目錄CONTENTS04對(duì)抗攻擊05對(duì)抗防御01章節(jié)結(jié)構(gòu)02章節(jié)背景03背景術(shù)語(yǔ)XidianUniversity06身份認(rèn)證中的對(duì)抗攻擊07身份認(rèn)證中的對(duì)抗防御01章節(jié)結(jié)構(gòu)XidianUniversity背景知識(shí)術(shù)語(yǔ)概念對(duì)抗攻擊/防御身份認(rèn)證中的對(duì)抗攻擊/防御介紹章節(jié)的背景知識(shí)以及相關(guān)的概念。介紹對(duì)抗攻擊以及對(duì)抗防御的常見(jiàn)類型。對(duì)章節(jié)中涉及的主要術(shù)語(yǔ)進(jìn)行解釋說(shuō)明。介紹身份認(rèn)證中對(duì)抗攻擊以及對(duì)抗防御的常見(jiàn)形式。XidianUniversity01章節(jié)結(jié)構(gòu)02章節(jié)背景XidianUniversity02章節(jié)背景近年來(lái)，許多生物特征認(rèn)證系統(tǒng)利用神經(jīng)網(wǎng)絡(luò)進(jìn)行開(kāi)發(fā)，受益于深度學(xué)習(xí)模型的高效率和高準(zhǔn)確度，生物特征認(rèn)證系統(tǒng)得到了長(zhǎng)足的發(fā)展。然而，面對(duì)惡意攻擊、強(qiáng)噪聲等干擾因素，其識(shí)別準(zhǔn)確度較低，魯棒性不足的問(wèn)題也亟需解決。深度神經(jīng)網(wǎng)絡(luò)易受到對(duì)抗樣本干擾的弊端，即在輸入數(shù)據(jù)中施加微小擾動(dòng)來(lái)誘騙模型產(chǎn)生錯(cuò)誤輸出。一方面對(duì)抗樣本的存在揭示了深度學(xué)習(xí)模型的可解釋性不足，使得實(shí)際部署的單功能深度神經(jīng)網(wǎng)絡(luò)存在嚴(yán)重的安全隱患；另一方面從以攻促防的應(yīng)用前景來(lái)看，生成對(duì)抗樣本的對(duì)抗攻擊算法也已經(jīng)成為近年來(lái)深度學(xué)習(xí)領(lǐng)域炙手可熱的研究熱點(diǎn)。鑒于此，本章節(jié)將主要圍繞對(duì)抗樣本展開(kāi)，對(duì)已經(jīng)被提出的一些經(jīng)典的、具有一定代表性的攻擊技術(shù)以及其相對(duì)應(yīng)的防御手段進(jìn)行梳理總結(jié)，并簡(jiǎn)要介紹其在身份認(rèn)證中的發(fā)展及變體。XidianUniversity03背景術(shù)語(yǔ)XidianUniversity由對(duì)抗攻擊所生成的有害樣本，可以誤導(dǎo)模型進(jìn)行錯(cuò)誤分類，人眼無(wú)法識(shí)別出對(duì)抗樣本和干凈樣本。對(duì)抗樣本針對(duì)某張干凈樣本以某種攻擊形式添加對(duì)抗性擾動(dòng)以生成對(duì)抗樣本，分為有目標(biāo)攻擊以及無(wú)目標(biāo)攻擊。對(duì)抗攻擊針對(duì)對(duì)抗攻擊進(jìn)行主動(dòng)或是被動(dòng)的防御以緩解對(duì)抗攻擊對(duì)模型預(yù)測(cè)分類結(jié)果的不良影響。對(duì)抗防御XidianUniversity03背景術(shù)語(yǔ)04對(duì)抗攻擊XidianUniversity與訓(xùn)練神經(jīng)網(wǎng)絡(luò)類似的思想類似?；趦?yōu)化擾動(dòng)的攻擊方法將對(duì)抗樣本的生成過(guò)程可定義為求解一個(gè)優(yōu)化問(wèn)題，通過(guò)固定模型及其超參數(shù)，依據(jù)某種優(yōu)化策略搜索足以改變模型預(yù)測(cè)的最小擾動(dòng)。C&W攻擊、EAD攻擊基于優(yōu)化擾動(dòng)的攻擊方法基于約束擾動(dòng)的攻擊放寬了限制條件，將擾動(dòng)大小設(shè)置為優(yōu)化問(wèn)題的約束，常常通過(guò)對(duì)擾動(dòng)進(jìn)行裁剪操作滿足擾動(dòng)閾值的限制。該類攻擊通常依托于損失函數(shù)的梯度信息尋找可行擾動(dòng)。FGSM攻擊、PGD攻擊基于約束擾動(dòng)的攻擊基于決策邊界的攻擊方法放棄了復(fù)雜的優(yōu)化問(wèn)題求解思路，轉(zhuǎn)而去在尋找距離樣本最近的某類決策邊界。通過(guò)跨越?jīng)Q策邊界，改變模型的預(yù)測(cè)結(jié)果來(lái)找到合適的對(duì)抗樣本，從而完成對(duì)抗攻擊。DeepFool、UAP攻擊基于決策邊界的攻擊方法不同于傳統(tǒng)攻擊對(duì)所有像素進(jìn)行修改，其他白盒攻擊對(duì)像素?cái)_動(dòng)進(jìn)行的限制，從全局的擾動(dòng)添加變?yōu)榱藢Ｗ⒂趥€(gè)別像素的修改。這樣攻擊者更有針對(duì)性地添加擾動(dòng)，減少對(duì)原本干凈樣本的修改痕跡。One-pixel、JSMA攻擊其他白盒攻擊方法XidianUniversity04白盒攻擊白盒攻擊通過(guò)深入訪問(wèn)和利用機(jī)器學(xué)習(xí)模型的內(nèi)部結(jié)構(gòu)和參數(shù)信息來(lái)生成對(duì)抗樣本。攻擊者能夠獲取模型的權(quán)重、梯度等詳細(xì)信息，并利用這些信息設(shè)計(jì)輸入數(shù)據(jù)的微小擾動(dòng)，使模型產(chǎn)生錯(cuò)誤預(yù)測(cè)。基于白盒攻擊的優(yōu)越性能以及神經(jīng)網(wǎng)絡(luò)的可遷移，基于遷移的攻擊旨在利用替代數(shù)據(jù)集自行訓(xùn)練一個(gè)替代神經(jīng)網(wǎng)絡(luò)，并對(duì)其進(jìn)行白盒攻擊，再將得到的對(duì)抗樣本用于攻擊目標(biāo)黑盒模型。DI-FGSM、SMBEA基于遷移的攻擊基于預(yù)測(cè)軟標(biāo)簽的攻擊方旨在利用黑盒模型輸出的概率分布信息（軟標(biāo)簽），逐步調(diào)整輸入數(shù)據(jù)的微小擾動(dòng)，以最大化目標(biāo)類的概率或最小化真實(shí)類的概率，從而迫使模型做出錯(cuò)誤預(yù)測(cè)。ZOO攻擊、AutoZOOM基于預(yù)測(cè)軟標(biāo)簽的攻擊與軟標(biāo)簽不同，基于硬標(biāo)簽的攻擊僅能使用模型給出的類別標(biāo)簽（硬標(biāo)簽），是最為嚴(yán)苛的攻擊約束設(shè)定?；诖斯粽咭话銖囊粋€(gè)擾動(dòng)極大的初始樣本出發(fā)，在模型決策邊界附近游走以最小化有效擾動(dòng)。RGF攻擊、HSJA攻擊基于預(yù)測(cè)硬標(biāo)簽的攻擊其他黑盒攻擊旨在將黑盒攻擊與各領(lǐng)域結(jié)合以發(fā)掘新的攻擊方法。比較典型的例子如使用生成對(duì)抗網(wǎng)絡(luò)來(lái)生成與模型無(wú)關(guān)的對(duì)抗樣本；或是將貝葉斯優(yōu)化與黑盒攻擊相結(jié)合以降低搜索空間的維度進(jìn)行高效搜索。AdvGAN、BO-ATP其他黑盒攻擊方法XidianUniversity04黑盒攻擊黑盒攻擊通過(guò)無(wú)需訪問(wèn)機(jī)器學(xué)習(xí)模型內(nèi)部結(jié)構(gòu)和參數(shù)信息，僅依賴輸入輸出行為來(lái)生成對(duì)抗樣本。攻擊者通過(guò)觀察模型對(duì)不同輸入的預(yù)測(cè)結(jié)果，逐步調(diào)整輸入數(shù)據(jù)的微小擾動(dòng)，使模型產(chǎn)生錯(cuò)誤預(yù)測(cè)。05對(duì)抗防御XidianUniversity基于壓縮與變換的防御通過(guò)對(duì)輸入數(shù)據(jù)進(jìn)行壓縮和變換來(lái)抵御對(duì)抗攻擊。壓縮操作可以移除輸入數(shù)據(jù)中的微小擾動(dòng)，而變換操作則改變數(shù)據(jù)的空間結(jié)構(gòu)，從而達(dá)到破壞對(duì)抗樣本的效果。JEPG壓縮、ComDefend基于壓縮與變換的防御基于破壞與重構(gòu)的防御通過(guò)對(duì)輸入數(shù)據(jù)進(jìn)行破壞和重構(gòu)來(lái)抵御對(duì)抗攻擊。破壞操作可以有效削弱對(duì)抗擾動(dòng)，而重構(gòu)操作又起到了恢復(fù)數(shù)據(jù)的關(guān)鍵特征的作用，從而提高模型的魯棒性和安全性。ME-Net、CIIDefence基于破壞與重構(gòu)的防御基于檢測(cè)器的防御通過(guò)某種算法來(lái)訓(xùn)練專門(mén)的檢測(cè)模型來(lái)識(shí)別和過(guò)濾對(duì)抗樣本。檢測(cè)器分析輸入數(shù)據(jù)的特征，以區(qū)分正常樣本和對(duì)抗樣本，從而在對(duì)抗樣本進(jìn)入主模型之前進(jìn)行攔截或標(biāo)記。MagNet檢測(cè)器基于檢測(cè)器的防御除了常見(jiàn)的三種主動(dòng)防御方法，通過(guò)發(fā)掘模型與數(shù)據(jù)中更深層次的信息以解釋對(duì)抗樣本與干凈樣本的差異，或是與前沿各種領(lǐng)域的新技術(shù)相結(jié)合，一些新的主動(dòng)檢測(cè)對(duì)抗樣本的防御策略也逐漸被提出。HGD降噪、Defense-GAN其他主動(dòng)防御方法XidianUniversity05基于預(yù)處理的主動(dòng)防御基于預(yù)處理的主動(dòng)防御是一種通過(guò)在輸入數(shù)據(jù)進(jìn)入機(jī)器學(xué)習(xí)模型之前對(duì)其進(jìn)行處理，以抵御對(duì)抗攻擊的方法。這種防御機(jī)制通過(guò)在輸入數(shù)據(jù)上施加特定的變換，如圖像去噪、裁剪、縮放、平滑濾波、隨機(jī)噪聲添加等，使得對(duì)抗樣本的效果減弱或失效。基于模型蒸餾的防御通過(guò)訓(xùn)練一個(gè)更小、更平滑的學(xué)生模型來(lái)模仿原始復(fù)雜的教師模型，從而增強(qiáng)魯棒性。蒸餾過(guò)程減少模型對(duì)輸入擾動(dòng)的敏感性，使得微量擾動(dòng)對(duì)模型無(wú)效，提高其抵御對(duì)抗攻擊的能力。DefensiveDistillation基于模型蒸餾的防御考慮到對(duì)抗樣本的一個(gè)特點(diǎn)是其擾動(dòng)幅度十分微小，因此基于梯度正則化的防御會(huì)懲罰輸入的微小變化，從而使得在模型的訓(xùn)練階段就引導(dǎo)模型的梯度向著無(wú)視微小變化的方向變化，從而防御對(duì)抗樣本。GradientRegularization基于梯度正則化的防御在對(duì)抗訓(xùn)練中，訓(xùn)練目標(biāo)模型所需要的數(shù)據(jù)集由對(duì)抗樣本和原始數(shù)據(jù)集共同構(gòu)成。在訓(xùn)練過(guò)程中，模型不僅會(huì)接觸到干凈的原始樣本，同時(shí)也會(huì)接觸到含有對(duì)抗擾動(dòng)的對(duì)抗樣本，以此來(lái)提升模型的魯棒性。TRADES、MART基于對(duì)抗訓(xùn)練的防御對(duì)抗訓(xùn)練普遍被認(rèn)為是最有效的防御策略，但生成對(duì)抗樣本卻需要計(jì)算開(kāi)銷。基于此，針對(duì)早期使用原始PGD方式生成對(duì)抗樣本效率低的問(wèn)題，各種新的生成方法被提出以提高對(duì)抗訓(xùn)練的整體效率。FreeAT、FreeLB對(duì)抗訓(xùn)練的改進(jìn)XidianUniversity05基于正則化的被動(dòng)防御基于正則化的被動(dòng)防御通過(guò)在模型訓(xùn)練過(guò)程中引入約束，限制模型的復(fù)雜度和靈活性，從而增強(qiáng)模型的魯棒性和抗攻擊能力。這種防御方法旨在使模型對(duì)輸入數(shù)據(jù)的微小擾動(dòng)不敏感，減少過(guò)度擬合的風(fēng)險(xiǎn)，增強(qiáng)模型對(duì)異常輸入的穩(wěn)定性。06身份認(rèn)證中的對(duì)抗攻擊XidianUniversity端對(duì)端網(wǎng)絡(luò)在對(duì)抗攻擊章節(jié)已經(jīng)被證實(shí)對(duì)抗樣本缺乏魯棒性，而利用深度特征進(jìn)行生物識(shí)別的系統(tǒng)同樣無(wú)法抵御對(duì)抗攻擊。由于GAN網(wǎng)絡(luò)超越傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的特征提取性能，并且能夠按照原樣本的特點(diǎn)生成新的數(shù)據(jù)，GAN也常用于人臉識(shí)別領(lǐng)域生成對(duì)抗樣本。advGan便是其中的代表。針對(duì)人臉識(shí)別模塊的攻擊與針對(duì)人臉識(shí)別模塊的攻擊不同，針對(duì)人臉檢測(cè)模塊的攻擊旨在通過(guò)逃避預(yù)處理檢測(cè)器的檢測(cè)而達(dá)成攻擊的目的，針對(duì)的目標(biāo)并不是識(shí)別模型本身。在這種攻擊模式下攻擊者訓(xùn)練一個(gè)生成器來(lái)不斷生成對(duì)抗樣本，同時(shí)根據(jù)檢測(cè)器的分類結(jié)果來(lái)對(duì)生成器進(jìn)行矯正以達(dá)到最終的檢測(cè)逃避的目的。針對(duì)人臉檢測(cè)模塊的攻擊06針對(duì)人臉識(shí)別的對(duì)抗攻擊數(shù)字域?qū)构艏僭O(shè)攻擊者能夠直接向深度學(xué)習(xí)算法饋入數(shù)字圖像形式的對(duì)抗樣本。攻擊者利用流行的FGSM、PGD等梯度優(yōu)化算法或者GAN網(wǎng)絡(luò)在原始輸入的基礎(chǔ)上生成對(duì)抗樣本。數(shù)字域?qū)构鬭dvGan示意圖檢測(cè)逃避示意圖在數(shù)字域中生成的對(duì)抗樣本同樣可以作用于物理域，但考慮到圖像被捕獲后可能發(fā)生的種種微小變形，需要進(jìn)行一定措施的處理避免對(duì)抗樣本失效。在advHat中，首先對(duì)生成的對(duì)抗圖案做非平面轉(zhuǎn)換，以模仿粘貼至額前可能發(fā)生的形變從而增強(qiáng)對(duì)抗圖案的魯棒性，之后根據(jù)損失函數(shù)更改圖像變動(dòng)的方向，通過(guò)迭代優(yōu)化的方式生成對(duì)抗樣本。針對(duì)人臉識(shí)別模塊的攻擊在針對(duì)人臉檢測(cè)模塊的攻擊中，有研究者發(fā)現(xiàn)附著在帽檐上甚至隱藏在發(fā)絲中的紅外線LED燈可以通過(guò)投射紅外點(diǎn)至面部關(guān)鍵區(qū)域，微妙地改變目標(biāo)體的面部特征，從而逃避檢測(cè)。相對(duì)于貼紙類攻擊，該種基于紅外的隱形面部變形在擾動(dòng)體量和隱蔽性上都更具優(yōu)勢(shì)。并且無(wú)需針對(duì)具體的識(shí)別模型進(jìn)行調(diào)整，具備更高的通用性。針對(duì)人臉檢測(cè)模塊的攻擊06針對(duì)人臉識(shí)別的對(duì)抗攻擊物理域?qū)构絷P(guān)注在真實(shí)目標(biāo)體上部署對(duì)抗樣本，在這種情況下，對(duì)抗樣本總是被攝像頭或傳感器捕獲。在該方面同樣存在很多關(guān)于攻擊方法的研究，相較于數(shù)字域上的攻擊手段，其面臨更多的挑戰(zhàn)，如打印后圖像顏色失真、對(duì)抗圖像的移位旋轉(zhuǎn)及形變、現(xiàn)實(shí)空間中復(fù)雜的光照等。物理域?qū)构鬭dvHat示意圖檢測(cè)逃避所用的LED燈安裝了LED燈的鴨舌帽作為語(yǔ)音身份驗(yàn)證系統(tǒng)防御攻擊的城池堡壘，語(yǔ)音欺騙對(duì)策模塊通常也無(wú)法成功抵御對(duì)抗攻擊。Liu等人從完整性考慮，采用快速梯度符號(hào)法（FGSM）和投影梯度下降法（PGD）在白盒和黑盒兩種場(chǎng)景設(shè)置下首次對(duì)語(yǔ)音欺騙對(duì)策模塊的可靠性進(jìn)行評(píng)估，證明深度語(yǔ)音欺騙對(duì)策模塊對(duì)于對(duì)抗音頻的非魯棒性。Andre等開(kāi)發(fā)了ADVCM作為第一個(gè)針對(duì)語(yǔ)音欺騙對(duì)策模塊的實(shí)際攻擊，以生成對(duì)抗樣本作為攻擊策略，將生成針對(duì)語(yǔ)音欺騙對(duì)策模塊對(duì)抗噪聲的問(wèn)題歸約為一個(gè)受威脅模型約束的優(yōu)化問(wèn)題。06針對(duì)語(yǔ)音身份驗(yàn)證平臺(tái)的攻擊方法聲紋識(shí)別的判定機(jī)理建立在未知輸入語(yǔ)音和已注冊(cè)語(yǔ)音的特征相似性上，在一般的聲紋識(shí)別任務(wù)中，對(duì)于真實(shí)的模型攻擊，攻擊者只擾動(dòng)待測(cè)試語(yǔ)音并且保持注冊(cè)語(yǔ)音集的干凈性。在代表性針對(duì)聲紋識(shí)別子系統(tǒng)的FAKEBOB攻擊中，攻擊者將對(duì)抗性樣本的生成公式化為一個(gè)優(yōu)化問(wèn)題，以平衡對(duì)抗語(yǔ)音的強(qiáng)度和隱蔽性。針對(duì)聲紋識(shí)別子系統(tǒng)的攻擊FAKEBOB示意圖針對(duì)語(yǔ)音欺騙對(duì)策模塊的攻擊ADVCM示意圖作為遠(yuǎn)距離身份認(rèn)證方法之一，行人重識(shí)別是利用計(jì)算機(jī)視覺(jué)技術(shù)比對(duì)不同方位角度下行人外表特征，從而判斷圖像或者視頻序列中是否存在某些特定行人的技術(shù)，通常意義上可以認(rèn)為是一個(gè)圖像檢索的子問(wèn)題，通過(guò)檢索跨設(shè)備下的行人圖像，判別目標(biāo)行人是否出現(xiàn)。Zhao等提出一種基于GAN的無(wú)監(jiān)督對(duì)抗攻擊方法UAA-GAN，包含生成對(duì)抗樣本的生成器、區(qū)分真?zhèn)螆D像的鑒別器和計(jì)算輸入圖像深度特征的目標(biāo)網(wǎng)絡(luò)，其在攻擊行人重識(shí)別模型方面有著不俗的表現(xiàn)。06針對(duì)遠(yuǎn)距離識(shí)別技術(shù)的攻擊方法步態(tài)識(shí)別是一種新興的生物特征辨別技術(shù)，旨在利用人類行走的姿態(tài)實(shí)現(xiàn)身份辨識(shí)，相較于其他的生物識(shí)別技術(shù)，步態(tài)識(shí)別有著非接觸式遠(yuǎn)距離的優(yōu)勢(shì)，其在社會(huì)治安、遠(yuǎn)程監(jiān)視領(lǐng)域有著廣泛的應(yīng)用。Jia等人提出一種結(jié)合GAN在合成視頻方面的優(yōu)勢(shì)與步態(tài)識(shí)別中先驗(yàn)知識(shí)的攻擊方法，從特定目標(biāo)的源步態(tài)序列和目標(biāo)場(chǎng)景圖像中渲染出偽造視頻。針對(duì)步態(tài)識(shí)別的攻擊步態(tài)識(shí)別生成器示意圖針對(duì)行人重識(shí)別的攻擊UAA-GAN示意圖心電圖ECG是一種可以進(jìn)行短時(shí)間存儲(chǔ)的信號(hào)，高保真ECG信號(hào)在稍后的時(shí)間可再現(xiàn)對(duì)應(yīng)的生物特征信號(hào)，因此如果缺少監(jiān)督可能會(huì)導(dǎo)致被攻擊者攻擊。Eberz等提出一種針對(duì)ECG生物特征的系統(tǒng)攻擊，其基本思想是學(xué)習(xí)一個(gè)映射函數(shù)轉(zhuǎn)換待攻擊的ECG信號(hào)，使其盡可能地逼近目標(biāo)信號(hào)；轉(zhuǎn)換后的ECG信號(hào)可用于欺騙識(shí)別系統(tǒng)以進(jìn)行非法訪問(wèn)，這體現(xiàn)了有目標(biāo)攻擊的思想，將原樣本（待攻擊的ECG信號(hào)）轉(zhuǎn)換成對(duì)抗樣本（目標(biāo)ECG信號(hào)）。06針對(duì)其他生物特征認(rèn)證系統(tǒng)的攻擊方法基于手勢(shì)的身份驗(yàn)證已成為一種在移動(dòng)設(shè)備上對(duì)用戶進(jìn)行身份驗(yàn)證的非侵入式、有效的方法。近年來(lái)，深度學(xué)習(xí)技術(shù)應(yīng)用于基于手勢(shì)的身份驗(yàn)證系統(tǒng)中，已經(jīng)取得可喜的成果。其中，有多種分析手勢(shì)的技術(shù)，包括加速度、角運(yùn)動(dòng)、3D運(yùn)動(dòng)以及三者的混合。Huang等收集用戶手持智能手機(jī)并進(jìn)行簽名操作時(shí)的三軸加速計(jì)手勢(shì)數(shù)據(jù)作為數(shù)據(jù)集并做相應(yīng)的預(yù)處理；后續(xù)采用深度卷積生成對(duì)抗網(wǎng)絡(luò)生成對(duì)抗樣本。針對(duì)手勢(shì)身份驗(yàn)證的攻擊針對(duì)生理信號(hào)身份驗(yàn)證的攻擊ECG攻擊示意圖一般來(lái)說(shuō)，向語(yǔ)音驗(yàn)證碼增加對(duì)抗擾動(dòng)的方式主要分為三種，一種是可以通過(guò)基于優(yōu)化策略的方式，直接向語(yǔ)音樣本中增加噪聲，使用目標(biāo)模型的識(shí)別結(jié)果反向傳播優(yōu)化梯度從而實(shí)現(xiàn)樣本的不斷優(yōu)化，最終達(dá)到合成對(duì)抗語(yǔ)音樣本的目的，此外，由于對(duì)抗生成式網(wǎng)絡(luò)的生成能力優(yōu)勢(shì)，近年來(lái)也有研究者嘗試使用GAN來(lái)對(duì)語(yǔ)音驗(yàn)證碼添加對(duì)抗噪聲，第三種方式則是通過(guò)對(duì)語(yǔ)音驗(yàn)證碼音頻文件本身的解析，在時(shí)域和頻域中通過(guò)分段處理添加噪聲從而實(shí)現(xiàn)對(duì)目標(biāo)識(shí)別模型的愚弄。06針對(duì)驗(yàn)證碼防御設(shè)計(jì)的對(duì)抗攻擊由于圖像的分布具有隨機(jī)性，相比于字符的規(guī)律性和目標(biāo)性更強(qiáng)（即一個(gè)字符對(duì)應(yīng)一個(gè)具體的標(biāo)簽，而一個(gè)文本驗(yàn)證碼中一般同時(shí)存在多個(gè)字符）。圖像驗(yàn)證碼的對(duì)抗性設(shè)計(jì)相對(duì)文本驗(yàn)證碼來(lái)說(shuō)更加容易，攻擊者可以利用特定字符作為背景針對(duì)文本驗(yàn)證碼字符逐個(gè)添加擾動(dòng)，從而生成具備對(duì)抗模式識(shí)別的文本驗(yàn)證碼圖像。針對(duì)圖像識(shí)別驗(yàn)證的攻擊針對(duì)語(yǔ)音識(shí)別驗(yàn)證碼的攻擊基于對(duì)抗樣本的文本驗(yàn)證碼生成示意圖基于對(duì)抗攻擊的語(yǔ)音驗(yàn)證碼生成示意圖07身份認(rèn)證中的對(duì)抗防御XidianUniversity而在實(shí)際的身份認(rèn)證系統(tǒng)中，基于預(yù)處理的主動(dòng)防御策略往往更加易于部署，對(duì)多種身份認(rèn)證方式的適配性也更加靈活?；趯?duì)抗擾動(dòng)是添加在原始圖像上的相同大小的“掩碼”這一假設(shè)，防御者可以首先將原有對(duì)抗樣本和干凈樣本相匹配得到其中的差異量，并利用該差異量學(xué)習(xí)擾動(dòng)分布，據(jù)此使用GAN生成對(duì)抗樣本擴(kuò)充數(shù)據(jù)集；然后在此基礎(chǔ)上融合知識(shí)蒸餾技術(shù)訓(xùn)練深度去噪網(wǎng)絡(luò)UDDN（U-N