人脸比对模型安全技术规范

4人脸比对模型安全技术规范本文件规定了人脸比对模型及所在系统的功能要求、安全要求与相应的测试方法，并将系统划分为基本级和增强级。本文件适用于交通、酒店、学校、工厂等应用场景的人脸比对模型及所在系统的设计、开发与测试，其他需要人脸比对技术的应用场景可参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859-1999计算机信息系统安全保护划分准则GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T26238-2010信息技术生物特征识别术语GB/T29268.1-2012信息技术生物特征识别性能测试和报告原则与框架（ISO/IEC19795-1:2006,IDT）GB/T38671-2020信息安全技术远程人脸识别系统技术要求T/CESA1026-2018人工智能深度学习算法评估规范3术语和定义GB/T26238-2010、T/CESA1026-2018界定的及下列术语和定义适用于本标准。3.1人脸比对faceverification对两张人脸图像进行识别比对，评估属于同一个人的可能性大小。3.2对抗样本adversarialexamples在数据集中通过故意添加细微的干扰所形成输入样本，添加对抗噪声之后的输入样本导致模型给出错误的输出。3.3白盒攻击white-boxattack5指在目标模型结构及参数等信息已知的情况下，生成对抗样本进行攻击。3.4黑盒攻击black-boxattack指在目标模型结构及参数等信息未知的情况下，生成对抗样本进行攻击。3.5扰动大小perturbationbudget指构造对抗样本时添加的干扰大小。a)物理世界：根据实体干扰的面积大小进行计算；b)数字世界：根据生成的对抗样本与真实样本之间的距离进行计算。在L+∞距离下的计算方）， 3.6准确率accuracy对于给定的数据集，正确分类的样本数占总样本数的比率。3.7查全率recall对于给定的数据集，预测为对抗样本的样本占所有实际为对抗样本的比率。3.8防御成功率defensesuccessrate对抗样本的识别准确率与真实样本的识别准确率之比。 64系统概述参照GB/T38671-2020，具备防御对抗样本攻击能力的人脸比对系统应包含以下两层：a)模型训练层：主要由用于对抗训练的对抗样本生成算法、预训练模型或比对模型自身等模块组成；对抗样本生成算法针对预训练模型或人脸比对模型自身生成对抗样本后，将生成的对抗样本加入训练集进行对抗训练即可提升人脸比对模型的鲁棒性。b)应用层：由对抗样本检测、对抗样本去噪、人脸比对服务等模块组成；对抗样本检测模块将对输入数据进行分析处理，判断数据是否为对抗样本；对抗样本去噪则负责对输入数据进行去噪处理，破坏攻击者恶意添加的对抗噪声。本标准不规定具备防御对抗样本攻击能力的人脸比对系统具体实现方式。系统结构图见图1：图1人脸比对系统结构图5功能要求5.1对抗样本检测应支持依据真实样本和对抗样本的差异性，判断输入数据中是否包含对抗样本。系统应拒绝已检出的对抗样本进入人脸比对流程。检测方法包括但不限于：a)应支持对输入数据的直接分析进行对抗样本检测：通过分析真实样本和对抗样本在非任务模型（如专门训练的对抗样本分类模型上）的不同表现，判断输入数据是否为对抗样本；b)应支持对人脸比对模型特征层的分析进行对抗样本检测：通过分析真实样本和对抗样本在人脸比对模型特征层上统计值的分布差异，判断输入数据是否为对抗样本；7c)应支持对人脸比对模型输出层的分析进行对抗样本检测：通过分析真实样本和对抗样本在人脸比对模型输出层上的分布特性差异，判断输入数据是否为对抗样本。5.2对抗样本去噪应支持对输入数据进行去噪处理，破坏恶意用户添加在真实样本上的对抗噪声。去噪处理方法包括但不限于：a)应支持通过图片压缩的方法对输入数据做去噪处理：高频信号可激发神经网络某些特定的神经元，使得神经网络给出错误的输出结果，图片压缩可改变高频信号的分布，从而破坏对抗噪声；b)应支持通过使图片总方差最小化的方法对输入数据做去噪处理：在保证图片语义信息损失较小的约束条件下，使得图片总方差最小化，改变噪声的分布，从而破坏对抗噪声；c)应支持通过数据驱动的方式训练对抗样本去噪器对输入数据做去噪处理：神经网络训练的对抗样本去噪器通过最小化对抗样本与真实样本的距离（如像素级别的L1距离，特征层的L2距离等）使得处理后的对抗样本接近于真实样本的像素分布，从而破坏对抗噪声。5.3对抗训练应支持通过对抗训练提升人脸比对模型的鲁棒性，提高模型防范对抗样本攻击的能力。对抗训练包括但不局限于：a)单模型对抗训练：应支持在模型训练过程中，利用人脸比对模型自身构建对抗样本，将真实样本和对抗样本作为训练数据，通过损失函数等约束进行监督学习训练，提高人脸比对模型的鲁棒性；b)多模型集成对抗训练：应支持通过预先训练多个类似的人脸比对模型生成的对抗样本和真实样本同时作为训练数据，通过损失函数等约束进行监督学习训练，提高人脸比对模型的鲁棒性。6安全要求参照GB/T20271-2006，确定了以下安全要求。6.1安全审计6.1.1审计日志生成系统应生成以下事件的审计日志：a)审计功能的启动与终止；b)管理员身份鉴别成功和失败的事件；c)系统管理员、安全管理员、审计管理员和一般操作员所实施的操作；d)检测到输入数据含有对抗样本；e)非授权保存人脸图像；f)非授权进行数据库操作。系统应在每条审计日志中记录事件发生的日期和时间、事件类型、事件描述和结果。审计功能部件应能将可审计事件与发起该事件的用户身份相关联。6.1.2审计日志查阅系统应为授权管理员提供审计日志查阅功能，方便管理员查看审计结果。除了具有明确访问权限的8授权管理员之外，产品应禁止所有其他用户对审计日志的访问。6.1.3审计日志保护系统应具备审计日志保护功能，具体要求如下：a)应能保护已存储的审计日志，并能检测和防止对审计日志的修改；b)审计日志应存储于断电非易失性存储介质中，且在存储空间达到阈值时通知授权管理员。6.2异常处理机制系统应在非正常条件（如掉电、强行关机）下关机再重新启动后，满足以下技术要求：a)安全策略恢复到关机前的状态；b)审计日志不会丢失；c)管理员重新鉴别。7测试方法7.1功能测试参照GB/T29268.1-2012，确定了以下测评方法。7.1.1对抗样本检测对抗样本检测的测试方法与预期结果如下：a)测试方法：尝试输入事先准备好的对抗样本和正常样本，检查查全率、准确率是否不小于预期。b)预期结果：对于数字世界的对抗样本，使用不同的距离度量约束对抗样本生成，测试得出的查全率、准确率应分别不小于预期（见表1对于物理世界的对抗样本，使用面积大小约束对抗样本生成。测试得出的查全率、准确率应分别不小于预期（见表2）。表1数字世界对抗样本预期表现类型扰动大小(L2/L+∞)查全率准确率黑盒攻击方式生成的对抗样本8/1690%95%4/885%90%2/480%85%75%80%白盒攻击方式生成的对抗样本8/1680%90%4/875%85%2/470%80%65%75%9表2物理世界对抗样本预期表现类型扰动大小(cm2)查全率准确率物理世界对抗样本85%90%80%85%675%80%370%75%7.1.2对抗样本去噪对抗样本去噪的测试方法与预期结果如下：a)测试方法：尝试输入事先准备好的数字世界、物理世界对抗样本，检查防御成功率是否不小于预期的值。b)预期结果：对于数字世界的对抗样本，使用不同的距离度量约束对抗样本生成，测试得出的防御成功率应不小于预期（见表3）；对于物理世界的对抗样本，使用面积大小约束对抗样本生成。测试得出的防御成功率应不小于预期（见表4）。表3数字世界对抗样本预期表现类型扰动大小(L2/L+∞)防御成功率黑盒攻击方式生成的对抗样本8/1650%4/860%2/480%90%白盒攻击方式生成的对抗样本8/1640%4/850%2/470%80%表4物理世界对抗样本预期表现类型扰动大小(L2/L+∞)防御成功率物理世界对抗样本30%40%660%375%7.1.3对抗训练对抗样本去噪的测试方法与预期结果如下：a)测试方法：尝试输入事先准备好的数字世界、物理世界对抗样本，检查防御成功率是否不小于预期的值。b)预期结果：对于数字世界的对抗样本，预期使用不同的距离度量约束对抗样本生成，测试得出的防御成功率应不小于预期（见表5）。对于物理世界的对抗样本，使用面积大小约束对抗样本生成，测试得出的防御成功率应不小于预期（见表6）。表5数字世界对抗样本预期表现类型扰动大小(L2/L+∞)防御成功率黑盒攻击方式生成的对抗样本8/1660%4/870%2/485%95%白盒攻击方式生成的对抗样本8/1650%4/860%2/480%90%表6物理世界对抗样本预期表现类型扰动大小(L2/L+∞)防御成功率物理世界对抗样本50%60%680%390%7.2安全测试7.2.1审计日志7.2.1.1审计日志生成审计日志生成的测试方法与预期结果如下：a)测试方法：结合开发者和文档，尝试向系统输入对抗样本触发相关时间，并对产品不同模块进行访问、运行、关闭以及重复失败尝试等相关操作，检查产品提供了对哪些事件的审计，并审查审计日志的正确性；b)预期结果：1)产品至少为以下可审计事件产生审计记录：——审计功能的启动和终止；——检测到对抗样本攻击。2)每个审计事件产生的审计记录应该记录以下信息：——事件发生的日期和时间，日期包括年、月、日，时间包括时、分、秒；——事件的详细描述；——时间的结果；——根据事件类型所需的其他信息。7.2.1.2审计日志查阅审计日志查阅的测试方法和预期结果如下：a)测试方法：1)尝试以授权管理员身份与非授权管理员身份访问审计日志，查看产品安全功能是否允许授权管理员访问审计日志；2)审计日志的内容是否容易理解；3)检查产品是否能提供查阅审计日志的工具，是否能够对审计事件以时间、日期、主体ID等为条件搜索，是否允许授权管理员使用查阅工具。b)预期结果：1)产品限制审计日志的访问，除了具有明确的读访问权限的授权管理员外，产品禁止其他用户对审计日志的读取；2)审计日志的内容容易理解；3)产品提供查阅审计日志的工具，并能够对审计事件以时间、日期、主体ID等为条件搜索。7.2.1.3审计日志保护审计日志保护的测试方法和预期结果如下：a)测试方法：1)尝试以授权管理员身份与非授权管理员身份修改审计日志，查看是否能够修改成功；2)查看审计日志是否存储于掉电非易损失性存储介质中，通过实施登录、退出、修改配置等一系列事件，产生大量审计日志，直到达到阈值，查看系统是否能够通知授权管理员。b)预期结果：1)产品能够保存已存储的审计日志，检测和防止对审计日志的修改；2)审计日志存储于掉电非易损失性存储介质中，且在存储空间达到阈值时通知授权管理员。7.2.2异常处理机制异常处理机制的测试方法和预期结果如下：a)测试方法：1)记录系统的当前状态、如安全策略等，保存配置；2)直接断开系统电源，再接通电源开机启动；3)再次尝试通过界面进行管理，检查安全策略和审计日志等。b)预期结果：1)重新通过管理界面对系统策略配置等进行查看时，需要重新鉴别；2)安全策略恢复到关机前