(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111664367.X (22)申请日 2021.12.31 (71)申请人 北京瑞莱智慧科技有限公司 地址 100084 北京市海淀区清华科技园科 技大厦A座19层 (72)发明人 不公告发明人 　 (74)专利代理 机构 北京开阳星知识产权代理有 限公司 1 1710 代理人 王艳斌 (51)Int.Cl. G06V 40/16(2022.01) G06V 10/22(2022.01) G06V 10/74(2022.01) G06V 10/774(2022.01) G06K 9/62(2022.01) (54)发明名称 物理世界对抗样本生成方法、 装置、 电子设 备及存储介质 (57)摘要 本申请涉及一种物理世界对抗样本生成方 法、 装置、 电子设备及存储介质， 应用于人工智能 技术领域， 所述方法包括： 获取目标扰动图像， 目 标扰动图像为投影到全息膜上的基于对抗攻击 算法生成的图像， 以及获取目标图像， 目标图像 包含目标扰动图像和第一用户的第一人脸图像， 并将目标图像确定为目标对抗样 本。 本申请可以 实现通过全息成像的方式将电子设备中显示的 数字世界的对抗扰动图像转换至真实的物理世 界中， 无需将对抗扰动图像打印出来， 从而避免 了打印过程中引入的未知损失， 有利于提高物理 世界对抗样 本的攻击成功率， 并能够在物理世界 中实现全局扰动攻击 。 权利要求书2页 说明书12页 附图8页 CN 114005168 A 2022.02.01 CN 114005168 A 1.一种物理世界对抗样本生成方法， 其特 征在于， 应用于电子设备， 所述方法包括： 获取目标扰动图像， 所述目标扰动图像为投影到全息膜上的基于对抗攻击算法生成的 图像； 获取目标图像， 所述目标图像包 含所述目标扰动图像和第一用户的第一人脸图像； 将所述目标图像确定为目标对抗样本 。 2.根据权利要求1所述的物理世界对抗样本生成方法， 其特征在于， 所述目标扰动图像 的透明度为预设值。 3.根据权利要求2所述的物理世界对抗样本生成方法， 其特征在于， 所述获取目标图 像， 包括： 获取多个候选对抗样本； 分别获取 各所述候选对抗样本与第二用户的第二人脸图像的相似度； 确定所述目标对抗样本， 所述目标对抗样本为相似度高于预设阈值的候选对抗样本中 的任意候选对抗样本 。 4.根据权利要求3所述的物理世界对抗样本生成方法， 其特征在于， 每个所述候选对抗 样本的图像属性满足以下项中的至少一项预设条件： 包含的对抗扰动的透明度不同； 对抗扰动的尺寸 不同； 对抗扰动的亮度不同； 或者， 对抗扰动的对比度不同。 5.根据权利要求4所述的物理世界对抗样本生成方法， 其特征在于， 所述获取目标扰动 图像， 包括： 获取候选扰动图像， 各所述候选扰动图像的图像属性满足至少一项所述预设条件， 且 各所述候选扰动图像在至少一项图像属 性上的图像属 性参数值高于对应的预设图像属 性 值； 根据所述 候选扰动图像和所述第一人脸图像得到候选对抗样本； 当所述候选对抗样本与所述第 二人脸图像的相似度不小于所述预设阈值 时， 则确定相 似度不小于所述预设阈值的候选对抗样本所对应的候选扰动图像为所述目标扰动图像。 6.根据权利要求1 ‑5任一项所述的物理世界对抗样本生成方法， 其特征在于， 在所述将 所述目标图像确定为目标对抗样本之后， 所述方法还 包括： 显示所述目标对抗样本， 所述目标对抗样本用于测试目标人脸识别装置的人脸识别漏 洞。 7.一种物理世界对抗样本生成装置， 其特 征在于， 应用于电子设备， 所述装置包括： 获取模块， 用于获取目标扰动图像， 所述目标扰动图像为投影到全息膜上的基于对抗 攻击算法生成的图像； 以及 获取目标图像， 所述目标图像包 含所述目标扰动图像和第一用户的第一人脸图像； 处理模块， 用于将所述目标图像确定为目标对抗样本 。 8.根据权利要求7所述的物理世界对抗样本生成装置， 其特征在于， 所述目标扰动图像 的透明度为预设值。 9.一种电子设备， 其特征在于， 包括： 处理器， 所述处理器用于执行存储于存储器的计权　利　要　求　书 1/2 页 2 CN 114005168 A 2算机程序， 所述计算机程序被处理器执行时实现如权利要求1 ‑6任一项所述的物理世界对 抗样本生成方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求1 ‑6任一项所述的物理世界对抗样本生成方法的步骤。权　利　要　求　书 2/2 页 3 CN 114005168 A 3