人脸识别正在逐渐成为一种监视工具，对人们的隐私产生了巨大威胁。为此，本文提出一种基于生成对抗网络的语义对抗攻击（SGAN-AA），它可以修改图像的显著面部特征，通过使用余弦相似度或可能性评分来预测最显著属性，在白盒和黑盒环境中使用一个或多个面部特征来进行假冒和躲闪攻击。实验结果表明，该方法可以生成多样化、逼真的对抗人脸图像，同时避免影响人类对人脸识别的感知，SGAN-AA对黑盒模型的攻击成功率为80.5%，在假冒攻击下比常用方法高35.5个百分点。预测最显著属性会提升对抗攻击在白盒和黑盒环境中的成功率，并可以增强生成的对抗样本的可转移性。

• 单位
  中国电子科技集团公司第十五研究所