人,則判定防對抗樣本攻擊失敗;反

之則判斷為防對抗樣本攻擊成功。

5.3.2.2針對人臉辨識測試流程

測試流程如下:

a)將模擬攻擊目標圖像標識注冊到人臉辨識應(yīng)用中;

b)將基于對抗補丁的對抗樣本輸入人臉辨識應(yīng)用中;

c)若應(yīng)用將模擬攻擊者對抗樣本及模擬攻擊目標識別為同一人,則判定防對抗樣本攻擊失敗,反

之則判斷為防對抗樣本攻擊成功。

5.3.3防物理對抗補丁攻擊測試

5.3.3.1針對人臉驗證測試流程

測試流程如下:

a)輸入準備好的模擬攻擊目標圖像后,各測試組模擬攻擊者應(yīng)依次佩戴上制作好的物理對抗補

丁,并按照人臉識別應(yīng)用或系統(tǒng)的指示進行測試。

b)各測試組測試者面對攝像機,攝像機采集到的正面人臉圖像兩眼間距不小于60像素。佩戴物

理對抗補丁人臉水平轉(zhuǎn)動±90°,轉(zhuǎn)動過程中俯仰角不超過30°,傾斜角不超過20°,轉(zhuǎn)動

一次耗時1.5s~3s。人臉驗證應(yīng)用或系統(tǒng)輸出一次結(jié)果記為一次測試過程。每個物理對抗補丁

4

DB11/T2252—2024

需要進行不少于10次的測試。

c)若在一次測試過程中將模擬攻擊者對抗樣本及模擬攻擊目標識別為同一人,則判定為防對抗樣

本攻擊失敗,反之則判斷為防對抗樣本攻擊成功。

5.3.3.2針對人臉辨識測試流程

測試流程如下:

a)將模擬攻擊目標圖像標識注冊到人臉辨識應(yīng)用中,而后各測試組測試者應(yīng)依次佩戴上制作好的

物理對抗補丁,按照人臉識別應(yīng)用或系統(tǒng)的指示進行測試。

b)各測試組測試者面對攝像機,攝像機采集到的正面人臉圖像兩眼間距不小于60像素。人臉水

平轉(zhuǎn)動±90°,轉(zhuǎn)動過程中俯仰角不超過30°,傾斜角不超過20°,佩戴物理對抗補丁從-90°

到+90°轉(zhuǎn)動一次耗時1.5s~3s。重復(fù)“正面臉→左側(cè)臉→右側(cè)臉”動作3次,記為一次測試過

程。每個物理對抗補丁需要進行不少于10次的測試,并記錄測試結(jié)果。

c)若在一次測試過程中將模擬攻擊者對抗樣本及模擬攻擊目標識別為同一人,則判定防對抗樣本

攻擊失敗,反之則判斷為防對抗樣本攻擊成功。

5.4測試結(jié)果計算方法

5.4.1防像素擾動對抗樣本攻擊失敗率

按式(1)計算得到防像素擾動對抗樣本攻擊失敗率F1。F1越低表明人臉識別應(yīng)用或系統(tǒng)抵御像素擾

動對抗樣本攻擊的能力越強。

F1=X/ZX×100%........................................(1)

式中:

F1——防像素擾動對抗樣本攻擊失敗率;

X——防像素擾動對抗樣本攻擊失敗的次數(shù);

ZX——防像素擾動對抗樣本攻擊測試總次數(shù)。

5.4.2防對抗補丁攻擊失敗率

按式(2)計算得到防對抗補丁攻擊失敗率。F2越低表明人臉識別應(yīng)用或系統(tǒng)抵御對抗補丁攻擊的

能力越強。

F2=B/ZB×100%.......................................(2)

式中:

F2——防對抗補丁攻擊失敗率;

B——防對抗樣本攻擊失敗的次數(shù);

ZB——防對抗補丁攻擊測試總次數(shù)。

5.4.3防物理對抗補丁攻擊失敗率

按式(3)計算得到防物理對抗補丁攻擊失敗率。F3越低表明人臉識別應(yīng)用或系統(tǒng)抵御物理對抗補

丁攻擊的能力越強。

F3=W/ZW×100%.........................................(3)

式中:

F3——防物理對抗補丁攻擊失敗率;

W——防物理對抗補丁攻擊失敗的次數(shù);

ZW——防物理對抗補丁攻擊測試總次數(shù)。

5

DB11/T2252—2024

附錄A

(資料性)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論