反人脸识别综述（更新中）

论文：Threat of Adversarial Attacks on Face Recognition: A Comprehensive Survey

面部识别（FR）模型易受到不同类型的攻击：

1、物理攻击，在图像被捕获前修改面部的物理外观，如presentation attacks（又称spoofing attacks）；
2、数字攻击，对捕获的面部图像实现修改，如对抗性攻击和变形攻击。

对抗性攻击（adversarial attacks）针对深度神经网络（DNNs），特别是卷积神经网络（CNNs），而最新的FR模型就是基于这些网络建立的。对抗性攻击包括对原始图像进行精细的修改/扰动，目的是使人厌几乎无法察觉到这些扰动的同时，愚弄特定的分类器。

针对FR模型的对抗性攻击主要分为五类：

（只列举19年和20年的工作）
1、面向CNN模型的（如DeepFace，DeepID，FaceNet）
17 进化攻击算法（2019）：基于一个简单有效的协方差矩阵自适应进化策略的进化攻击算法+建立建立搜索方向的局部几何模型加速算法
论文：Efficient decision-based black-box adversarial attacks on face recognition
28 DFANet（2020）：特征级攻击方法比标签级攻击方法更有效，更具有可转移性。为了提高特征及对抗性样本的可转移性，提出基于dropout的技术DFANet。
论文：Towards Transferable Adversarial Attack against Deep Face Recognition
29 AdvBox（2020）：基于python的工具箱，用于生成对抗性样本。
论文：Advbox: a toolbox to generate adversarial examples that fool neural networks

2、面向物理攻击的
31 GANs（2019）：攻击VGG-Face和OpenFace模型，数字和物理级。
论文：A general framework for adversarial examples with objectives
37 对抗性光投射（2020）：使用网络摄像机和投影仪，通过对抗性光投射引导对FR系统的实时物理攻击。
论文：Adversarial Light Projection Attacks on Face Recognition Systems: A Feasibility Study
38、40 LResNet100E-IR（2019）：AdvHat的易于复制的对抗性攻击生成方法。在帽子上贴一个长方形的贴纸。
论文：
AdvHat: Real-world adversarial attack on ArcFace Face ID system
On adversarial patches: real- world attack on ArcFace-100 face recognition system

3、面向面部属性的
49 基于GAN的SAN模型PrivacyNet（2020）：将选择性软生物特征隐私权赋予几个软生物特征属性，如性别、年龄和种族。为用户提供一个自定义哪些属性应该模糊化、哪些属性保持不变的条件。
论文：Semi-Adversarial Networks for Multi-attribute Face Privacy
59 将两个基于GAN的子网“化妆转移子网”和“对抗性攻击子网”组合模型（2019）：将没有化妆的面部图像转化为化妆的面部，并且在化妆效果中隐藏攻击信息。
论文：Generating adversarial examples by makeup attacks on face recognition
60 （2019）通过修改语义属性来（如有无眼镜、肤色、鼻子形状）生成对抗性样本，以二元性别分类器为目标模型，CelebA为数据集的白盒模型。
论文：Semantic adversarial attacks: Parametric transformations that fool deep classifiers

4、面向去识别的
68 P-FGVM（2019）：在图像空间域上运行，生成与原始图像相似的对抗性去识别人脸图像。在提督下降的更新方程中结合了对抗性损失和“现实”损失项，在保护人脸隐私的同时保持人脸图像的视觉质量。
论文：Adversarial Face De-Identification
70 “朋友安全”的面部对抗性样本（2019）：被敌方FR系统误识别，友方FR系统以最小失真度识别。
论文：Face Friend-Safe Adversarial Example on Face Recognition System

5、面向几何
72 FLM（2019）：一种快速landmark操纵方法制造对抗性面部，通过空间变换原始图像生成对抗性样本。
论文：Fast geometrically-perturbed adversarial faces
76 AdvFaces（2019）：利用GANs制作与目标人脸图像几乎没有区别的自然人脸图像，在突出的面部区域进行最小的扰动，包括一个生成器、一个鉴别器和一个面部匹配器，自动生成对抗性面具并将其添加到图像中，以获得对抗性面部图像。
论文：Advfaces: Adversarial face synthesis

对抗性攻击的防御策略分为三类：

1、在学习过程中改变训练或测试的输入，例如在训练数据中注入对抗性样本，或在整个测试过程中纳入更改过的输入。
2、改变网络，例如通过改变层数、子网数、损失函数、激活函数等。
3、外部网络补充主模型，以关联对看不见的样本进行分类。