(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111645531.2 (22)申请日 2021.12.2 9 (71)申请人 北京旷视科技有限公司 地址 100096 北京市海淀区西三 旗建材城 内建中路12幢一层1268号 申请人 北京迈格威科技有限公司 　 深圳旷视金智科技有限公司 (72)发明人 周争光　金宇林　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 代理人 岳阳 (51)Int.Cl. G06N 3/08(2006.01) G06N 3/04(2006.01) G06V 40/40(2022.01) (54)发明名称 对抗样本的生成方法、 电子设备和计算机可 读介质 (57)摘要 本申请实施例公开了对抗样 本的生成方法、 电子设备和计算机可读介质。 该方法的实施例包 括： 获取初始的噪声图； 迭代执行如下步骤： 将噪 声图覆盖至第一人脸样本图像的目标区域， 得到 带噪人脸图像； 将带噪人脸图像进行图像变换后 输入至目标活体检测模型， 得到活体检测结果； 基于活体检测结果， 更新噪声 图； 在满足停止迭 代条件时， 停止迭代以得到目标噪声 图； 基于目 标噪声图， 得到对抗样本。 该实施方式提高了对 抗样本的有效性。 权利要求书1页 说明书8页 附图2页 CN 114386596 A 2022.04.22 CN 114386596 A 1.一种对抗样本的生成方法， 其特 征在于， 所述方法包括： 获取初始的噪声图； 迭代执行如下步骤： 将所述噪声图覆盖至第一人脸样本 图像的目标区域， 得到带噪人 脸图像； 将所述带噪人脸图像进行图像变换后输入至目标活体检测模型， 得到活体检测结 果； 基于所述活体 检测结果， 更新所述噪声图； 在满足停止迭代条件时， 停止迭代以得到目标噪声图； 基于所述目标噪声图， 得到对抗样本 。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述活体检测结果， 更新所述噪 声图， 包括： 将所述活体检测结果和标注信息代入至第一损 失函数， 得到第一损 失值， 并将所述带 噪人脸图像中的各像素点的像素值代入至第二损失函数， 得到第二损失值； 基于所述第一损失值和所述第二损失值， 确定总损失值； 基于所述总损失值， 采用反向传播 算法和梯度下降算法更新所述噪声图。 3.根据权利要求2所述的方法， 其特征在于， 所述第一损 失函数包括交叉熵损 失函数， 所述第二损失函数包括图像一 致性损失函数。 4.根据权利要求1 ‑3之一所述的方法， 其特征在于， 所述基于所述目标噪声图， 得到对 抗样本， 包括： 将所述目标噪声图覆盖 至第二人脸样本图像的所述目标区域， 得到对抗样本 。 5.根据权利要求1 ‑4之一所述的方法， 其特征在于， 所述停止迭代条件包括以下至少一 项： 迭代次数达 到目标次数、 所述目标活体 检测模型的损失值收敛。 6.根据权利要求1 ‑5之一所述的方法， 其特征在于， 在得到对抗样本之后， 所述方法还 包括： 基于所述得到对抗样本， 对所述目标活体检测模型进行再训练， 以更新所述目标活体 检测模型的参数。 7.根据权利要求1 ‑6之一所述的方法， 其特征在于， 所述目标区域位于所述第 一人脸样 本图像中的非 五官区域。 8.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 存储装置， 其上存 储有一个或多个程序， 当所述一个或多个程序被所述一个或多个处理器执行， 使得所述一个或多个处理器实 现如权利要求1 ‑7中任一所述的方法。 9.一种计算机可读介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器执行时 实现如权利要求1 ‑7中任一所述的方法。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 该计算机程序被处理器执行 时实现权利要求1 ‑7所述的方法。权　利　要　求　书 1/1 页 2 CN 114386596 A 2对抗样本的生成方 法、 电子设备和计算机可 读介质 技术领域 [0001]本申请实施例 涉及计算机技术领域， 具体涉及对抗样本 的生成方法、 电子设备和 计算机可读介质。 背景技术 [0002]对抗样本， 是指通过某种算法生成的使目标模型产生错误检测结果或者错误识别 结果的样本。 通过获取对抗样本， 可对目标模型进 行对抗训练， 以使目标模型的鲁棒性得到 提升。 通常， 能够对目标模型进行有效攻击的样本， 为有效的对抗样本 。 [0003]现有技术中， 可通过在数字图像中添加噪声来得到对抗样本。 对于现实中的活体 检测场景， 人脸对 象需经相 机拍照后输入至活体检测模型， 在真实场景中利用上述对抗样 本进行活体攻击时， 由于图像翻拍过程会使图像中的噪声发生较大变化， 因此易导致对活 体检测模型的攻击时失效， 进 而导致对抗样本的有效性较低。 发明内容 [0004]本申请实施例提出了对抗样本 的生成方法、 电子设备和计算机可读介质， 以解决 现有技术中对抗样本的有效性较低的技 术问题。 [0005]第一方面， 本申请实施例提供了一种对抗样本的生成方法， 该方法包括： 获取初始 的噪声图； 迭代执行如下步骤： 将所述噪声图覆盖至第一人脸样本图像的目标区域， 得到带 噪人脸图像； 将所述带噪人脸图像进行图像变换后输入至目标活体检测模型， 得到活体检 测结果； 基于所述活体检测结果， 更新所述噪声图； 在满足停止迭代条件时， 停止迭代以得 到目标噪声图； 基于所述目标噪声图， 得到对抗样本 。 。 [0006]第二方面， 本申请实施例提供了一种电子设备， 包括： 一个或多个处理器； 存储装 置， 其上存储有一个或多个程序， 当所述一个或多个程序被所述一个或多个处理器执行， 使 得所述一个或多个处 理器实现如第一方面中所描述的方法。 [0007]第三方面， 本申请实施例提供了一种计算机可读介质， 其上存储有计算机程序， 该 程序被处 理器执行时实现如第一方面中所描述的方法。 [0008]第四方面， 本申请实施例提供了一种计算机程序产品， 包括计算机程序， 该计算机 程序被处 理器执行时实现第一方面中所描述的方法。 [0009]本申请实施例提供的对抗样本 的生成方法、 电子设备和计算机可读介质， 通过获 取初始的噪声图， 而后迭代执行基于目标活体检测模型更新噪声图的步骤， 以得到目标噪 声图， 最后基于目标噪声图得到对抗样本。 一方面， 由于在训练噪声图时对带噪人脸图像进 行了图像变换， 因而有效模拟了真实攻击场景中的图像翻拍过程， 基于以此得到的目标噪 声图生成对抗样本， 避免了利用对抗样本进 行活体攻击时因相机翻拍导致的攻击失效的问 题， 提高了对抗样本的有效性。 另一方面， 基于目标噪声图所得到的对抗样 本可以包括物理 对抗样本， 能够有效模拟真实世界的物理对抗攻击， 例如模拟真实人脸上贴纸等行为， 提高 了对抗样本的真实性， 进 而进一步提高了对抗样本的有效性。说　明　书 1/8 页 3 CN 114386596 A 3