针对身份证文本识别的黑盒攻击算法研究

• Published in: 自动化学报 Vol. 50; no. 1; pp. 103 - 120
• Main Authors: 徐昌凯, 冯卫栋, 张淳杰, 郑晓龙, 张辉, 王飞跃
• Format: Journal Article
• Language: Chinese
• Published: 现代信息科学与网络技术北京市重点实验室 北京 100044%中国科学院自动化研究所多模态人工智能系统全国重点实验室 北京 100190 2024; 北京交通大学计算机与信息技术学院信息科学研究所 北京 100044; 中国科学院自动化研究所复杂系统管理与控制国家重点实验室 北京 100190; 中国科学院大学人工智能学院 北京 100049%北京航空航天大学交通科学与工程学院 北京 100191
• Subjects: Adversarial examples; physical world; 二值化掩码; black-box attack; ID card text recognition; 身份证文本识别; 物理世界; 对抗样本; 黑盒攻击; binarization mask
• ISSN: 0254-4156
• DOI: 10.16383/j.aas.c230344

身份证认证场景多采用文本识别模型对身份证图片的字段进行提取、识别和身份认证,存在很大的隐私泄露隐患.并且,当前基于文本识别模型的对抗攻击算法大多只考虑简单背景的数据(如印刷体)和白盒条件,很难在物理世界达到理想的攻击效果,不适用于复杂背景、数据及黑盒条件.为缓解上述问题,本文提出针对身份证文本识别模型的黑盒攻击算法,考虑较为复杂的图像背景、更严苛的黑盒条件以及物理世界的攻击效果.本算法在基于迁移的黑盒攻击算法的基础上引入二值化掩码和空间变换,在保证攻击成功率的前提下提升了对抗样本的视觉效果和物理世界中的鲁棒性.通过探索不同范数限制下基于迁移的黑盒攻击算法的性能上限和关键超参数的影响,本算法在百度身份证识别模型上实现了 100％的攻击成功率.身份证数据集后续将开源.