(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115731620A(43)申请公布日2023.03.03(21)申请号202211376287.9(22)申请日2022.11.04(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人曹佳炯(74)专利代理机构北京恒博知识产权代理有限公司11528专利代理师范胜祥(51)Int.Cl.G06V40/40(2022.01)G06V40/16(2023.01)G06N3/0464(2023.01)G06N3/08(2022.01)权利要求书3页说明书20页附图5页(54)发明名称检测对抗攻击的方法和训练对抗攻击检测模型的方法(57)摘要本说明书实施例公开了一种检测对抗攻击的方法、训练对抗攻击检测模型的方法、装置、存储介质及电子设备，对目标对象在不同光照条件下采集的多个人脸图像进行特征提取，得到各个人脸图像的参考图像特征。对各个人脸图像的参考图像特征进行特征重建，得到各个人脸图像的重建图像特征。由于对抗攻击图像在不同光照条件下存在较大的波动，基于各个人脸图像的参考图像特征和同一光照条件对应的重建图像特征之间的相似度，就能够确定该多个人脸图像是否为对抗攻击图像，从而实现对对抗攻击的检测。CN115731620ACN115731620A权利要求书1/3页1.一种检测对抗攻击的方法，包括：对目标对象的多个人脸图像进行特征提取，得到各个所述人脸图像的参考图像特征，所述多个人脸图像是在不同光照条件下采集的；对各个所述人脸图像的参考图像特征进行特征重建，得到各个所述人脸图像的重建图像特征，所述参考图像特征与对所述参考图像进行特征重建后得到的重建图像特征对应于不同的光照条件；基于各个所述人脸图像的参考图像特征和同一光照条件对应的重建图像特征之间的相似度，确定所述多个人脸图像是否为对抗攻击图像。2.根据权利要求1所述的方法，所述对目标对象的多个人脸图像进行特征提取，得到各个所述人脸图像的参考图像特征包括：将所述多个人脸图像输入对抗攻击检测模型，通过所述对抗攻击检测模型对所述多个人脸图像进行特征提取，得到所述多个人脸图像的参考图像特征。3.根据权利要求2所述的方法，所述通过所述对抗攻击检测模型对所述多个人脸图像进行特征提取，得到所述多个人脸图像的参考图像特征包括：对于所述多个人脸图像中的任一人脸图像，通过所述对抗攻击检测模型的特征提取子模型，对所述人脸图像进行卷积、全连接以及注意力编码中的任一项，得到所述人脸图像的参考图像特征。4.根据权利要求1所述的方法，所述对各个所述人脸图像的参考图像特征进行特征重建，得到各个所述人脸图像的重建图像特征包括：将各个所述人脸图像的参考图像特征输入对抗攻击检测模型，通过所述对抗攻击检测模型对各个所述人脸图像的参考图像特征进行特征重建，输出各个所述人脸图像的重建图像特征。5.根据权利要求4所述的方法，所述通过所述对抗攻击检测模型对各个所述人脸图像的参考图像特征进行特征重建，输出各个所述人脸图像的重建图像特征包括：通过所述对抗攻击检测模型对各个所述人脸图像的参考图像特征进行多次全连接，输出各个所述人脸图像的重建图像特征。6.根据权利要求1所述的方法，所述基于各个所述人脸图像的参考图像特征和同一光照条件对应的重建图像特征之间的相似度，确定所述多个人脸图像是否为对抗攻击图像包括：将各个所述人脸图像的参考图像特征和同一光照条件对应的重建图像特征之间的相似度进行融合，得到所述多个人脸图像的对抗攻击分数；基于所述对抗攻击分数，确定所述多个人脸图像是否为对抗攻击图像。7.根据权利要求6所述的方法，所述基于所述对抗攻击分数，确定所述多个人脸图像是否为对抗攻击图像包括下述任一项：在所述对抗攻击分数小于分数阈值的情况下，确定所述多个人脸图像为对抗攻击图像；在所述对抗攻击分数大于或等于所述分数阈值的情况下，确定所述多个人脸图像不是对抗攻击图像。8.根据权利要求1所述的方法，所述对目标对象的多个人脸图像进行特征提取，得到各2CN115731620A权利要求书2/3页个所述人脸图像的参考图像特征之前，所述方法还包括：获取所述目标对象的多个初始图像，所述多个初始图像是在不同光照条件下采集的；对所述多个初始图像进行过滤，得到所述多个人脸图像。9.根据权利要求8所述的方法，所述对所述多个初始图像进行过滤，得到所述多个人脸图像包括：对所述多个初始图像进行人脸检测，确定各个所述初始图像是否包括人脸；删除所述多个初始图像中不包括人脸的初始图像，得到多个人脸过滤图像；确定各个所述人脸过滤图像的图像质量分数；删除所述多个人脸过滤图像中图像质量分数小于质量分数阈值的人脸过滤图像，得到所述多个人脸图像。10.一种训练对抗攻击检