对抗攻击的检测方法及系统与流程

1.本说明书涉及人工智能技术领域，尤其涉及一种对抗攻击的检测方法及系统。


背景技术：

2.随着互联网的发展，人脸识别也被广泛应用。对抗攻击成为了人脸识别系统主要的安全威胁之一，通过在输入样本中故意添加一些人类肉眼无法察觉的细微的干扰，就能够使得模型输出一个错误的分类结果。由于对抗攻击的攻击pattern(图案)面积小、难以被检测，因此防御对抗攻击的难度较高。
3.目前，主要在人脸识别前置检测/预处理环节，或者在人脸识别阶段采用分类模型进行对抗攻击检测。然而，对抗攻击的攻击pattern面积较小、难以被检测，因此防御对抗攻击的难度也就更高。
4.综上，需要提供一种能够提高对抗攻击的检测性能的方式。


技术实现要素：

5.本说明书提供一种对抗攻击的检测方法及系统，能够提高对抗攻击的检测性能。
6.第一方面，本说明书提供一种对抗攻击的检测方法，获取用户的原始图像，所述原始图像中包括所述用户的生物特征；基于所述原始图像构建至少一个维度的图模型，所述图模型包括所述生物特征不同区域之间的关联关系；将至少一个维度的所述图模型输入至图神经网络模型，确定所述生物特征的关联区域特征；以及将所述关联区域特征输入至对抗攻击检测模型，得到所述用户的对抗攻击检测结果。
7.在一些实施例中，所述基于所述原始图像构建至少一个维度的图模型，包括：将所述原始图像输入至特征提取模型，得到所述生物特征对应的多个原始区域特征；在所述至少一个维度中的每个维度下，对所述多个原始区域特征中存在关联关系的至少部分区域特征建立连接，得到对应的所述图模型；以及将所述至少一个维度的图模型中相同的原始区域特征进行跨维度连接。
8.在一些实施例中，所述至少一个维度的所述图模型包括邻域图模型、关键点图模型以及显著性区域图模型中的至少一个。
9.在一些实施例中，所述邻域图模型采用如下方法步骤确定：以所述多个原始区域特征中每个原始区域特征作为目标邻域节点，并将相邻的原始区域特征与所述目标邻域节点进行连接。
10.在一些实施例中，所述关键点图模型采用如下方法步骤确定：以所述多个原始区域特征中表征生物特征关键点的原始区域特征作为目标关键节点，并将相似度大于预设的相似度阈值的所述目标关键节点进行连接。
11.在一些实施例中，所述显著性区域图模型采用如下方法步骤确定：确定所述多个原始区域特征对应的多个显著性，所述显著性表征对所述原始区域特征的关注度的大小；确定所述多个原始区域特征中，显著性大于预设的显著性阈值的原始区域特征作为显著性
节点；以及将所述显著性节点两两建立连接。
12.在一些实施例中，所述特征提取模型采用如下方法步骤训练得到：获取训练对象的生物特征的第一图像样本；采用预设特征提取网络对所述第一图像样本对应的多个图像区域进行特征提取，得到所述多个图像区域对应的多个特征图谱及对应的第一损失信息，所述第一损失信息表征所述第一图像样本对应的训练对象的训练身份类别与标注身份类别之间的差异；以及基于所述第一损失信息对所述预设特征提取网络进行收敛，直至训练结束，得到所述特征提取模型。在一些实施例中，所述图神经网络模型采用如下方法步骤训练得到：获取训练对象的生物特征的第二图像样本；将所述第二图像样本输入至所述特征提取模型，得到所述第二图像样本对应的多个原始区域特征样本；基于所述多个原始区域特征样本，构建所述第二图像样本对应的至少一个维度的图模型样本；将所述至少一个维度的图模型输入至预设图神经网络，得到所述生物特征的关联区域特征样本以及对应的第二损失信息；基于所述第二损失信息对所述预设图神经网络进行收敛，直至训练结束，得到所述图神经网络模型。
13.在一些实施例中，所述预设图神经网络的网络结构与跨层次连接的至少一个维度的图模型的结构相同，所述第二损失信息采用如下方法步骤得到：基于所述预设图神经网络根据所述多个原始区域特征样本输出的多个新的区域特征样本进行对抗攻击分类，得到所述第二图像样本对应的多个训练对抗攻击类别；基于所述第二图像样本对应的标注对抗攻击类别与所述多个训练对抗攻击类别之间的差异，确定多个对抗攻击分类损失信息；以及基于所述多个对抗攻击分类损失信息的加权和，得到所述第二损失信息。
14.在一些实施例中，所述对抗攻击检测模型采用如下方法步骤训练得到：获取训练对象的生物特征的第三图像样本；基于所述第三图像样本构建跨维度连接的至少一个维度的图模型样本；将所述第三图像样本对应的至少一个维度的图模型样本输入至所述图神经网络模型，得到所述第三图像样本对应的关联区域特征样本；将所述第三图像样本对应的关联区域特征样本输入至预设对抗攻击检测网络，得到所述第三图像样本对应的训练对抗攻击分类及对应的第三损失信息，所述第三损失信息表征所述第三图像样本对应的所述训练对抗攻击类别与标注对抗攻击类别之间的差异；以及基于所述第三损失信息对所述预设对抗攻击检测网络进行收敛，直至训练结束，得到所述对抗攻击检测模型。
15.第二方面，本说明书还提供一种对抗攻击的检测系统，包括：至少一个存储介质，存储有至少一个指令集，用于进行对抗攻击的检测；以及至少一个处理器，同所述至少一个存储介质通信连接，其中，当所述对抗攻击的检测系统运行时，所述至少一个处理器读取所述至少一个指令集，并且根据所述至少一个指令集的指示执行第一方面任一项所述的方法。
16.由以上技术方案可知，本说明书提供的对抗攻击的检测方法及系统，获取包括用户的生物特征的原始图像后，基于原始图像构建至少一个维度的图模型，图模型包括生物特征不同区域之间的关联关系，并将至少一个维度的图模型输入至图神经网络模型，确定生物特征的关联区域特征，以及将关联区域特征输入至对抗攻击检测模型，得到用户的对抗攻击检测结果。由于该方案中采用了至少一个维度的图模型，从不同的角度构建了图模型，构建了原始区域特征之间的关联关系，丰富了对抗攻击检测模型的输入信息，不仅能够从原始区域特征进行对抗攻击检测，还能从原始区域特征之间的关联关系进行对抗攻击检
测，从而能够提升对抗攻击的性能和检测精度。
17.本说明书提供的对抗攻击的检测方法及系统的其他功能将在以下说明中部分列出。根据描述，以下数字和示例介绍的内容将对那些本领域的普通技术人员显而易见。本说明书提供的对抗攻击的检测方法及系统的创造性方面可以通过实践或使用下面详细示例中所述的方法、装置和组合得到充分解释。
附图说明
18.为了更清楚地说明本说明书实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
19.图1示出了根据本说明书的实施例提供的一种对抗攻击的检测系统的应用场景示意图；
20.图2示出了根据本说明书的实施例提供的一种计算设备的硬件结构图；
21.图3示出了根据本说明书的实施例提供的一种对抗攻击的检测方法的流程图；
22.图4示出了根据本说明书的实施例提供的一种构建至少一个维度的图模型的方法的流程图；
23.图5示出了根据本说明书的实施例提供的一种对抗攻击检测的整体流程示意图。
具体实施方式
24.以下描述提供了本说明书的特定应用场景和要求，目的是使本领域技术人员能够制造和使用本说明书中的内容。对于本领域技术人员来说，对所公开的实施例的各种局部修改是显而易见的，并且在不脱离本说明书的精神和范围的情况下，可以将这里定义的一般原理应用于其他实施例和应用。因此，本说明书不限于所示的实施例，而是与权利要求一致的最宽范围。
25.这里使用的术语仅用于描述特定示例实施例的目的，而不是限制性的。比如，除非上下文另有明确说明，这里所使用的，单数形式“一”，“一个”和“该”也可以包括复数形式。当在本说明书中使用时，术语“包括”、“包含”和/或“含有”意思是指所关联的整数，步骤、操作、元素和/或组件存在，但不排除一个或多个其他特征、整数、步骤、操作、元素、组件和/或组的存在或在该系统/方法中可以添加其他特征、整数、步骤、操作、元素、组件和/或组。
26.考虑到以下描述，本说明书的这些特征和其他特征、以及结构的相关元件的操作和功能、以及部件的组合和制造的经济性可以得到明显提高。参考附图，所有这些形成本说明书的一部分。然而，应该清楚地理解，附图仅用于说明和描述的目的，并不旨在限制本说明书的范围。还应理解，附图未按比例绘制。
27.本说明书中使用的流程图示出了根据本说明书中的一些实施例的系统实现的操作。应该清楚地理解，流程图的操作可以不按顺序实现。相反，操作可以以反转顺序或同时实现。此外，可以向流程图添加一个或多个其他操作。可以从流程图中移除一个或多个操作。
28.为了方便描述，首先对本说明书中出现的术语进行如下解释：
29.层次图：在本方案中，指多种不同的图结构，不同的图有不同的节点和连接关系，可以用来构建不同方面的和对抗攻击有关系的特征。例如邻域图和关键点图就构建了不同的特征关系。
30.图模型：指包含节点和连接关系的模型，不同于普通的图像模型，图模型的连接是稀疏和不规则的，因此训练方法也和普通的卷积神经网络不同。
31.对抗攻击：指在人脸区域粘贴对抗贴纸(面积较小，一般在人脸的50％以下)，从而使得人脸识别系统发生误判的攻击手段(例如a用户粘贴对抗贴纸后，被错误识别为b用户)；
32.对抗攻击检测：在本方案中，指检测人脸对抗攻击的各类方法。
33.在对本说明书具体实施例说明之前，先对本说明书的应用场景进行如下介绍：
34.本说明书提供的对抗攻击的检测方法可以应用在任意的生物识别过程中的对抗攻击检测场景中，比如，在人脸支付或人脸识别等场景中，可以通过本说明书的对抗攻击的检测方法对采集的待支付或待识别的用户的生物特征的原始图像进行对抗攻击的检测；在身份验证场景中，可以通过本说明书的对抗攻击的检测方法对采集的用户的生物特征的原始图像进行对抗攻击检测；还可以应用在任意的对抗攻击检测场景中，在此就不再一一赘述。所述生物特征可以包括但不限于面部图像、虹膜、巩膜、指纹、掌纹、声纹、骨骼投影中的一种或多种。为了方便描述，本技术中将以对抗攻击检测方法应用在人脸识别场景中的对人脸进行对抗攻击检测为例进行描述。
35.本领域技术人员应当明白，本说明书所述的对抗攻击的检测方法及系统应用于其他使用场景也在本说明书的保护范围内。
36.图1示出了根据本说明书的实施例提供的一种对抗攻击的检测系统001的应用场景示意图。对抗攻击的检测系统001(以下简称系统001)可以应用于任意场景的对抗攻击检测，比如，刷脸支付、身份验证、门禁、信息查询等场景下的对抗攻击检测。如图1所示，系统001可以包括用户100和计算设备600。
37.用户100为需要进行生物特征识别的用户，或者正在进行生物特征识别的用户。用户100可以是系统001检测的对象。用户100可以发起生物特征识别程序，从而触发对用户100的对抗攻击检测。
38.计算设备600可以是执行对抗攻击的检测方法的设备。计算设备600可以存储有执行本说明书描述的对抗攻击的检测方法的数据或指令，并可以执行或用于执行所述数据或指令。在一些实施例中，计算设备600可以包括具有数据信息处理功能的硬件设备和驱动该硬件设备工作所需必要的程序。在一些实施例中，计算设备600可以获取用户100用于进行生物特征识别的原始图像，并执行本说明书提供的对抗攻击的检测方法，对原始图像进行对抗攻击的检测。
39.在一些实施例中，计算设备600可以包括本地设备200。所述对抗攻击的检测方法可以在本地设备200上执行。此时，本地设备200可以存储有执行本说明书描述的对抗攻击的检测方法的数据或指令，并可以执行或用于执行所述数据或指令。在一些实施例中，本地设备200可以包括具有数据信息处理功能的硬件设备和驱动该硬件设备工作所需必要的程序。在一些实施例中，本地设备200可以包括移动设备、平板电脑、笔记本电脑、机动车辆的内置设备或类似内容，或其任意组合。在一些实施例中，所述移动设备可包括智能家居设
备、智能移动设备、虚拟现实设备、增强现实设备或类似设备，或其任意组合。在一些实施例中，所述智能家居装置可包括智能电视、台式电脑等，或任意组合。在一些实施例中，所述智能移动设备可包括智能手机、个人数字辅助、游戏设备、导航设备等，或其任意组合。在一些实施例中，所述虚拟现实设备或增强现实设备可能包括虚拟现实头盔、虚拟现实眼镜、虚拟现实手柄、增强现实头盔、增强现实眼镜、增强现实手柄或类似内容，或其中的任何组合。例如，所述虚拟现实设备或所述增强现实设备可能包括谷歌眼镜、头戴式显示器、vr等。在一些实施例中，所述机动车中的内置装置可包括车载计算机、车载电视等。在一些实施例中，本地设备200可以包括图像采集设备，用于采集用户的生物特征的原始图像。在一些实施例中，所述图像采集设备可以是二维图像采集设备(比如rgb摄像头、ir摄像头，等等)，也可以是二维图像采集设备(比如rgb摄像头、ir摄像头，等等)和深度图像采集设备(比如3d结构光摄像头、激光探测器，等等)。在一些实施例中，本地设备200可以是具有定位技术的设备，用于定位本地设备200的位置。
40.在一些实施例中，计算设备600可以包括远程设备300。远程设备300可以是提供各种服务的服务器，例如对本地设备200上采集的用户的生物特征的原始图像进行对抗攻击检测提供支持的后台服务器。在一些实施例中，所述对抗攻击的检测方法可以在远程设备300上执行。此时，远程设备300可以存储有执行本说明书描述的对抗攻击的检测方法的数据或指令，并可以执行或用于执行所述数据或指令。在一些实施例中，远程设备300可以包括具有数据信息处理功能的硬件设备和驱动该硬件设备工作所需必要的程序。远程设备300可以与多个本地设备200通信连接，并接收本地设备200发送的数据。
41.如图1所示，本地设备200可以与远程设备300进行通信连接。在一些实施例中，远程设备300可以与多个本地设备200进行通信连接。在一些实施例中，本地设备200可以通过网络400与远程设备300交互，以接收或发送消息等，比如接收或发送原始图像。
42.网络400用以在本地设备200和远程设备300之间提供通信连接的介质。网络400可以促进信息或数据的交换。如图1所示，本地设备200和远程设备300可以同网络400连接，并且通过网络400互相传输信息或数据。在一些实施例中，网络400可以是任何类型的有线或无线网络，也可以是其组合。比如，网络400可以包括电缆网络，有线网络、光纤网络、电信通信网络、内联网、互联网、局域网(lan)、广域网(wan)、无线局域网(wlan)、大都市市区网(man)、广域网(wan)、公用电话交换网(pstn)、蓝牙
tm
网络、zigbee
tm
网络、近场通信(nfc)网络或类似网络。在一些实施例中，网络400可以包括一个或多个网络接入点。例如，网络400可以包括有线或无线网络接入点，如基站或互联网交换点，通过该接入点，本地设备200和远程设备300的一个或多个组件可以连接到网络400以交换数据或信息。
43.应该理解，图1中的本地设备200、远程设备300和网络400的数目仅仅是示意性的。根据实现需要，可以具有任意数目的本地设备200、远程设备300和网络400。
44.需要说明的是，所述对抗攻击的检测方法可以完全在本地设备200上执行，也可以完全在远程设备300上执行，还可以部分在本地设备200上执行，部分在远程设备300上执行。
45.图2示出了根据本说明书的实施例提供的一种计算设备600的硬件结构图。计算设备600可以执行本说明书描述的对抗攻击的检测方法。所述对抗攻击的检测方法在本说明书中的其他部分介绍。当所述对抗攻击的检测方法在本地设备200上执行时，计算设备600
可以是本地设备200。当所述对抗攻击的检测方法在远程设备300上执行时，计算设备600可以是远程设备300。当所述对抗攻击的检测方法可以部分在本地设备200上执行，部分在远程设备300上执行时，计算设备600可以是本地设备200和远程设备300。
46.如图2所示，计算设备600可以包括至少一个存储介质630和至少一个处理器620。在一些实施例中，计算设备600还可以包括通信端口650和内部通信总线610。同时，计算设备600还可以包括i/o组件660。
47.内部通信总线610可以连接不同的系统组件，包括存储介质630、处理器620和通信端口650。
48.i/o组件660支持计算设备600和其他组件之间的输入/输出。
49.通信端口650用于计算设备600同外界的数据通信，比如，通信端口650可以用于计算设备600同网络400之间的数据通信。通信端口650可以是有线通信端口也可以是无线通信端口。
50.存储介质630可以包括数据存储装置。所述数据存储装置可以是非暂时性存储介质，也可以是暂时性存储介质。比如，所述数据存储装置可以包括磁盘632、只读存储介质(rom)634或随机存取存储介质(ram)636中的一种或多种。存储介质630还包括存储在所述数据存储装置中的至少一个指令集。所述指令是计算机程序代码，所述计算机程序代码可以包括执行本说明书提供的对抗攻击的检测方法的程序、例程、对象、组件、数据结构、过程、模块等等。
51.至少一个处理器620可以同至少一个存储介质630以及通信端口650通过内部通信总线610通信连接。至少一个处理器620用以执行上述至少一个指令集。当计算设备600运行时，至少一个处理器620读取所述至少一个指令集，并且根据所述至少一个指令集的指示，执行本说明书提供的对抗攻击的检测方法。处理器620可以执行对抗攻击的检测方法包含的所有步骤。处理器620可以是一个或多个处理器的形式，在一些实施例中，处理器620可以包括一个或多个硬件处理器，例如微控制器，微处理器，精简指令集计算机(risc)，专用集成电路(asic)，特定于应用的指令集处理器(asip)，中心处理单元(cpu)，图形处理单元(gpu)，物理处理单元(ppu)，微控制器单元，数字信号处理器(dsp)，现场可编程门阵列(fpga)，高级risc机器(arm)，可编程逻辑器件(pld)，能够执行一个或多个功能的任何电路或处理器等，或其任何组合。仅仅为了说明问题，在本说明书中计算设备600中仅描述了一个处理器620。然而，应当注意，本说明书中计算设备600还可以包括多个处理器，因此，本说明书中披露的操作和/或方法步骤可以如本说明书所述的由一个处理器执行，也可以由多个处理器联合执行。例如，如果在本说明书中计算设备600的处理器620执行步骤a和步骤b，则应该理解，步骤a和步骤b也可以由两个不同处理器620联合或分开执行(例如，第一处理器执行步骤a，第二处理器执行步骤b，或者第一和第二处理器共同执行步骤a和b)。
52.图3示出了根据本说明书的实施例提供的一种对抗攻击的检测方法p100的流程图。如前，计算设备600可以执行本说明书的对抗攻击的检测方法p100。具体地，处理器620可以读取存储在其本地存储介质中的指令集，然后根据指令集的规定，执行本说明书的对抗攻击的检测方法p100。如图3所示，方法p100可以包括：
53.s110：获取用户的原始图像。
54.原始图像中包括用户的生物特征。这里的用户为待进行对抗攻击检测的用户。生
物特征为人体固有的生理特性，其可以包括人脸、虹膜、巩膜、指纹、掌纹、声纹、骨骼投影中的至少一种，也可以包括其他能够进行人脸识别的人体固有的生理特性。为了方便描述，本说明书中将以生物特征为人脸为例进行描述。本领域技术人员应当明白，生物特征为其他特征也在本说明书的保护范围内。
55.原始图像可以是通过图像采集模组采集得到的包括用户的全部身体部位或部分身体部位的图像。原始图像中可以包含用户的生物特征，即对抗攻击的检测对象。在一些实施例中，原始图像可以是图像采集模组采集得到的图像，也可以是对图像采集模组采集得到的图像进行裁剪后得到的图像。当触发用户的生物识别时，处理器620可以控制图像采集模组直接采集用户的生物特征的初始图像，也可以接收用户100通过本地设备200或者终端设备上传的用户的初始图像，或者，还可以基于接收到的携带有用户的生物特征的初始图像的存储地址的对抗攻击检测请求，从存储地址处获取初始图像。之后，处理器620对初始图像进行预处理，得到原始图像。预处理器可以是人脸检测，比如，对初始图像进行人脸检测，获取初始图像中的人脸区域(rgb图像、nir图像和depth图像中的人脸区域)。
56.s120：基于原始图像构建至少一个维度的图模型。
57.其中，图模型可以包括生物特征不同区域之间的关联关系。本说明书通过构建至少一个维度的图模型，以表达用户的生物特征不同区域之间的关联关系。在一些实施例中，生物特征的不同区域具有不同的结构特征。以人脸为例，人脸的五官、面部等不同区域所具有的结构特征也是不同的。在一些实施例中，生物特征的不同区域之间可能存在一些关联关系。所述关联关系可以是任意形式的可以构建联系的关系。以人脸为例，左眼和右眼可能存在关联关系，比如位置关系、尺寸关系，再比如相似度关系，等等。在一些实施例中，存在关联关系的区域之间可能相互影响。方法p100可以基于这种关联关系进行对抗攻击的检测，以提高检测性能。具体地，方法p100可以建立至少一个维度下的图模型，以构建不同区域之间的关联关系。所述至少一个维度可以是不同的关联关系的维度，比如，位置维度、相似度维度、显著度维度，等等。
58.图4示出了构建至少一个维度的图模型的方法流程图。图4对应步骤s120。如图4所示，步骤s120可以包括：
59.s122：将原始图像输入至特征提取模型，得到生物特征对应的多个原始区域特征。
60.这里的特征提取模型被配置为对原始图像中的生物特征进行特征提取。特征提取模型在接收到输入的原始图像后，便可以对原始图像中的生物特征对应的多个图像区域进
61.行特征提取，从而得到生物特征对应的多个原始区域特征。比如，对人脸进行特征提取，0可以得到14*14*256维的特征，其代表用户的全脸14*14＝196个区域的原始区域特征，
62.每个区域的原始区域特征的长度为256维。
63.在应用特征提取模型进行特征提取之前，需要训练得到特征提取模型。特征提取模型是以第一图像样本作为训练样本，以第一图像样本对应的标注身份类别作为训练样本
64.对应的标签，并以身份类别的分类损失作为损失函数训练得到的。具体的，特征提取模5型可以采用如下方法步骤训练得到：比如，获取训练对象的生物特征的第一图像样本后，
65.将第一图像样本输入至预设特征提取网络，得到第一图像样本对应的多个特征图
谱及对应的第一损失信息，以及基于第一损失信息对预设特征提取网络进行收敛，直至训练结束，得到特征提取模型。
66.在特征提取模型的训练过程中，第一图像样本对应有标注身份类别，标注身份类别0为预先标注的表征训练对象的身份类别的信息。基于人脸比对任务对预设特征提取网络
67.进行训练，可以得到特征提取模型。举例来说，用于训练特征提取模型的训练数据集中包括一万张人脸图像，该一万张人脸图像对应一万个用户，该一万张人脸图像的标注身份类别就可以表征该一万个用户的身份信息。比如，将该一万个用户编号为1至1万，
68.并且使用编号标识每个用户的身份类别。在将第一图像样本输入至预设特征提取网络，5以使预设特征提取网络对第一图像样本的多个图像区域进行特征提取，从而得到多个图
69.像区域对应的多个特征图谱和该训练对象的训练身份类别，并基于训练身份类别与标注身份类别之间的差异，确定第一损失信息，以及基于第一损失信息进行反向传播，以调整预设特征提取网络的网络参数，并继续训练，直至第一损失信息最小化或者达到预设的训练次数，训练结束，从而得到特征提取模型。
70.预设特征提取网络可以是resnet101等用于进行特征提取的网络结构。预设特征提取网络包括全局平均池化(global average pooling)层和softmax层，全局平均池化层被配置为将特征提取层的特征图进行整张图的均值池化，形成一个特征点，并将这些特征点组成最后的特征向量，然后输出至softmax中进行分类。举例来说，假如特征提取层输出的是10个6*6的特征图，则全局平均池化层是将10个特征图中每一张特征图计算所有像素点的均值，输出一个数据值，这样10个特征图就会输出10个数据值，将这些数据值组成一个1*10的向量，就会得到一个特征向量，之后就可以送入到softmax层进行分类计算，从而得到第一图像样本中训练对象的训练身份类别。
71.应注意，在训练过程中由于需要训练身份类别作为监督信号，因此，需要softmax层进行分类计算，而在推理应用过程中，并不需要使用分类功能，因此，在推理应用过程中，可以取全局平均池化层之前的网络层输出的特征图谱作为多个原始区域特征。以人脸图像为例，全局平均池化层之前的网络层输出的为14*14*256维特征，表示了人全脸196个区域的原始区域特征，每个原始区域特征的长度为256维。
72.在训练得到特征提取模型之后，便可以基于特征提取模型对原始图像进行多个图像区域的特征提取，得到原始图像中的多个原始区域特征。
73.s124：在至少一个维度中的每个维度下，对多个原始区域特征中存在关联关系的至少部分区域特征建立连接，得到对应的图模型。
74.在得到多个原始区域特征之后，便可以基于预先选取的至少一个维度，在每个维度下，建立多个原始区域特征中具有关联关系的部分或全部区域特征的连接关系，从而得到该维度下对应的图模型。也就是说，每个维度的图模型是将多个原始区域特征中，存在关联关系的区域特征连接起来，用于表达原始图像。所述连接关系可以是将存在关联关系的区域特征通过连线两两建立连接。在对抗攻击检测过程中，不仅可以对生物特征的原始区域特征进行检测，也可以通过原始区域特征之间的关联关系进行检测。同一个生物特征中不同区域之间的关联关系可以互相影响，当其中部分原始区域特征被施加了对抗攻击，而
与其关联的原始区域特征没有施加对抗攻击时，他们之间的关联关系可能发生变化。因此，处理器620可以通过检测与其存在关联关系的原始区域特征之间的关联关系来进行对抗攻击检测，从而丰富检测信息，提升检测准确度。在一些实施例中，选取的至少一个维度包括邻域维度、关键点维度和显著性维度中的至少一个。至少一个维度的图模型包括邻域图模型、关键点图模型和显著性区域图模型中的至少一个。在邻域维度下，基于多个原始区域特征构建邻域图。在关键点维度下，基于多个原始区域特征构建关键点图。在显著性维度下，基于多个原始特征区域构建显著性区域图。邻域图、关键点图和显著性区域图中的至少一个即为至少一个维度的图模型。具体来说，至少一个维度的图模型可以包括如下七种情况中的任一种：(1)邻域图模型；(2)关键点图模型；(3)显著性区域图模型；(4)邻域图模型和关键点图模型；(5)邻域图模型和显著性区域图模型；(6)关键点图模型和显著性区域图模型；(7)邻域图模型、关键点图模型和显著性区域图模型。
75.下面将分别介绍上述三种图模型的构建过程：
76.(1)邻域图模型。领域图模型的构建，可以以多个原始区域特征中每个原始区域特征作为目标邻域节点，并将相邻的原始区域特征与该目标邻域节点进行连接。相邻的原始区域特征可以是位于目标邻域节点的上、下、左、右四个方位上的原始区域特征，还可以是位于该目标邻域节点的上、下、左、右、左上角、右上角、左下角和右下角八个方位上的原始区域特征。当然，也可以是其他方位或者其他数量的原始区域特征，本说明书对此不作限制。通常来说，相邻的原始区域特征由于位置更近，因此关联更密切，比如相似度较高。比如相邻的区域可能同属于同一个结构，比如同属于眼睛，同属于嘴巴，同属于鼻子，等等，因此其相似度更高。邻域图的目的在于将原始区域特征中位置较近的原始区域特征建立连接关系，以此将相似度较高的原始区域特征建立连接关系。
77.(2)关键点图模型。关键点图模型的构建，可以以多个原始区域特征中表征生物特征关键点的原始区域特征作为目标关键节点，并将相似度大于预设的相似度阈值的目标关键节点进行连接，从而在相似度较高的原始特征区域直接建立关联关系。以人脸图像为例，表征生物特征关键点的原始区域特征可以为眼睛、鼻子、嘴巴、眉毛等区域的特征。关键点图模型旨在将相似度较高的关键点连接，比如，两个原始区域特征均属于眼睛，而眼睛与眼睛之间的相似度较高，因此，关键点图模型旨在将眼睛、鼻子、嘴巴和眉毛等关键点所在的区域对应的原始区域特征建立连接，以表征人脸图像的特征。
78.(3)显著性区域图模型。
79.在构建显著性区域图模型之前，需要确定多个原始区域特征对应的多个显著性，每个原始区域特征对应的显著性表征对该原始区域特征的关注度的大小，比如对眼睛的关注度、对鼻子的关注度，等等。之后，确定多个原始区域特征中，显著性大于预设的显著性阈值的原始区域特征作为显著性节点，以及将显著性节点两两建立连接，从而在显著性更高的原始区域特征之间建立关联关系。
80.这里，可以采用gradcam计算多个原始区域特征中每个原始区域特征对应的响应度，比如，采用gradcam针对多个原始区域特征生成响应度图，该响应度图中包括每个原始区域特征对应的响应度，该响应度即为显著性，之后，将响应度大于响应度阈值的原始区域特征进行两两连接，便可以得到显著性区域图模型。
81.在一些实施例中，所述至少一个维度还可以包括其他维度，比如，行图模型、列图
模型等其他的图模型。比如，针对每个原始区域特征，在设定的搜索范围内寻找k个相似块，并延展成列向量，构造一个相似块组g，并对于相似块组g，将其每一个列向量作为一个节点，构造基于向量的列图模型；同时，将其每一个行向量理解为一个节点，构造基于向量的行图模型。
82.如图4所示，步骤s120还可以包括：
83.s126：将至少一个维度的图模型中相同的原始区域特征进行跨维度连接。
84.在得到至少一个维度的图模型之后，还可以将至少一个维度的图模型中相同的原始区域特征进行跨维度连接。比如，至少一个维度的图模型同时包括上述三种图模型，则是将上述三种图模型中相同的原始区域特征进行连接，从而使得三种图模型之间具有关联关系，形成一个大的跨维度的图模型。步骤s126可以将至少一个维度的图模型连接起来，从而将不同维度的图模型连接起来，使得至少一个维度的图模型中，不仅包括不同维度下的关联关系，还包括不同维度间的关联关系。也就是说，步骤s126使得至少一个维度的图模型不仅包含维度内的关联关系，还包括维度间的关联关系，从而丰富了对抗攻击检测的输入信息，以提升对抗攻击检测的准确性。
85.s130：将至少一个维度的图模型输入至图神经网络模型，确定生物特征的关联区域特征。
86.图神经网络模型被配置为对至少一个维度的图模型样本中各个原始区域特征之间的关系进行提取。预设图神经网络的网络结构与跨维度连接的至少一个维度的图模型的结构相同。至少一个维度的图模型中节点(原始区域特征)与节点(原始区域特征)之间的传递函数为transformer block(即attention模块)，用于进行节点之间的原始区域特征的信息传递，预设图神经网络的输入为至少一个维度的图模型，输出为经过信息传递后的新的区域特征，即关联区域特征。关联区域特征是对原始区域特征的新的特征表达。关联区域特征不仅包括原始区域特征，还包括与原始区域特征存在关联关系的其他区域特征对原始区域特征的影响，从而可以得到一个新的融合的区域特征。
87.将至少一个维度的图模型样本输入至图神经网络模型之后，图神经网络模型对至少一个维度的图模型样本中各个原始区域特征之间的关系进行学习，得到各个原始区域特征之间的关系特征。也可以理解为原始区域特征在通过预设图神经网络之后，得到新的特征表达方式。
88.在应用图神经网络模型之前，需要训练得到图神经网络模型。在构建好至少一个维度的图模型之后，便可以基于该至少一个维度的图模型对预设图神经网络进行训练，得到图神经网络模型。图神经网络模型是将第二图像样本作为训练样本，将对抗攻击分类结果作为训练样本对应的标签，以对抗攻击分类损失作为损失函数训练得到的。图神经网络模型采用如下方法步骤训练得到：获取训练对象的生物特征的第二图像样本后，将第二图像样本输入至特征提取模型，得到第二图像样本对应的多个原始区域特征样本，基于多个原始区域特征样本，构建第二图像样本对应的至少一个维度的图模型样本，将至少一个维度的图模型样本输入至预设图神经网络，得到生物特征的关联区域特征样本以及对应的第二损失信息，基于第二损失信息对预设图神经网络进行收敛，直至训练结束，得到图神经网络模型。
89.在图神经网络模型的训练过程中，是利用特征提取模型对第二图像样本中多个图
像区域进行特征提取，得到多个原始区域特征样本。并基于多个原始区域特征样本构建至少一个维度的图模型样本，比如邻域图模型样本、关键点图模型样本和显著性区域图模型样本中至少一个。具体来说，至少一个维度的图模型样本可以包括如下七种情况中的任一种：1)邻域图模型样本；2)关键点图模型样本；3)显著性区域图模型样本；4)邻域图模型样本和关键点图模型样本；5)邻域图模型样本和显著性区域图模型样本；6)邻域图模型样本和显著性区域图模型样本；7)邻域图模型样本、关键点图模型样本和显著性区域图模型样本。
90.在预设图神经网络的训练过程中，是对跨维度连接的至少一个维度的图模型中各个原始区域特征之间的关系进行学习，即每个原始区域特征是如何被周围其他原始区域特征影响的。举例来说，节点a所输入的原始区域特征a在经过一次信息传递至其他节点b时，节点b对于原始区域特征a的表达可能变成了0.9*a+0.1*b，其中，b为节点a周围的其他原始区域特征。经过预设神经网络中各个节点之间的信息传递，最后一个节点的输出即为原始区域特征a的最终表达形式，其为原始区域特征a的新的区域特征a’。
91.预设图神经网络根据多个原始区域特征样本进行信息传递，得到多个原始区域特征对应的多个新的区域特征样本，并将多个新的区域特征输入至共享分类器进行对抗攻击分类，得到多个训练对抗攻击类别，训练对抗攻击类别可以为是否为对抗攻击对象的分类结果，也可以是输出属于对抗攻击对象的概率，还可以是其他的表征对抗攻击分类结果的形式。在得到多个训练对抗攻击类别之后，便可以基于多个训练对抗攻击类别与标注对抗攻击类别之间的差异，确定多个对抗攻击分类损失信息，之后，再基于多个对抗攻击分类损失信息的加权和，得到第二损失信息，并基于第二损失信息对预设图神经网络进行反向传播，更新预设图神经网络的网络参数，并继续进行训练，直至第二损失信息最小化或者训练次数达到预设训练次数，训练结束，得到图神经网络模型。在得到图神经网络模型之后，便可以利用图神经网络模型基于至少一个维度的图模型进行新的特征提取，得到关联区域特征。关联区域特征可以理解为是多个原始区域特征经过信息传递后得到的新的区域特征进行串联得到的串联特征。关联区域特征中包括原始区域特征与其他的原始区域特征之间的关系和图模型的连接关系。
92.s140：将关联区域特征输入至对抗攻击检测模型，得到用户的对抗攻击检测结果。
93.对抗攻击检测模型被配置为基于关联区域特征进行对抗攻击检测。对抗攻击检测模型的网络结构可以采用已有的一些用于对抗攻击检测的网络结构，比如，n层的多层感知机(multilayer perceptron，mlp)，n为大于1或等于1的整数。对抗攻击检测模型可以采用如下方法步骤训练得到：获取训练对象的生物特征的第三图像样本后，基于第三图像样本构建跨维度连接的至少一个维度的图模型样本，将第三图像样本对应的至少一个维度的图模型样本输入至图神经网络模型，得到第三图像样本对应的关联区域特征样本，并将第三图像样本对应的关联区域特征样本输入至预设对抗攻击检测网络，得到第三图像样本对应的训练对抗攻击分类及对应的第三损失信息，第三损失信息表征第三图像样本对应的训练对抗攻击类别与标注对抗攻击类别之间的差异，以及基于第三损失信息对预设对抗攻击检测网络进行收敛，直至训练结束，得到对抗攻击检测模型。
94.其中，基于第三图像样本构建跨维度连接的至少一个维度的图模型样本时，可以利用上述训练好的特征提取模型对第三图像样本的多个图像区域进行特征提取，得到第三
图像样本对应的多个原始区域特征样本，并基于第三图像样本对应的多个原始区域特征样本构建至少一个维度的图模型样本，比如，邻域图模型样本、关键点图模型样本和显著性区域图模型样本中的至少一个，从而得到第三图像样本对应的至少一个维度的图模型样本。再以第三图像样本对应的至少一个维度的图模型样本对预设对抗攻击检测网络作为训练样本，以第三图像样本对应的标注对抗类别作为标签，以对抗攻击分类损失作为损失函数，对预设对抗攻击检测网络进行迭代训练，直至第三损失信息最小化，或者达到预设的迭代训练次数，从而得到对抗攻击检测模型。
95.在得到对抗攻击检测模型之后，便可以利用对抗攻击检测模型对原始图像进行对抗攻击检测。对抗攻击检测模型会基于原始图像对应的关系区域特征进行对抗攻击检测，输出对应的对抗攻击概率，若对抗攻击概率大于阈值t，则判定为对抗攻击对象，若对抗攻击概率小于阈值t，则判定为活体。若对抗攻击概率等于t，则可以判定为对抗攻击对象，也可以判定为活体，本领域技术人员可以在实际应用中根据实际需求设定对抗攻击概率等于t时，是判定为对抗攻击对象还是判定为活体，本说明书对此不作限制。
96.关于第三图像样本对应的邻域图模型样本、关键点图模型样本和显著性区域图模型样本中的至少一个的构建方式具体可以参见前述内容的介绍，此处不再赘述。
97.本方案为了提高对抗攻击的检出能力，提出了基于层次图模型区域关系建模的对抗攻击检测的方案。如图5所示，该基于层次图模型区域关系建模的对抗攻击检测的方案主要包括四个部分：数据采集和预处理、特征提取和层次图构建、图神经网络(graph neural network，gnn)模型训练和对抗攻击检测，具体可以如下：
98.(1)数据采集和预处理：当用户开始进行人脸识别后，进行原始图像的采集和数据预处理。数据预处理可以是人脸检测，获取到人脸区域。
99.(2)特征提取和层次图构建：对人脸区域进行图像区域维度的特征提取，并根据提取的原始区域特征构建至少一个维度的图模型。
100.(3)gnn模型训练：基于构建的至少一个维度的图模型对gnn进行训练，得到新的区域特征。
101.(4)对抗攻击检测：基于包含至少一个维度的图信息的新区域特征，进行对抗攻击检测。
102.综上所述，本说明书提供的对抗攻击的检测方法p100和系统001，获取包括用户的生物特征的原始图像后，基于原始图像构建至少一个维度的图模型，图模型包括生物特征不同区域之间的关联关系，并将至少一个维度的图模型输入至图神经网络模型，确定生物特征的关联区域特征，以及将关联区域特征输入至对抗攻击检测模型，得到用户的对抗攻击检测结果。由于该方案中采用了至少一个维度的图模型，从不同的角度构建了图模型，构建了原始区域特征之间的关联关系，丰富了对抗攻击检测模型的输入信息，不仅能够从原始区域特征进行对抗攻击检测，还能从原始区域特征之间的关联关系进行对抗攻击检测，从而能够提升对抗攻击的性能和检测精度。
103.本说明书另一方面提供一种非暂时性存储介质，存储有至少一组用来进行对抗攻击的检测的可执行指令。当所述可执行指令被处理器执行时，所述可执行指令指导所述处理器实施本说明书所述的对抗攻击的检测方法p100的步骤。在一些可能的实施方式中，本说明书的各个方面还可以实现为一种程序产品的形式，其包括程序代码。当所述程序产品
在计算设备600上运行时，所述程序代码用于使计算设备600执行本说明书描述的对抗攻击的检测方法p100的步骤。用于实现上述方法的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)包括程序代码，并可以在计算设备600上运行。然而，本说明书的程序产品不限于此，在本说明书中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统使用或者与其结合使用。所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本说明书操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在计算设备900上执行、部分地在计算设备900上执行、作为一个独立的软件包执行、部分在计算设备900上部分在远程计算设备上执行、或者完全在远程计算设备上执行。
104.上述对本说明书特定实施例进行了描述。其他实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者是可能有利的。
105.综上所述，在阅读本详细公开内容之后，本领域技术人员可以明白，前述详细公开内容可以仅以示例的方式呈现，并且可以不是限制性的。尽管这里没有明确说明，本领域技术人员可以理解本说明书需求囊括对实施例的各种合理改变，改进和修改。这些改变，改进和修改旨在由本说明书提出，并且在本说明书的示例性实施例的精神和范围内。
106.此外，本说明书中的某些术语已被用于描述本说明书的实施例。例如，“一个实施例”，“实施例”和/或“一些实施例”意味着结合该实施例描述的特定特征，结构或特性可以包括在本说明书的至少一个实施例中。因此，可以强调并且应当理解，在本说明书的各个部分中对“实施例”或“一个实施例”或“替代实施例”的两个或更多个引用不一定都指代相同的实施例。此外，特定特征，结构或特性可以在本说明书的一个或多个实施例中适当地组合。
107.应当理解，在本说明书的实施例的前述描述中，为了帮助理解一个特征，出于简化本说明书的目的，本说明书将各种特征组合在单个实施例、附图或其描述中。然而，这并不是说这些特征的组合是必须的，本领域技术人员在阅读本说明书的时候完全有可能将其中
一部分设备标注出来作为单独的实施例来理解。也就是说，本说明书中的实施例也可以理解为多个次级实施例的整合。而每个次级实施例的内容在于少于单个前述公开实施例的所有特征的时候也是成立的。
108.本文引用的每个专利，专利申请，专利申请的出版物和其他材料，例如文章，书籍，说明书，出版物，文件，物品等，可以通过引用结合于此。用于所有目的全部内容，除了与其相关的任何起诉文件历史，可能与本文件不一致或相冲突的任何相同的，或者任何可能对权利要求的最宽范围具有限制性影响的任何相同的起诉文件历史。现在或以后与本文件相关联。举例来说，如果在与任何所包含的材料相关联的术语的描述、定义和/或使用与本文档相关的术语、描述、定义和/或之间存在任何不一致或冲突时，使用本文件中的术语为准。
109.最后，应理解，本文公开的申请的实施方案是对本说明书的实施方案的原理的说明。其他修改后的实施例也在本说明书的范围内。因此，本说明书披露的实施例仅仅作为示例而非限制。本领域技术人员可以根据本说明书中的实施例采取替代配置来实现本说明书中的申请。因此，本说明书的实施例不限于申请中被精确地描述过的实施例。

技术特征：
1.一种对抗攻击的检测方法，包括：获取用户的原始图像，所述原始图像中包括所述用户的生物特征；基于所述原始图像构建至少一个维度的图模型，所述图模型包括所述生物特征不同区域之间的关联关系；将至少一个维度的所述图模型输入至图神经网络模型，确定所述生物特征的关联区域特征；以及将所述关联区域特征输入至对抗攻击检测模型，得到所述用户的对抗攻击检测结果。2.根据权利要求1所述的方法，其中，所述基于所述原始图像构建至少一个维度的图模型，包括：将所述原始图像输入至特征提取模型，得到所述生物特征对应的多个原始区域特征；在所述至少一个维度中的每个维度下，对所述多个原始区域特征中存在关联关系的至少部分区域特征建立连接，得到对应的所述图模型；以及将所述至少一个维度的图模型中相同的原始区域特征进行跨维度连接。3.根据权利要求2所述的方法，其中，所述至少一个维度的所述图模型包括邻域图模型、关键点图模型以及显著性区域图模型中的至少一个。4.根据权利要求3所述的方法，其中，所述邻域图模型采用如下方法步骤确定：以所述多个原始区域特征中每个原始区域特征作为目标邻域节点，并将相邻的原始区域特征与所述目标邻域节点进行连接。5.根据权利要求3所述的方法，其中，所述关键点图模型采用如下方法步骤确定：以所述多个原始区域特征中表征生物特征关键点的原始区域特征作为目标关键节点，并将相似度大于预设的相似度阈值的所述目标关键节点进行连接。6.根据权利要求3所述的方法，其中，所述显著性区域图模型采用如下方法步骤确定：确定所述多个原始区域特征对应的多个显著性，所述显著性表征对所述原始区域特征的关注度的大小；确定所述多个原始区域特征中，显著性大于预设的显著性阈值的原始区域特征作为显著性节点；以及将所述显著性节点两两建立连接。7.根据权利要求2所述的方法，其中，所述特征提取模型采用如下方法步骤训练得到：获取训练对象的生物特征的第一图像样本；采用预设特征提取网络对所述第一图像样本对应的多个图像区域进行特征提取，得到所述多个图像区域对应的多个特征图谱及对应的第一损失信息，所述第一损失信息表征所述第一图像样本对应的训练对象的训练身份类别与标注身份类别之间的差异；以及基于所述第一损失信息对所述预设特征提取网络进行收敛，直至训练结束，得到所述特征提取模型。8.根据权利要求2所述的方法，其中，所述图神经网络模型采用如下方法步骤训练得到：获取训练对象的生物特征的第二图像样本；将所述第二图像样本输入至所述特征提取模型，得到所述第二图像样本对应的多个原始区域特征样本；
基于所述多个原始区域特征样本，构建所述第二图像样本对应的所述至少一个维度的图模型样本；将所述至少一个维度的图模型样本输入至预设图神经网络，得到所述生物特征的关联区域特征样本以及对应的第二损失信息；基于所述第二损失信息对所述预设图神经网络进行收敛，直至训练结束，得到所述图神经网络模型。9.根据权利要求8所述的方法，其中，所述预设图神经网络的网络结构与跨层次连接的至少一个维度的图模型的结构相同，所述第二损失信息采用如下方法步骤得到：基于所述预设图神经网络根据所述多个原始区域特征样本输出的多个新的区域特征样本进行对抗攻击分类，得到所述第二图像样本对应的多个训练对抗攻击类别；基于所述第二图像样本对应的标注对抗攻击类别与所述多个训练对抗攻击类别之间的差异，确定多个对抗攻击分类损失信息；以及基于所述多个对抗攻击分类损失信息的加权和，得到所述第二损失信息。10.根据权利要求1所述的方法，其中，所述对抗攻击检测模型采用如下方法步骤训练得到：获取训练对象的生物特征的第三图像样本；基于所述第三图像样本构建跨维度连接的所述至少一个维度的图模型样本；将所述第三图像样本对应的所述至少一个维度的图模型样本输入至所述图神经网络模型，得到所述第三图像样本对应的关联区域特征样本；将所述第三图像样本对应的关联区域特征样本输入至预设对抗攻击检测网络，得到所述第三图像样本对应的训练对抗攻击分类及对应的第三损失信息，所述第三损失信息表征所述第三图像样本对应的训练对抗攻击类别与标注对抗攻击类别之间的差异；以及基于所述第三损失信息对所述预设对抗攻击检测网络进行收敛，直至训练结束，得到所述对抗攻击检测模型。11.一种对抗攻击的检测系统，包括：至少一个存储介质，存储有至少一个指令集，用于进行对抗攻击的检测；以及至少一个处理器，同所述至少一个存储介质通信连接，其中，当所述对抗攻击检测的系统运行时，所述至少一个处理器读取所述至少一个指令集，并且根据所述至少一个指令集的指示执行权利要求1-10任一项所述的方法。

技术总结
本说明书提供一种对抗攻击的检测方法及系统，获取用户的原始图像后，基于原始图像构建至少一个维度的图模型，并将至少一个维度的图模型输入至图神经网络模型，确定生物特征的关联区域特征，以及将关联区域特征输入至对抗攻击检测模型，得到用户的对抗攻击检测结果。所述方法和系统利用至少一个维度的图模型来建立不同区域特征之间的关联关系，不仅能从原始区域特征的维度进行对抗攻击检测，还能从不同原始区域特征之间的关联关系的维度进行对抗攻击检测，从而丰富对抗攻击检测的输入信息，提高对抗攻击的检测精度。提高对抗攻击的检测精度。提高对抗攻击的检测精度。


技术研发人员：曹佳炯 丁菁汀
受保护的技术使用者：支付宝（杭州）信息技术有限公司
技术研发日：2022.12.30
技术公布日：2023/7/19