DB11_T 2252-2024 信息安全 人脸识别防对抗样本攻击测试要求.docx

《DB11_T 2252-2024 信息安全 人脸识别防对抗样本攻击测试要求.docx》由会员分享，可在线阅读，更多相关《DB11_T 2252-2024 信息安全 人脸识别防对抗样本攻击测试要求.docx（9页珍藏版）》请在第壹文秘上搜索。

1、ICS35.240CCS1.70DB1.1.北京市地方标准DB11/T22522024信息安全人脸识别防对抗样本攻击测试要求InformationsecurityTestingrequirementsondefendingadversaria1.attackagainstfacerecognition2024二06二28发布北京市市场监督管理局发布DBI1./T22522()24曲言1范雨2规范性引用文件3术语和定义4攻击方式分类5测试方法25.1 测试条件25.2 对抗样本制作方法25.3 测试流程45.4 测试结果计算方法5附录A（资料性）6本文件按照GB,T1.1-2020C标准化1：作

2、导则第1部分：标准化文件的结构和起草双则*的规定起草.本文件由北京市公安局提出并归11.本文件由北京市公安同组织实施.本文件起草单位：北京市公安局、北京市公安局人I：智能安全研究中心、北京瑞茉智慧科技有限公司、北京百度网讯科技有限公司、中国科学院计算技术研究所、科大讯飞股份有限公司、公安部第三研究所、北京市标准化研究院，木文件主要起草人：疑瑜坤、樽奇、王崇躺、张晓匕、孙毅、刘明、邓佳、马“翊、孔凡立、杨彬、李晓波、王东明、辛铮、韦云霞、张旭东、孙空军、李连古、餐子或、张浩夫、王海棠、郭建岭、竹姐、唐胜、方凌、朱莉莉、孔凡胜、程叫、孙文赭、丁治国、周巧霖、樊子风。II信息安全人脸识别防对抗样本攻

3、击潴试要求1范围本文件规定/人脸识别防对抗样本攻击的攻击方式分类、测试方法.本文件适用于人脸识别应用或系统的开发者、使用者及相关方开展防对抗样本攻击测试。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中.注H期的引用文件，仅该日期对应的版本适用于本文件：不让日期的引用文件,其最新版本（包括所有的修改单）适用于本文件.GB/T3867i信息安全技术远程人脸识别系统技术要求GB.T41987公共安全人脸识别应用防假体呈现攻击测试方法GAJT1324安全防范人脸识别应用他态人脸图像采集规范3Im1.GB,T38671界定的以及下列术语和定义适用于本文件.3.1时找

4、样本adversaria1.exaap1.es在输入数据中通过故意添加细微干扰获得的、可好致机器学习非法模型以高货信位给出错误输出的样本.3.2对抗补丁adversaria1.patch通过告换特定区域图像内容构造的对抗样本，通常衣现为特定形状的图像块.33物理对抗补丁physica1.adversaria1.patch基于对抗补丁制作出的物理攻击道具.4攻击方式分类根据被测试的人脸识别应用或系统在进行识别时可接受的输入类型,攻击方式分为两大类,如表1所示.1攻击方式分类攻击方式类型攻制ft入适用测试对望注入攻击类星J像素扰动的对抗样本（参见A.D基于对抗讣J的对抗样本（参见M2）入脸识别应用

5、或系统可通过输入人脸图像数据进行识别呈现攻击类物理对抗补丁入脸识别应用或系统可通过摄像头来集人舲数推进行识别5*试方法5.1 溺试条件5.1.1 人IHUW率测试开始前应按要求帏詈被测人脸识别应用或系统。被测人脸识别应用或系统的相似度阈值等各项设置应整到跃认状态,应确保彼测应用人验识别功能正常.可通过输入人媵图像或直接采集人脸图像等方式进行多次识别并统计人媵识别结果，记录正常人胶样本的识别次数.识别准隔率.5.1.2 濡炉境光线进行早.现攻击测试时,测试环境光线可分别模拟室内环境、半室外环境及室外环境,应符合GB，T41987中测试过程中环境光线的要求。5.2 对杭样本制作方造5.2.1 人I

6、ftiR制对象选取在对抗样本攻击的测试对象样本中男女比例的为I：1.年龄在16岁60岁的占80%,小于16岁的占10%,大于60岁的占10%.测试人仍确定后按照性并J致、年龄相仿的晓则进行两两分殂，Rfi机选取其中一人作为模拟攻击者，另一人作为模拟攻击目标。5.2.2 A1.ftAM*在呈现攻击类测试中,按照GMr1324采集规慈采集人脸照片，针对每个测试纲，需采集模拟攻击考、模拟攻击目标两人各1张照片。5.2.3 对抗样本作5.2.3.1 M于像*扰动的对抗样本血以被测人粉识别应用或系统为攻击刈象,选取不少于200个测试机人验数据，分别制作基于像素扰动的对抗样本，针对于每个测试组应生成不同扰

7、动人小的对抗样木图像，记录测试组数心、对抗样木制作方法及扰动大小.6.2.3.2H于对抗扑丁的对抗幡:作以被测人脸见别应用或系统为攻击对象，选取不少于200个测试组人媵数据,分别制作基于对抗补丁的对抗样本。如图1所示，针对每个测试细应分别生成慢盖眼部区域的对抗样本图像,如图Ia）所示：生成覆我眼部及公子区域的对抗图像，如图Ib）所示：生成粮赧眼除鼻子及股掇X域的对抗样本图像，如图IC）所示.记录测试组数Ift、对抗样本制作方法及扰动大小.a)UM样本biM及鼻子的对抗样本C）WM1.M于及It的对执祥*B1*F对抗扑丁的对抗样本黑格示例&23.3Mtt*TM以被测人脸识别应用或系统为攻击对.取

8、.选取不少于10个测试组人股数据，分别制作物理对抗补.针对每个测试组应分期制作ISiK眼部区域的物理对抗补丁,如图2a）和图2b所示，其中图2叶为扣眼的物理对抗补J；制作抠前眼部及鼻子区域的物理对抗补丁，如图2c）和图2d）所示，其中图2d）为覆盅眼都及鼻子的抠眼对抗补丁：制作覆盖眼部鼻子及脸域区域的物理对抗补丁.如图2c）和图2f）所示,其中图2。为置盅眼部鼻子及脸烦的抠眼对抗补丁.针对于带有眨眼动作配合式活体的人脸识别应用或系蜕应分别制作扣眼区域类型的物理对抗补丁，针对于不带有眨眼动作配合式活体的人脸i只别应用或系统应制作带有眼部区域特征类型的物理时抗补丁，记录测试组数n、对抗样本制作方法

9、及扰动大小.a）覆盖眼部的对抗补丁b.第的抠对执扑丁cU.9及鼻子的对抗扑丁m及鼻子的抠扑丁y119鼻子及的抠M抗朴丁e）子及It”的对抗林丁图2总理对抗扑丁示例物理时抗补j可选用纸张、硅胶、型料等材质进行制作，所牛成的对抗补J域距需与模拟攻击者睡距保持一致。5.3itt%5.3.1防基于像素扰动的对抗样本攻击测试5.3.1.1针对人脸验证的测试流程测试流程如a）的人准备好的模拟攻击目标图愎及对应的基干像索扰动的对抗样本测试组.并依次获取识别结果：b）若应用将模拟攻击者对抗样本及模拟攻击目标识别为同一人,则判定应用防对抗样本攻击失败：反之则判断为防对抗样本攻击成功。5.3.1.2针对人!蝴识的

10、制试流程测试流程如下,a）将模拟攻击目标图像标识注册到人脸辨识应用中：b）将基像索扰动的时抗样本输入人脸辨识应用中：C）若应用将模拟攻击者对抗样本及模拟攻击目标识别为同一人,则判定防对抗样本攻击失败,反之则判断为防对抗样本攻击成功，5.3.2 防圻对抗扑丁的对扰样本攻击费试5.3.2.1 针对人!蜂H试流程测试流程如卜.：a）输入准备好的模拟攻击目标图像及对应的基于对抗补丁的对抗样本测试组并依次获取识别结果。b）若应用将模拟攻击者对抗样本及模拟攻击目标识别为同一人，则判定防对抗样本攻击失败：反之则判断为防对抗样本攻击成功.5.3.2.2 计对人IH期R寓试M测试流程如下：a）将模拟攻击目标图像

11、标识注册到人脸辨识应用中；b）利基于对抗补丁的对抗样本怆入人脸所识应用中：O若应用将镇拟攻击者对抗样本及模拟攻击目标识别为同一人，则判定防对抗样本攻击失败，反之则判断为防对抗样本攻击成功，5.3.3 防物理做扑丁攻击测诲5.3.3.1 升对人Ift1.ftiEagM测试流程如下：a）输入准备好的模拟攻击目标图像后，各测试组模拟攻击者应依次包戴上制作好的物理对抗补丁，并按照人脸识别应用或系统的指示进行测试，b）各测试组测试者面对摄像机，摄像机采袈到的正面人脸图像两眼间距不小于60像素，瞅喊物理对抗补丁人脸水平转动90.转动过程中的和角不超过30.做斜角不超过21,转动次耗符1.5s3s人脸验证应

12、用或系统输出一次结果记为一次测试过程，每个物理时抗补丁需要进行不少于10次的测试，O若在一次测试过程中将模拟攻击者对抗样本及模拟攻击目标识别为同一人，则判定为防对抗样本攻击失败,反之则判断为防对抗样本攻击成功.5.3.3.2 针对人脸辨识测试流程测试流程如下：a)将模拟攻击目标图像标识注册到人脸辨识应用中,而后各测试组测试者应依次限嵌上制作好的物理时抗补丁，按照人脸识别应用或系统的指示进行测试。b)各测试组测试者面对摄像机，摄像机采集到的正面人脸图像两眼间距不小于60像素,人脸水平转动9(T,转动过程中俯如用不超过3(,帧斜角不超过20“，佩帔物理对抗补丁从-90”到+90转动一次耗时1.5s

13、3s虫复“正面脸一左侧脸一右恻脸”动作3次，记为一次测试过程.每个物理对抗补丁需要进行不少于10次的测试,并记录测试结果.c)若在一次冽试过程中将模拟攻击者对抗样本及模拟攻击目标识别为同一人，则判定防对抗样本攻击失败，反之则判断为防而抗样本攻击成功。5.4测试结果计算方法541防像素扰动对抗样本攻击失败率按式(1)计豫得到防像素扰动对抗样本攻击失败率叫。F1越低表明人脸识别应用或系统抵御像素扰动对抗样本攻击的能力越演，FI=XZZXx100%(1)式中：F1防像素扰动对抗样本攻击失败率：X防像索扰动时抗样本攻击失败的次数：ZX一防像素扰动对抗样本攻击测试总次数.5.4.2防对抗补丁攻击失败率按

14、式(2)计目得到防时抗补丁攻击失败率.F2越低龙明人脸识别应用或系统抵御对抗补丁攻击的能力越演，F2=BZBxOO%(2)式机F2防对抗补丁攻击失败率：B防对抗样本攻击失败的次数：ZB防对抗补丁攻击测试总次数.543防物理对抗补丁攻击失败率按式(3)计总得到防物理对抗补丁攻击失败率.F3越低表明人脸识别应用或系统抵御物理对抗补丁攻击的能力越强，F3=WZW!00%(3)式中：F3防物理对抗补丁攻击失败率；W防物理对抗补丁攻击失败的次数：ZW-防物理对抗补丁攻击测试总次数.附录A(奥科性)对抗样本描述与计算方式A.1星于像素扰动的对抗样本描述像素扰动的对抗样本的具体描述见式(A.Dx=x+0,0

15、1.(A1.)式中：X对抗样本图像中每像点的取值范围为O到255:X其实样本图像中每像点的取值范用为O到255;III1.pP:8一对抗扰动，其维度与样本维度相同，扰动在P范数度Jft下的大小不超过6;一一扰动大小约束上界.扰动在P范数度JftF的大小不超过，A.2基于对抗补丁的对抗样本描述墓于对抗补丁的对抗样本具体描述见式(A.2)x-(1.-m)*x+m._(A2)式中：X，对抗样本，图像中每像素的取信莅困为0到255;X-真实样本.图像中每像素的取值范围为。到255：m添加对抗补丁区域的施腴,类别为矩阵集中于某一区域,取值为(或1；一一对抗补丁，集中于m=1.的区域，图像中每像索的取值范圉为。到255之间的察数，