（高清版）DB11∕T2252-2024信息安全 人臉識(shí)別防對(duì)抗樣本攻擊測(cè)試要求

信息安全人臉識(shí)別防對(duì)抗樣本攻擊測(cè)試要求Informtionsecurity—Testingre北京市市場(chǎng)監(jiān)督管理局發(fā)布I 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14攻擊方式分類(lèi) 15測(cè)試方法 25.1測(cè)試條件 25.2對(duì)抗樣本制作方法 25.3測(cè)試流程 45.4測(cè)試結(jié)果計(jì)算方法 5 6本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起本文件由北京市公安局提出并歸口。本文件由北京市公安局組織實(shí)施。本文件起草單位：北京市公安局、北京市公安局人工智能安全研究中心、北京瑞萊智慧科技有限公司、北京百度網(wǎng)訊科技有限公司、中國(guó)科學(xué)院計(jì)算技術(shù)研究所、科大訊飛股份有限公司、公安部第三研究所、北京市標(biāo)準(zhǔn)化研究院。本文件主要起草人：蔡瑜坤、曹奇、王崇鵬、張曉飛、孫毅、劉鳴、鄧佳、馬飛翔、孔凡真、楊彬、李曉波、王東明、辛錚、韋云霞、張旭東、孫空軍、李連吉、蕭子豪、張浩天、王海棠、郭建嶺、曹娟、唐勝、方凌飛、朱莉莉、孔凡勝、程鳴、孫文琦、丁治國(guó)、周巧霖、樊子風(fēng)。1信息安全人臉識(shí)別防對(duì)抗樣本攻擊測(cè)試要求1范圍本文件規(guī)定了人臉識(shí)別防對(duì)抗樣本攻擊的攻擊方式分類(lèi)、測(cè)試方法。本文件適用于人臉識(shí)別應(yīng)用或系統(tǒng)的開(kāi)發(fā)者、使用者及相關(guān)方開(kāi)展防對(duì)抗樣本攻擊測(cè)試。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T38671信息安全技術(shù)遠(yuǎn)程人臉識(shí)別系統(tǒng)技術(shù)要求GB/T41987公共安全人臉識(shí)別應(yīng)用防假體呈現(xiàn)攻擊測(cè)試方法GA/T1324安全防范人臉識(shí)別應(yīng)用靜態(tài)人臉圖像采集規(guī)范3術(shù)語(yǔ)和定義GB/T38671界定的以及下列術(shù)語(yǔ)和定義適用于本文件。在輸入數(shù)據(jù)中通過(guò)故意添加細(xì)微干擾獲得的、可導(dǎo)致機(jī)器學(xué)習(xí)算法模型以高置信度給出錯(cuò)誤輸出的樣本。通過(guò)替換特定區(qū)域圖像內(nèi)容構(gòu)造的對(duì)抗樣本，通常表現(xiàn)為特定形狀的圖像塊。物理對(duì)抗補(bǔ)丁plysicaladversarialpatch基于對(duì)抗補(bǔ)丁制作出的物理攻擊道具。4攻擊方式分類(lèi)根據(jù)被測(cè)試的人臉識(shí)別應(yīng)用或系統(tǒng)在進(jìn)行識(shí)別時(shí)可接受的輸入類(lèi)型，攻擊方式分為兩大類(lèi)，如表1所示。2據(jù)進(jìn)行識(shí)別數(shù)據(jù)進(jìn)行識(shí)別5測(cè)試方法5.1測(cè)試條件5.1.1人臉識(shí)別準(zhǔn)確率測(cè)試開(kāi)始前應(yīng)按要求部署被測(cè)人臉識(shí)別應(yīng)用或系統(tǒng)。被測(cè)人臉識(shí)別應(yīng)用或系統(tǒng)的相似度閾值等各項(xiàng)設(shè)置應(yīng)調(diào)整到默認(rèn)狀態(tài)。應(yīng)確保被測(cè)應(yīng)用人臉識(shí)別功能正常，可通過(guò)輸入人臉圖像或直接采集人臉圖像等方式進(jìn)行多次識(shí)別并統(tǒng)計(jì)人臉識(shí)別結(jié)果，記錄正常人臉樣本的識(shí)別次數(shù)、識(shí)別準(zhǔn)確率。5.1.2測(cè)試環(huán)境光線(xiàn)進(jìn)行呈現(xiàn)攻擊測(cè)試時(shí)，測(cè)試環(huán)境光線(xiàn)可分別模擬室內(nèi)環(huán)境、半室外環(huán)境及室外環(huán)境，應(yīng)符合GB/T41987中測(cè)試過(guò)程中環(huán)境光線(xiàn)的要求。5.2對(duì)抗樣本制作方法5.2.1人臉識(shí)別對(duì)象選取在對(duì)抗樣本攻擊的測(cè)試對(duì)象樣本中，男女比例應(yīng)為1:1,年齡在16歲~60歲的占80%小于16歲的占10%大于60歲的占10%測(cè)試人員確定后按照性別一致、年齡相仿的原則進(jìn)行兩兩分組，隨機(jī)選取其中一人作為模擬攻擊者，另一人作為模擬攻擊目標(biāo)。5.2.2人臉數(shù)據(jù)采集在呈現(xiàn)攻擊類(lèi)測(cè)試中，按照CA/T1324采集規(guī)范采集人臉照片，針對(duì)每個(gè)測(cè)試組，需采集模擬攻擊者、模擬攻擊目標(biāo)兩人各1張照片。5.2.3對(duì)抗樣本制作5.2.3.1基于像素?cái)_動(dòng)的對(duì)抗樣本制作以被測(cè)人臉識(shí)別應(yīng)用或系統(tǒng)為攻擊對(duì)象，選取不少于200個(gè)測(cè)試組人臉數(shù)據(jù)，分別制作基于像素?cái)_動(dòng)的對(duì)抗樣本。針對(duì)于每個(gè)測(cè)試組應(yīng)生成不同擾動(dòng)大小的對(duì)抗樣本圖像。記錄測(cè)試組數(shù)量、對(duì)抗樣本制作方法及擾動(dòng)大小。5.2.3.2基于對(duì)抗補(bǔ)丁的對(duì)抗樣本制作以被測(cè)人臉識(shí)別應(yīng)用或系統(tǒng)為攻擊對(duì)象，選取不少于200個(gè)測(cè)試組人臉數(shù)據(jù)，分別制作基于對(duì)抗補(bǔ)丁的對(duì)抗樣本。如圖1所示，針對(duì)每個(gè)測(cè)試組應(yīng)分別生成覆蓋眼部區(qū)域的對(duì)抗樣本圖像，如圖1a)所示；生成覆蓋眼部及鼻子區(qū)域的對(duì)抗圖像，如圖1b)所示；生成覆蓋眼部鼻子及臉頰區(qū)域的對(duì)抗樣本圖像，如圖1c)所示。記錄測(cè)試組數(shù)量、對(duì)抗樣本制作方法及擾動(dòng)大小。3a)覆蓋眼部的對(duì)抗樣本b)覆蓋眼部及鼻子的對(duì)抗樣本c)覆蓋眼部鼻子及臉頰的對(duì)抗樣本圖1基于對(duì)抗補(bǔ)丁的對(duì)抗樣本規(guī)格示例5.2.3.3物理對(duì)抗補(bǔ)丁制作以被測(cè)人臉識(shí)別應(yīng)用或系統(tǒng)為攻擊對(duì)象，選取不少于10個(gè)測(cè)試組人臉數(shù)據(jù)，分別制作物理對(duì)抗補(bǔ)丁。針對(duì)每個(gè)測(cè)試組應(yīng)分別制作覆蓋眼部區(qū)域的物理對(duì)抗補(bǔ)丁，如圖2a)和圖2b)所示，其中圖2b)為扣眼的物理對(duì)抗補(bǔ)丁；制作覆蓋眼部及鼻子區(qū)域的物理對(duì)抗補(bǔ)丁，如圖2c)和圖2d)所示，其中圖2d)為覆蓋眼部及鼻子的摳眼對(duì)抗補(bǔ)?。恢谱鞲采w眼部鼻子及臉頰區(qū)域的物理對(duì)抗補(bǔ)丁，如圖2e)和圖2f)所示，其中圖2f)為覆蓋眼部鼻子及臉頰的摳眼對(duì)抗補(bǔ)丁。針對(duì)于帶有眨眼動(dòng)作配合式活體的人臉識(shí)別應(yīng)用或系統(tǒng)應(yīng)分別制作扣眼區(qū)域類(lèi)型的物理對(duì)抗補(bǔ)丁，針對(duì)于不帶有眨眼動(dòng)作配合式活體的人臉識(shí)別應(yīng)用或系統(tǒng)應(yīng)制作帶有眼部區(qū)域特征類(lèi)型的物理對(duì)抗補(bǔ)丁。記錄測(cè)試組數(shù)量、對(duì)抗樣本制作方法及擾動(dòng)大a)覆蓋眼部的對(duì)抗補(bǔ)丁b)覆蓋眼部的摳眼對(duì)抗補(bǔ)丁c)覆蓋眼部及鼻子的對(duì)抗補(bǔ)丁e)覆蓋眼部鼻子及臉頰的對(duì)抗補(bǔ)丁①)覆蓋眼部及鼻子的摳眼對(duì)抗補(bǔ)丁f)覆蓋眼部鼻子及臉頰的摳眼對(duì)抗補(bǔ)丁圖2物理對(duì)抗補(bǔ)丁規(guī)格示例物理對(duì)抗補(bǔ)丁可選用紙張、硅膠、塑料等材質(zhì)進(jìn)行制作，所生成的對(duì)抗補(bǔ)丁瞳距需與模擬攻擊者瞳4距保持一致。5.3測(cè)試流程5.3.1防基于像素?cái)_動(dòng)的對(duì)抗樣本攻擊測(cè)試5.3.1.1針對(duì)人臉驗(yàn)證的測(cè)試流程測(cè)試流程如下：a)輸入準(zhǔn)備好的模擬攻擊目標(biāo)圖像及對(duì)應(yīng)的基于像素?cái)_動(dòng)的對(duì)抗樣本測(cè)試組，并依次獲取識(shí)別結(jié)b)若應(yīng)用將模擬攻擊者對(duì)抗樣本及模擬攻擊目標(biāo)識(shí)別為同一人，則判定應(yīng)用防對(duì)抗樣本攻擊失??；反之則判斷為防對(duì)抗樣本攻擊成功。5.3.1.2針對(duì)人臉辨識(shí)的測(cè)試流程測(cè)試流程如下：a)將模擬攻擊目標(biāo)圖像標(biāo)識(shí)注冊(cè)到人臉辨識(shí)應(yīng)用中；b)將基于像素?cái)_動(dòng)的對(duì)抗樣本輸入人臉辨識(shí)應(yīng)用中；c)若應(yīng)用將模擬攻擊者對(duì)抗樣本及模擬攻擊目標(biāo)識(shí)別為同一人，則判定防對(duì)抗樣本攻擊失敗，反之則判斷為防對(duì)抗樣本攻擊成功。5.3.2防基于對(duì)抗補(bǔ)丁的對(duì)抗樣本攻擊測(cè)試5.3.21針對(duì)人臉驗(yàn)證測(cè)試流程測(cè)試流程如下：a)輸入準(zhǔn)備好的模擬攻擊目標(biāo)圖像及對(duì)應(yīng)的基于對(duì)抗補(bǔ)丁的對(duì)抗樣本測(cè)試組，并依次獲取識(shí)別結(jié)b)若應(yīng)用將模擬攻擊者對(duì)抗樣本及模擬攻擊目標(biāo)識(shí)別為同一人，則判定防對(duì)抗樣本攻擊失??；反之則判斷為防對(duì)抗樣本攻擊成功。5.3.22針對(duì)人臉辨識(shí)測(cè)試流程測(cè)試流程如下：a)將模擬攻擊目標(biāo)圖像標(biāo)識(shí)注冊(cè)到人臉辨識(shí)應(yīng)用中；b)將基于對(duì)抗補(bǔ)丁的對(duì)抗樣本輸入人臉辨識(shí)應(yīng)用中；c)若應(yīng)用將模擬攻擊者對(duì)抗樣本及模擬攻擊目標(biāo)識(shí)別為同一人，則判定防對(duì)抗樣本攻擊失敗，反之則判斷為防對(duì)抗樣本攻擊成功。5.3.3防物理對(duì)抗補(bǔ)丁攻擊測(cè)試5.3.3.1針對(duì)人臉驗(yàn)證測(cè)試流程測(cè)試流程如下：a)輸入準(zhǔn)備好的模擬攻擊目標(biāo)圖像后，各測(cè)試組模擬攻擊者應(yīng)依次佩戴上制作好的物理對(duì)抗補(bǔ)丁，并按照人臉識(shí)別應(yīng)用或系統(tǒng)的指示進(jìn)行測(cè)試。b)各測(cè)試組測(cè)試者面對(duì)攝像機(jī)，攝像機(jī)采集到的正面人臉圖像兩眼間距不小于60像素。佩戴物理對(duì)抗補(bǔ)丁人臉?biāo)睫D(zhuǎn)動(dòng)±90°,轉(zhuǎn)動(dòng)過(guò)程中俯仰角不超過(guò)30°,傾斜角不超過(guò)20°,轉(zhuǎn)動(dòng)一次耗時(shí)1.5s~3s。人臉驗(yàn)證應(yīng)用或系統(tǒng)輸出一次結(jié)果記為一次測(cè)試過(guò)程。每個(gè)物理對(duì)抗補(bǔ)丁5DH1/T2252—2024需要進(jìn)行不少于10次的測(cè)試。b)各測(cè)試組測(cè)試者面對(duì)攝像機(jī)，攝像機(jī)采集到的正面人臉圖像兩眼間距不小于60像素。人臉?biāo)睫D(zhuǎn)動(dòng)±90°,轉(zhuǎn)動(dòng)過(guò)程中俯仰角不超過(guò)30°,傾斜角不超過(guò)20°,佩戴物理對(duì)抗補(bǔ)丁從-90°到+90°轉(zhuǎn)動(dòng)一次耗時(shí)1.5s~3s。重復(fù)“正面臉→左側(cè)臉→右側(cè)臉”動(dòng)作3次，記為一次測(cè)試過(guò)程。每個(gè)物理對(duì)抗補(bǔ)丁需要進(jìn)行不少于10次的測(cè)試，并記錄測(cè)試結(jié)果。X——防像素?cái)_動(dòng)對(duì)抗樣本攻擊失敗的次數(shù)；按式(2)計(jì)算得到防對(duì)抗補(bǔ)丁攻擊失敗率。F?越低表明人臉識(shí)別應(yīng)用或系統(tǒng)抵御對(duì)抗補(bǔ)丁攻擊的按式(3)計(jì)算得到防物理對(duì)抗補(bǔ)丁攻擊失敗率。F?越低表明人臉識(shí)別應(yīng)用或系統(tǒng)抵御物理對(duì)抗補(bǔ)ZW—防物理對(duì)抗補(bǔ)丁攻擊測(cè)試總次數(shù)。6(資料性)對(duì)抗樣本描述與計(jì)算方式A.1基于像素?cái)_動(dòng)的對(duì)抗樣本描述像素?cái)_動(dòng)的對(duì)抗樣本的具體描述見(jiàn)式(A.1)x'——對(duì)抗樣本，圖像中每像素的取值范圍為0到255;x——真實(shí)樣本，圖像中每像素的取值范圍為0到255;llⅡp——p范數(shù)，通常取0、2、0;8——對(duì)抗擾動(dòng)，其維度與樣本維度相同，擾動(dòng)在p范數(shù)度量下的大小不超過(guò)6;e——擾動(dòng)大小約束上界，擾動(dòng)在p范數(shù)度