DB11∕T2252-2024信息安全 人脸识别防对抗样本攻击测试要求.docxVIP

ICS35.240

CCSL70

DB11

北京市地方标准

DH1/T2252—2024

信息安全人脸识别防对抗样本攻击测试

要求

Informtionsecurity—Testingrequirenentsondefendingadkversarial

attackagainstfacerecognition

2024-06-28发布2024-100施1

北京市市场监督管理局发布

I

DR1/T2252—2024

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4攻击方式分类 1

5测试方法 2

5.1测试条件 2

5.2对抗样本制作方法 2

5.3测试流程 4

5.4测试结果计算方法 5

附录A(资料性) 6

1I

DH1/T2252—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由北京市公安局提出并归口。本文件由北京市公安局组织实施。

本文件起草单位：北京市公安局、北京市公安局人工智能安全研究中心、北京瑞莱智慧科技有限公司、北京百度网讯科技有限公司、中国科学院计算技术研究所、科大讯飞股份有限公司、公安部第三研究所、北京市标准化研究院。

本文件主要起草人：蔡瑜坤、曹奇、王崇鹏、张晓飞、孙毅、刘鸣、邓佳、马飞翔、孔凡真、杨彬、李晓波、王东明、辛铮、韦云霞、张旭东、孙空军、李连吉、萧子豪、张浩天、王海棠、郭建岭、曹娟、唐胜、方凌飞、朱莉莉、孔凡胜、程鸣、孙文琦、丁治国、周巧霖、樊子风。

1

DF1/T2252—2024

信息安全人脸识别防对抗样本攻击测试要求

1范围

本文件规定了人脸识别防对抗样本攻击的攻击方式分类、测试方法。

本文件适用于人脸识别应用或系统的开发者、使用者及相关方开展防对抗样本攻击测试。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T38671信息安全技术远程人脸识别系统技术要求

GB/T41987公共安全人脸识别应用防假体呈现攻击测试方法GA/T1324安全防范人脸识别应用静态人脸图像采集规范

3术语和定义

GB/T38671界定的以及下列术语和定义适用于本文件。3.1

对抗样本adversarialexarples

在输入数据中通过故意添加细微干扰获得的、可导致机器学习算法模型以高置信度给出错误输出的样本。

3.2

对抗补丁adversarialpatch

通过替换特定区域图像内容构造的对抗样本，通常表现为特定形状的图像块。

3.3

物理对抗补丁plysicaladversarialpatch基于对抗补丁制作出的物理攻击道具。

4攻击方式分类

根据被测试的人脸识别应用或系统在进行识别时可接受的输入类型，攻击方式分为两大类，如表1所示。

2

DH1/T2252—2024

表1攻击方式分类

攻击方式类型

攻击输入

适用测试对象

注入攻击类

基于像素扰动的对抗样本(参见A.1)基于对抗补丁的对抗样本(参见A.2)

人脸识别应用或系统可通过输入人脸图像数据进行识别

呈现攻击类

物理对抗补丁

人脸识别应用或系统可通过摄像头采集人脸数据进行识别

5测试方法

5.1测试条件

5.1.1人脸识别准确率

测试开始前应按要求部署被测人脸识别应用或系统。被测人脸识别应用或系统的相似度阈值等各项设置应调整到默认状态。应确保被测应用人脸识别功能正常，可通过输入人脸图像或直接采集人脸图像等方式进行多次识别并统计人脸识别结果，记录正常人脸样本的识别次数、识别准确率。

5.1.2测试环境光线

进行呈现攻击测试时，测试环境光线可分别模拟室内环境、半室外环境及室外环境，应符合GB/T41987中测试过程中环境光线的要求。

5.2对抗样本制作方法

5.2.1人脸识别对象选取

在对抗样本攻击的测试对象样本中，男女比例应为1:1,年龄在16岁~60岁的占80