一种利用变分辨率敏感度不一致性的对抗性人脸检测方法

刘宏基; 黄瑞阳; 汪浣沙

doi:10.3969/j.issn.1671-0673.2025.02.008

信息工程大学学报 ›› 2025, Vol. 26 ›› Issue (02) : 175 -181. DOI: 10.3969/j.issn.1671-0673.2025.02.008

计算机科学与技术

一种利用变分辨率敏感度不一致性的对抗性人脸检测方法

作者信息 +

An Adversarial Face Detection Method Using Inconsistency Sensitivity Inconsistent of Variable Resolution

Author information +

文章历史 +

PDF (959K)

摘要

针对现有对抗性人脸检测方法在不同数据集间迁移性不足的问题，提出一种基于图像变分辨率敏感度不一致性的对抗性人脸检测方法。通过分析超分辨率、去噪等图像变换过程中的敏感度变化，利用余弦相似度量化变换前后人脸图像特征的差异，检测对抗性人脸攻击。在人脸数据库（LFW）、CelebA-HQ等数据集上的实验证明，该方法在6种对抗攻击条件下均达到90%以上的检测准确率。

Abstract

To address the limited transferability of existing adversarial face detection methods across datasets, a novel method based on the inconsistency of sensitivity to variable image resolution is proposed. The sensitivity changes during image transformations, such as super-resolution and denoising, are analyzed, and cosine similarity is employed to quantify the differences in facial features before and after transformation, enabling the detection of adversarial face attacks. Experiments on datasets such as Labeled Faces in the Wild (LFW) and CelebA-HQ have demonstrated that a detection accuracy rate of over 90% under six types of adversarial attacks is achieved by the proposed method.

Graphical abstract

关键词

深度学习安全 / 对抗样本检测 / 图像变换 / 人脸识别 / 超分辨率 / 图像去噪

Key words

deep learning security / adversarial sample detection / image transformation / face recognition / super-resolution / image denoising

引用本文

引用格式 ▾

[Author(id=1210245459244069279, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, orderNo=0, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=307008503@qq.com, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245460322005437, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, authorId=1210245459244069279, language=EN, stringName=Hongji LIU, firstName=Hongji, middleName=null, lastName=LIU, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=National Digital Switching System Engineering Technological R&D Center, Zhengzhou 450002, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245461412524498, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, authorId=1210245459244069279, language=CN, stringName=刘宏基, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=国家数字交换系统工程技术研究中心，河南郑州 450002, bio={"content":"

刘宏基（1990—），男，硕士生，主要研究方向为图像识别。E-mail：307008503@qq.com

"}, bioImg=null, bioContent=

刘宏基（1990—），男，硕士生，主要研究方向为图像识别。E-mail：307008503@qq.com

, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245459017576848, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, xref=null, ext=[AuthorCompanyExt(id=1210245459034354066, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, companyId=1210245459017576848, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=National Digital Switching System Engineering Technological R&D Center, Zhengzhou 450002, China), AuthorCompanyExt(id=1210245459046936980, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, companyId=1210245459017576848, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=国家数字交换系统工程技术研究中心，河南郑州 450002)])]), Author(id=1210245462574346733, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, orderNo=1, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245463065080337, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, authorId=1210245462574346733, language=EN, stringName=Ruiyang HUANG, firstName=Ruiyang, middleName=null, lastName=HUANG, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=National Digital Switching System Engineering Technological R&D Center, Zhengzhou 450002, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245463937495598, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, authorId=1210245462574346733, language=CN, stringName=黄瑞阳, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=国家数字交换系统工程技术研究中心，河南郑州 450002, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245459017576848, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, xref=null, ext=[AuthorCompanyExt(id=1210245459034354066, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, companyId=1210245459017576848, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=National Digital Switching System Engineering Technological R&D Center, Zhengzhou 450002, China), AuthorCompanyExt(id=1210245459046936980, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, companyId=1210245459017576848, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=国家数字交换系统工程技术研究中心，河南郑州 450002)])]), Author(id=1210245465434862178, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, orderNo=2, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245466697347734, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, authorId=1210245465434862178, language=EN, stringName=Huansha WANG, firstName=Huansha, middleName=null, lastName=WANG, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=National Digital Switching System Engineering Technological R&D Center, Zhengzhou 450002, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245468324737748, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, authorId=1210245465434862178, language=CN, stringName=汪浣沙, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=国家数字交换系统工程技术研究中心，河南郑州 450002, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245459017576848, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, xref=null, ext=[AuthorCompanyExt(id=1210245459034354066, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, companyId=1210245459017576848, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=National Digital Switching System Engineering Technological R&D Center, Zhengzhou 450002, China), AuthorCompanyExt(id=1210245459046936980, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183228008161439, companyId=1210245459017576848, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=国家数字交换系统工程技术研究中心，河南郑州 450002)])])] 刘宏基,黄瑞阳,汪浣沙. 一种利用变分辨率敏感度不一致性的对抗性人脸检测方法[J]. 信息工程大学学报, 2025, 26(02): 175-181 DOI:10.3969/j.issn.1671-0673.2025.02.008

登录浏览全文

4963

注册一个新账户忘记密码

人脸识别技术作为生物特征识别的关键手段，广泛应用于安全认证、刑侦破案和人脸支付等关键领域^[1]。深度学习技术在人脸识别领域的应用，极大地提升了人脸识别系统的性能，即使在光照不足或部分遮挡的复杂环境中也能保持高准确度，实现了超过99%的识别匹配精度^[2]。但随之带来的，是对系统安全性的更高要求，尤其是在对抗性攻击的挑战下。文献[3-4]揭示了深度学习模型面对对抗样本攻击的脆弱性，这种攻击手段很快被引入到人脸识别领域。经典的攻击方法如快速梯度符号法（Fast Gradient Sign Method, FGSM）^[3]、基本迭代法（Basic Iterative Method, BIM）^[5]、投影梯度下降法（Projected Gradient Descent, PGD）^[6]等，以及FGSM的衍生变体如随机快速梯度符号法（Randomized Fast Gradient Sign Method, RFGSM）^[7]、多输入快速梯度符号方法（Multi-input Fast Gradient Sign Method, MIFGSM）^[8]、动态迭代快速梯度符号方法（Dynamic Iterative Fast Gradient Sign Method, DIFGSM）^[9]等，进一步丰富了攻击手段。这些方法通过在人脸图像上巧妙地添加小幅度扰动生成对抗样本，导致人脸识别系统误判，给现实世界中的人脸识别应用带来了严峻的安全风险^[10]。

近年来，对抗性攻击领域出现了更多创新方法，如基于生成对抗网络的AdvFaces方法^[11]，能够合成逼真的对抗性人脸图像；SemanticAdv方法^[12]利用属性条件图像编辑技术生成新型的对抗样本；AdvAttribute方法^[13]专注于扰动人脸高级语义特征；广义流形对抗攻击方法^[14]（Generalized Manifold Adversarial Attack, GMAA）通过扩展人脸表情扩大攻击范围。这些研究不仅展示了对抗性攻击的多样性和复杂性，也突显了人脸识别系统在面对这些新型攻击时的脆弱性，为系统安全性的提升提供了新的研究方向和挑战。

针对这一情况，研究者们提出了多种针对人脸识别领域的防御方法，其中，对抗检测技术是一种重要的手段。对抗检测技术多是通过分析对抗样本的特征或者统计特性提前将对抗样本和干净样本区分开来。文献[15]利用深度学习特征和统计特性实现对对抗样本的有效检测。文献[16]提出的方法采用像素值和主成分分析作为特征提取手段，并运用支持向量机实现分类。文献[17]利用人脸的结构稳定性提出攻击满足可解释性方法（Attacks meet Interpretability, AmI），将人脸属性与神经网络的神经元之间双向对应推理，使用属性级突变代替像素级突变来检测对抗性人脸图像。文献[18]提出了基于贝叶斯神经网络检测的轻量级贝叶斯检测器（Lightweight Bayesian Refinement, LiBRe），无需低效地制作对抗样本。文献[19]提出的FaceGuard模型通过生成器自动生成对抗性人脸图像后，其检测器和净化器将自动检测、定位和净化各种对抗性人脸图像，这样的思路被后面的研究者沿用。文献[20]提出了一般对抗性扰动模拟方法（General Adversarial Perturbation Simulating, GAPS），通过模拟生成对抗性人脸图像，专注于学习分类特征的高频敏感区域，以防御未知攻击。而文献[21]提出的框架则通过自扰动策略生成对抗样本，并设计了一个级联结构检测器，该检测器专注于局部色差。这些方法从不同的角度出发，为对抗性人脸检测提供了许多优秀的思路和解决方案。然而，这些方法具有明显的局限性，即在跨数据集应用场景下，泛化能力表现不足。

人脸识别技术在实际应用中，往往将检测后的人脸图像裁剪为小尺寸（如112×112像素）进行对齐和识别^[22]。尽管深度学习算法在处理这类低分辨率图像时仍能保持较高的准确率，但这些图像由于分辨率较低、计算成本低、扰动空间小等原因，更容易受到对抗样本的攻击。针对这一问题，高分辨率图像由于细节丰富和扰动空间大，被扰动的难度更大，从而可以提升模型的鲁棒性。

图像变换技术，作为一种图像预处理手段，具有原理简单、资源消耗低、易于实施且不增加模型复杂度的优势。文献[23]结合小波变换和正弦变换，使用支持向量机分类提高模型泛化能力，在大规模数据库上实现高准确率。文献[24]提出了一种基于敏感度不一致性的检测器（Sensitivity Inconsistency Detection, SID），该方法基于样本对决策边界的敏感度不一致性，通过双层分类器评估，展现出优越的检测性能和适用性。超分辨率技术作为一种特别的图像变换手段，也被探索用于增强深度学习模型的鲁棒性和安全性。文献[25]首次提出使用超分辨率技术结合小波去噪来防御对抗攻击，通过添加高频分量消除扰动影响。

为解决现有对抗人脸检测方法跨数据集泛化能力弱的问题，受变分辨率的方法和基于图像变换的对抗检测方法的启发，提出了一种基于图像变分辨率敏感度不一致性的对抗性人脸检测方法，其核心思想是利用对抗性人脸图像在变换不同分辨率后，对超分、去噪等图像变换操作的敏感度差异来检测攻击。在公开的经典人脸数据库（Labeled Faces in the Wild, LFW）^[26]和CelebA-HQ^[27]等数据集上进行了多种攻击检测的实验，结果表明，在6种对抗攻击条件下，检测准确率均达到90%以上，从而验证了该方法的有效性。

1 对抗性人脸检测方法

为解决现有的面向人脸的对抗性检测技术在不同数据集间泛化能力弱的问题，提出了一种基于图像变分辨率的敏感度不一致性的方法，其核心思想是在不同分辨率的尺度下进行图像变换，无规律破坏扰动结构性，拉大正常图像与对抗样本的差异性，并基于变换后的敏感度差异对比分析，从而实现对抗性检测功能。该方法主要分为3个模块，包括尺度放缩模块、图像变换模块和敏感度差异感知模块。尺度放缩模块用于调整图像的分辨率，揭示图像的高频和低频信息特征；图像变换模块则对不同分辨率的图像执行特定的变换操作，主要进行离散小波去噪和超分辨率处理，放大对抗样本与正常样本的差异性；最后，敏感度差异感知模块通过集成学习的方法，感知多尺度条件下图像变换前后的敏感度差异，分析并识别出对抗样本。图1展示了该方法的整体架构。

1.1 尺度放缩模块

对抗扰动被认为是一种精心制作并添加到正常样本中的微小扰动，实质上可以被视为是一种噪声，如式（1）所示：

X a d v = X c l e a n + σ

（1）

式中：

X a d v

代表生成的对抗样本；

X c l e a n

代表干净图像；

σ

代表对抗攻击添加的扰动噪声。因此在检测对抗样本时就可以利用图像去噪方法处理对抗样本，以达到破坏其扰动效果的目的。

研究表明，对抗样本的扰动噪声多位于其相对高频信息域^[23]，高频部分通常包含边缘、纹理等细节信息，低频则更多反映图像的整体结构和轮廓。在神经网络提取特征的过程中，恰恰高频信息域会得到更多表达，这是对抗样本能够轻易干扰神经网络模型预测结果的原因之一。

为更有效地凸显图像的高频和低频信息，该模块设计了一种多尺度采样策略，该策略通过对原图像进行上采样和下采样处理，系统地学习和增强不同频域的特征表达，以便于在后面的模块中更准确地捕捉特征信息。

采取Lanczos插值方法^[28]进行尺度放缩，它提供了高质量的图像放大和缩小效果。Lanczos插值算法比传统的双线性或双3次插值保留了更多的细节，使图像的上下采样过程更加平滑，减少了信息损失，确保了在不同尺度上都能精确捕获到图像的关键特征，这对于区分真实图像内容与干扰噪声尤为关键。在采样过程中，通过这样的处理，干净图像其核心的结构信息和纹理特征依然能够得以较好地保留，因此与其原图相比特征差异相对有限，这种稳定性对于保护图像的真实内容至关重要。相反，对于那些嵌入了对抗性噪声的图像，由于噪声本身并不携带图像的自然结构信息，往往在上下采样过程中难以保持一致的特征表达，导致与原图特征的差异显著增大。这种差异性放大有助于后续模块更有效地识别并分离出对抗性噪声，从而提升模型的鲁棒性。

此外，这种分尺度的处理策略还促进了特征的多尺度融合，使得模型能够从多个角度理解和挖掘图像信息，增强了对图像中细微变化的敏感度。结合高质量的图像重采样技术和针对性的多尺度特征处理，旨在更深入、全面地挖掘图像信息，同时有效揭示图像中的潜在隐蔽噪声，为后续的处理模块提供多维度的感受野。

1.2 图像变换模块

图像变换模块对尺度放缩后的图像进行图像变换，主要进行离散小波去噪和超分辨率处理。图像变换可视为一种将图像从原始的空间域映射到另一种特定域的过程，该过程旨在突出或增强图像中的某些特定属性。部分研究表明，干净图像在图像变换后，与原图的特征相似度高度一致^[23]，而受到扰动噪声影响的对抗性人脸图像在变换后，与原图的特征相似度差异显著，这一反差凸显了对抗样本对变换操作的独特敏感性。这种对图像变换处理的敏感度不一致性，恰好可以作为对抗性检测的依据。这种性质源自图像自身的内在属性，不受模型或攻击方式的限制，且部署简便，成为了识别和检测对抗性图像的一个有效且实用的方法论依据。

1.2.1 离散小波去噪

文献[25]证明了小波去噪在去除图像噪声的同时，能够较好地保留真实图像的纹理细节，并且性能超过常用的双边、各向异性、总方差最小化和Wiener-Hunt反卷积等方法。小波去噪的核心机制之一是小波收缩（Wavelet Shrinkage），其利用离散小波变换（Discrete Wavelet Transform, DWT）具有的稀疏性质，使得信号中的大部分能量收缩在少数几个小波系数上，而其他系数则接近于零或具有较小的幅度。这种特性允许通过剔除或缩小那些较小的系数来有效地去除信号中的噪声，而对原始信号的重要特征影响较小。在图像处理中，这意味着可以识别和去除图像中的高频噪声，同时保留重要的低频信息，即图像的主要结构和边缘。这种能够明显区分自然图像和被攻击图像的特性，可以被认为是一种对小波去噪方法的敏感度不一致性，适合用于具有相对稳定结构的人脸图像对抗性检测中。

与图像平滑方法不同，真实世界图像的离散小波变换能保留重要特征的大系数，并通过阈值处理去除噪声。阈值参数控制小波系数的缩减和对抗性噪声的去除。在实际应用中，有两种阈值分割方法：硬阈值方法和软阈值方法。硬阈值方法是一种非线性方法，其中每个系数

x^

被单独与阈值

t

比较，将小噪声系数减为零，然后进行小波逆变换，生成保留关键信息并抑制噪声的图像。如式（2）所示：

D (x^, t) = x^, x^≥ t; 0, 其他 .

（2）

不同于硬阈值方法完全保留大于

t

的系数，软阈值方法用式（3）的方法修改系数：

D (x^, t) = m a x 0,1 - t x^x^

（3）

选用软阈值方法减少硬阈值法引起的图像剧烈变化，并避免过度平滑，更好地保留图像信息。

优化阈值选择是小波去噪的一个重要挑战。一个较大的阈值意味着忽略较大的小波，这会导致过度平滑图像。相比之下，小阈值允许有噪声的小波通过，因此无法在重建过程有效去除噪声。本文采用了不同倍数的VisuShrink和BayesShrink 两种软阈值方法，兼顾正常图像阈值波动范围，也有效放大敏感度差异，从而更有效地检测对抗性噪声的存在。

1.2.2 超分辨率

本文将超分辨率作为图像变换手段，通过放大和细节修复增加高频信息，并利用深度学习模型对多尺度图像的高识别能力，将图像处理前后的异常变化作为检测对抗性攻击的依据。

对抗噪声已被证明多存在于图像的高频信息中，而超分辨率网络通过微调后，不仅能提升对抗样本的分辨率和质量，还能平滑高频细节，破坏其中的对抗结构。处理后的对抗样本将更接近真实图像流形。深度学习模型尤其是卷积神经网络，在不同尺度图像的特征提取时，能够高效地保持一致性。依据这两种特性，正常图像在超分辨率处理下，特征变化将明显低于对抗图像，这就构成了对对抗样本的检测依据。

本文方法采用计算效率高、适用性强的增强深度残差网络（Enhanced Deep Residual Networks, EDSR）模型^[29]进行微调，保留了原有的网络结构，具体结构如图2所示。在该模块中，预期超分网络如实表达图像高频信息的细节，因此仅修改了网络的输入输出层，以适应数据集图像大小，从而更好地验证在不同图像尺度下的效果。

1.3 敏感度差异感知模块

敏感度差异感知模块通过提取前两个模块处理后的人脸图像特征，并与原图进行相似度比较，以获得敏感度值，随后与干净图像的敏感度阈值进行比较，以评估图像是否受到对抗噪声的影响。处理过程如下：

D i f f D X a d v, X a d v > D i f f D X c l e a n, X c l e a n

。

其中：

D

（·）代表图像变换算法；

D i f f

代表计算图像变换前后的相似度波动值，通常对抗样本的波动将明显大于干净图像。通过计算经过图像变换前后的特征余弦相似度，可以有效衡量图像特征变化，从而反映图像特征对图像变换处理的敏感度^[30]。最后通过集成学习中的投票机制，综合不同尺度和变换方法得到的结果，得出最终判定。

计算干净图像的敏感度阈值是通过随机抽取来自同一数据集的少批量干净图像计算得出的。这一阈值用于区分带有对抗噪声的人脸图像和干净图像。敏感度阈值T表示为

T = M c l e a n + σ c l e a n

（4）

式中：

M c l e a n

是经过前两个模块处理后的图像相似度波动值；

σ c l e a n

是多次采样后的相似度波动值标准差，以此来确定干净图像的合理敏感度阈值

T

。对于未知的图像集合，检查其经过处理后的相似度波动值是否超出该阈值。如果经过任何一种变换后得出的波动值超出阈值，则判定该图像遭受了对抗攻击，否则判定为未受到攻击。

为适应人脸识别任务的特殊性，沿用经典的ResNet50作为图像变换模块后的特征提取骨干网络，并使用余弦相似度作为特征相似度的评估指标，这是基于人脸识别任务的特殊性所决定的。而在特征融合处理过程中，为实现敏感度的高度感知，采用集成学习的投票方法，集成多尺度感知结果，以更准确捕捉敏感度差异，最终有效发挥图像变换模块揭示并放大隐匿性噪声特性，实现对抗性噪声的检测。

由于数据集图像质量、结构信息、图像信噪比等固定属性差异，本模块设计了自适应数据集的机制，以实现不同数据集的泛化。使用峰值信噪比（Peak Signal-to-Noise Ratio, PSNR）和结构相似性指数（Structural Similarity Index, SSIM）两个指标来确定处理的图像是否属于同一类，是否可以使用同一敏感度阈值，从而提高检测的准确性和鲁棒性。

2 实验

实验基于ubuntu 18.04操作系统，利用Python3.9和PyTorch1.13等深度学习框架下来开展实验，CPU使用Intel（R） Xeon（R） CPU Gold 6132 CPU @2.60 GHz，GPU使用NVIDIA Corporation RTX4090。

2.1 实验设置

1）数据集。选择LFW、CelebA-HQ数据集进行验证测试。为保证图像结构相似，选取PSNR和SSIM近似的图像子集，CelebA-HQ数据集包含30 000张图像，经过过滤，13 168张人脸图像可供测试。LFW包含5 749个子对象的13 233张人脸图像，经过过滤后，1 680名受试者的9 316张人脸图像可供测试。每个测试集随机抽取1 000张人脸图像生成阈值，其他图像作为被测试图像。

2）攻击方法。采用6种基于梯度的对抗性攻击方法FGSM、BIM、PGD、RFGSM、MIFGSM、DIFGSM，ArcFace^[31]作为威胁模型，以生成基于梯度攻击的对抗人脸图像。所有基于梯度的攻击都应用在2个数据集上生成对抗人脸图像。经过预实验，扰动幅度过大容易被检测到，因此，采用扰动量σ=[5,10]来生成对抗人脸图像。

3）人脸识别系统。使用ResNet50作为骨干网络的ArcFace作为人脸识别系统。

4）实施细节。利用多任务级联卷积神经网络（Multi-task Cascaded Convolutional Networks, MTCNN）^[27]进行人脸检测和对齐，利用torchattacks库^[32]生成对抗人脸图像。在训练和测试之前，所有人脸图像都被对齐并调整到112×112像素。

评价指标：使用检测准确率作为主要评估指标，如式（5）所示：

A a c c u r a c y = N T P + N T N N T P + N T N + N F P + N F N

（5）

式中：

A a c c u r a c y

代表准确率；

N T P

代表真正例（True Positives）的数量；

N T N

代表真负例（True Negatives）的数量；

N F P

代表假正例（False Positives）的数量；

N F N

代表假负例（False Negatives）的数量。

2.2 实验结果分析

本研究在2个数据集上对6种不同类型的对抗性攻击进行了实验。选用两种检测方法作为性能比较的基准：一种是性能优越的SID检测器^[24]；另一种是文献[23]提出的基于离散小波变换（Discrete Wave let Transform, DWT）和离散余弦变换（Discrete Cosine Transform，DCT）的检测器。

实验结果如表1和表2所示。

所提方法最低检测准确率达到了90.4%以上，证明了本文提出的检测器在对包含约20 000张真实人脸图像及6种攻击下的对抗样本的数据集进行分类时，展现出显著的高检测精度。具体而言，本文检测器在检测精度指标上总体优于现有方法。值得注意的是，由于SID检测器针对已知的FGSM攻击进行了训练，因而在FGSM攻击下的LFW数据集的检测精度上略微优于本文方法，但与本文方法差距较小。此外，在与另一种同类别的基于图像变换的检测器相比较时，本文方法表现出显著的优势。这可能是由于传统基于支持向量机的方法确定决策边界时对数据集的变化较为敏感，而本文提出的方法仅需小批量的正常图像，显示出更高的稳定性。

综上所述，本研究提出的方法在各种攻击场景下均超越或基本持平基线检测器。该方法不仅能够在仅使用少量正常图像的情况下有效检测多种攻击，而且其基于简单图像变换的机制，使得该方法易于集成并具有较好的实用性。

3 结束语

从人脸识别系统设计本身存在的隐患出发，将变分辨率引入对抗性人脸检测任务中，提出了基于图像变分辨率敏感度不一致性的检测方法，该方法利用多分辨率条件下进行去噪、超分辨率等图像变换后相似度变化的不一致性检测对抗样本。不同于传统方法受限于跨数据集泛化能力弱的问题，该方法能够有效挖掘图像自身存在的内生属性，自适应不同数据集特性，在提高系统鲁棒性方面展现出有效的防御能力。实验验证了在面对6种不同的对抗攻击时，该方法仍具有较高的检测准确率，有效降低了低分辨率输入图像带来的易于生成对抗扰动的风险，并且模块设计简洁、通用性强，无需具体攻击知识。尽管所提方法展现出了良好的性能，但本文方法在进行超分辨率变换时，仍需耗费大量的计算资源，这在一定程度上影响了检测算法的时效性。在下一步研究中，将探索更加高效的超分辨率算法并提高计算效率，以拓宽其应用范围。

参考文献

原文顺序 | 出版日期 | 本文引用

[1]	DU H L， SHI H， ZENG D， et al. The elements of end-to-end deep face recognition： a survey of recent advances［J］. ACM Computing Surveys， 2020，54（）：No.212.

[2]	TAIGMAN Y， YANG M， RANZATO M， et al. Deepface： closing the gap to human-level performance in face verification［C］∥Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition. Piscataway， USA： IEEE， 2014：1701-1708.

[3]	SZEGEDY C， ZAREMBA W， SUTSKEVER I， et al. Intriguing properties of neural networks［DB/OL］. （2013-12-05）［2024-04-03］.

[4]	GOODFELLOW I J， SHLENS J， SZEGEDY C. Explaining and harnessing adversarial examples［DB/OL］. （2014-12-20）［2024-04-03］.

[5]	KURAKIN A， GOODFELLOW I J， BENGIO S. Adversarial machine learning at scale［DB/OL］. （2016-11-04）［2024-04-03］.

[6]	MADRY A， MAKELOV A， SCHMIDT L， et al. Towards deep learning models resistant to adversarial attacks［DB/OL］. （2017-06-19）［2024-04-03］.

[7]	TRAMER F， KURAKIN A， PAPERNOT N， et al. Ensemble adversarial training： attacks and defenses［DB/OL］.（2017-05-19）［2024-04-03］.

[8]	DONG Y P， LIAO F Z， PANG T Y， et al. Boosting adversarial attacks with momentum［C］∥Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. Piscataway， USA： IEEE， 2018：9185-9193.

[9]	WU W B， SU Y X， LYU M R， et al. Improving the transferability of adversarial samples with adversarial transformations［C］∥Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. Piscataway， USA： IEEE， 2021：9020-9029.

[10]	陈宇飞，沈超，王骞，人工智能系统安全与隐私风险［J］.计算机研究与发展，2019，56（10）：2135-2150.

[11]	DEB D， ZHANG J， JAIN A K. AdvFaces： adversarial face synthesis［C］∥Proceedings of the IEEE International Joint Conference on Biometrics. Piscataway， USA： IEEE， 2020. DOI：10.1109/IJCB48548.2020.9304898 .

[12]	QIU H V， XIAO C W， YANG L， et al. SemanticAdv： generating adversarial examples via attribute-conditional image editing ［DB/OL］. （2019-06-19）［2024-04-03］.

[13]	JIA S， YIN B L， YAO T P， et al. Adv-Attribute： inconspicuous and transferable adversarial attack on face recognition ［DB/OL］. （2022-10-13）［2024-06-19］.

[14]	LI Q， HU Y X， LIU Y， et al. Discrete point-wise attack is not enough： generalized manifold adversarial attack for face recognition［C］∥Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. Piscataway， USA： IEEE， 2023：20575-20584.

[15]	MASSOLI F V， CARRARA F， AMATO G， et al. Detection of face recognition adversarial attacks［DB/OL］.（2019-12-09）［2024-04-03］.

[16]	AGARWAL A， SINGH R， VATSA M， et al. Are image-agnostic universal adversarial perturbations for face recognition difficult to detect？［C］∥Proceedings of the IEEE 9th International Conference on Biometrics Theory， Applications and Systems. Piscataway， USA：IEEE，2018. DOI：10.1109/BATS.2018.8698548 .

[17]	TAO G H， MA S Q， LIU Y Q， et al. Attacks meet interpretability： attribute-steered detection of adversarial samples ［DB/OL］. （2018-10-27）［2024-04-03］.

[18]	DENG Z J， YANG X， XU S Z， et al. LiBRe： a practical bayesian approach to adversarial detection［C］∥Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. Piscataway，USA： IEEE， 2021：972-982.

[19]	DEB D， LIU X， JAIN A K. FaceGuard： a self-supervised defense against adversarial face images［C］∥Proceedings of the IEEE 17th International Conference on Automatic Face and Gesture Recognition. Piscataway， USA： IEEE， 2023. DOI：10.1109/FG57933.2023.10042617 .

[20]	LING H F， SUN F R， ZHANG J Y， et al. General adversarial perturbation simulating：protect unknown system by detecting unknown adversarial faces［C］∥Proceedings of the International Joint Conference on Neural Networks. Piscataway， USA：IEEE，2023. DOI：10.1109/IJCNN5316 3.2023.10374958 .

[21]

WANG Q， XIAN Y Q， LING H F， et al. Detecting adversarial faces using only real face self-perturbations［C］∥Proceedings of the Thirty-Second International Joint Conference on Artificial Intelligence. California，USA： International Joint Conferences on Artificial Intelligence Organization， 2023：1488-1496.

[22]	SCHROFF F， KALENICHENKO D， PHILBIN J. Facenet： a unified embedding for face recognition and clustering［C］∥Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition. Piscataway， USA： IEEE， 2015：815-823.

[23]	AGARWAL A， SINGH R， VATSA M， et al. Image transformation-based defense against adversarial perturbation on deep learning models［J］. IEEE Transactions on Dependable and Secure Computing， 2021，18（4）：2106-2121.

[24]	TIAN J Y， ZHOU J T， LI Y M， et al. Detecting adversarial examples from sensitivity inconsistency of spatial-transform domain［C］∥Proceedings of the AAAI Conference on Artificial Intelligence. Washington， USA： AAAI Press， 2021：9877-9885.

[25]	MUSTAFA A， KHAN S H， HAYAT M， et al. Image super-resolution as a defense against adversarial attacks［J］. IEEE Transactions on Image Processing， 2019，29：1711-1724.

[26]	FENWICK S R， KOSSAIFI J， SANDBERG D， et al. Labeled faces in the wild： updates and new reporting methods ［R］. Massachusetts，USA： University of Massachusetts， 2014：1-5.

[27]	LIU Z W， LUO P， WANG X G， et al. Deep learning face attributes in the wild［C］∥Proceedings of the IEEE International Conference on Computer Vision. Piscataway， USA： IEEE， 2015：3730-3738.

[28]	郭莹，李伦，王鹏. 基于Lanczos核的实时图像插值算法［J］.通信学报，2017，38（6）：142-147.

[29]	LIM B， SON S， KIM H， et al. Enhanced deep residual networks for single image super-resolution［C］∥Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition Workshops. Piscataway，USA：IEEE，2017：1132-1140.

[30]	李柯，吉立新，李邵梅，基于孪生胶囊网络的伪造人脸视频检测方法［J］.信息工程大学学报，2022，23（1）：48-50.

[31]	DENG J K， GUO J， XUE N， et al. ArcFace： additive angular margin loss for deep face recognition［J］. IEEE Transactions on Pattern Analysis and Machine Intelligence， 2022， 44（10）： 5962-5979.