对抗样本的确定方法、装置及计算机可读存储介质与流程

1.本技术涉及人工智能领域及信息安全领域，具体而言，涉及一种对抗样本的确定方法、装置及计算机可读存储介质。


背景技术：

2.在人脸识别领域中，对抗样本为一种具有对抗扰动噪声，以使得人脸识别模型做出错误分类的图像样本。为了识别出对抗样本，现有技术通常采用对人脸识别模型进行改造的方式，首先通过正常的人脸图像构造训练使用的对抗样本，然后基于构造的对抗样本和正常的人脸图像不断地对人脸识别模型进行改造优化，以期待得到鲁棒性更高的人脸识别模型。
3.但是，这种方式需要准备大量的正常人脸图像以及构造大量的对抗样本，从而导致前期准备工作的工作量较大，浪费了大量的人力物力，并且在对抗样本不够全面时，也无法保证人脸识别模型能够识别出对抗样本。
4.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本技术实施例提供了一种对抗样本的确定方法、装置及计算机可读存储介质，以至少解决现有技术中对抗样本确定效率低的技术问题。
6.根据本技术实施例的一个方面，提供了一种对抗样本的确定方法，包括：获取终端设备发送的人脸图像；将人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第一特征向量；过滤人脸图像中的图像干扰信号，得到目标人脸图像，并将目标人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第二特征向量；计算第一特征向量与第二特征向量之间的余弦相似度；在余弦相似度小于预设阈值时，确定人脸图像为对抗样本，其中，对抗样本为具有对抗扰动噪声的图像，对抗扰动噪声为使人脸识别模型产生错误分类的图像干扰信号。
7.进一步地，对抗样本的确定方法还包括：在余弦相似度大于或等于预设阈值时，确定人脸图像为正常样本，其中，正常样本为不具有对抗扰动噪声的图像。
8.进一步地，对抗样本的确定方法还包括：过滤人脸图像中的目标图像噪声，得到目标人脸图像，其中，目标图像噪声中至少包括对抗扰动噪声。
9.进一步地，对抗样本的确定方法还包括：在确定人脸图像为对抗样本之后，获取终端设备的设备信息，其中，设备信息至少包括终端设备的设备标识；将设备信息记录在预设设备清单中，其中，预设设备清单中所记录的设备信息为异常设备的设备信息。
10.进一步地，对抗样本的确定方法还包括：在将设备信息记录在预设设备清单中之后，接收终端设备在预设时间段内发送的多个人脸图像，其中，预设时间段为位于当前时间之后的时间段；检测多个人脸图像是否全部为正常样本；在多个人脸图像全部为正常样本时，在预设设备清单中删除设备信息。
11.进一步地，对抗样本的确定方法还包括：在确定人脸图像为对抗样本之后，基于人脸图像构建训练负样本；基于目标人脸图像构建训练正样本；根据训练负样本和训练正样本对人脸识别模型进行训练，得到更新后的人脸识别模型。
12.进一步地，对抗样本的确定方法还包括：在确定人脸图像为对抗样本之后，根据人脸图像生成提示信息，其中，提示信息用于提示用户人脸图像为异常图像；将提示信息发送至终端设备中。
13.根据本技术实施例的另一方面，还提供了一种对抗样本的确定装置，包括：获取模块，用于获取终端设备发送的人脸图像；输入模块，用于将人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第一特征向量；过滤模块，用于过滤人脸图像中的图像干扰信号，得到目标人脸图像，并将目标人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第二特征向量；计算模块，用于计算第一特征向量与第二特征向量之间的余弦相似度；确定模块，用于在余弦相似度小于预设阈值时，确定人脸图像为对抗样本，其中，对抗样本为具有对抗扰动噪声的图像，对抗扰动噪声为使人脸识别模型产生错误分类的图像干扰信号。
14.根据本技术实施例的另一方面，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的对抗样本的确定方法。
15.根据本技术实施例的另一方面，还提供了一种电子设备，包括一个或多个处理器和存储器，存储器用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现上述的对抗样本的确定方法。
16.在本技术中，采用通过计算第一特征向量与第二特征向量之间的余弦相似度的方式，首先获取终端设备发送的人脸图像，然后将人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第一特征向量，并且过滤人脸图像中的图像干扰信号，得到目标人脸图像，并将目标人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第二特征向量，最后计算第一特征向量与第二特征向量之间的余弦相似度，并在余弦相似度小于预设阈值时，确定人脸图像为对抗样本，其中，对抗样本为具有对抗扰动噪声的图像，对抗扰动噪声为使人脸识别模型产生错误分类的图像干扰信号。
17.由上述内容可知，本技术一方面将人脸图像直接输入至人脸识别模型中，得到第一特征向量，另一方面对人脸图像进行图像干扰信号过滤之后再输入人脸识别模型中得到第二特征向量，由于对抗样本是在正常的图像上添加了对抗扰动噪声得到的图像，因此，如果一个人脸图像为对抗样本，在过滤了图像干扰信号之后，该人脸图像中的对抗扰动噪声会被去除，从而人脸识别模型输出的第二特征向量与第一特征向量之间会存在较大区别，即余弦相似度较低，也就是说会小于预设阈值。如果一个人脸图像不是对抗样本，则过滤了图像干扰信号之后的图像与原图像之间的区别不大，即第一特征向量与第二特征向量之间的余弦相似度会较高，也就是说会大于或等于预设阈值。由此可见，本技术的技术方案不需要对人脸识别模型进行任何改造即可确定人脸图像是否为对抗样本，并且，由于本技术的技术方案还无需单独构造对抗样本训练人脸识别模型，因此可以节约大量的训练时间与样本准备时间，从而提高了对抗样本的确定效率。
18.综合上述分析可知，本技术的技术方案达到了在无需对人脸识别模型进行改造的
基础上确定对抗样本的目的，从而实现了降低人脸识别模型的训练成本的效果，进而解决了现有技术中对抗样本确定效率低的技术问题。
附图说明
19.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
20.图1是根据本技术实施例的一种可选的对抗样本的确定方法的流程图；
21.图2是根据本技术实施例的另一种可选的对抗样本的确定方法的流程图；
22.图3是根据本技术实施例的一种可选的在预设时间段内获取人脸图像的流程图；
23.图4是根据本技术实施例的对抗样本的确定装置的示意图；
24.图5是根据本技术实施例的一种电子设备的示意图。
具体实施方式
25.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
26.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
27.另外，还需要说明的是，本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。例如，本系统和相关用户或机构间设置有接口，在获取相关信息之前，需要通过接口向前述的用户或机构发送获取请求，并在接收到前述的用户或机构反馈的同意信息后，获取相关信息。
28.实施例1
29.根据本技术实施例，提供了一种对抗样本的确定方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
30.图1是根据本技术实施例的一种可选的对抗样本的确定方法的流程图，如图1所示，该方法包括如下步骤：
31.步骤s101，获取终端设备发送的人脸图像。
32.在步骤s101中，终端设备包括但不限于智能手机、智能平板、笔记本电脑、台式电
脑以及监控安防设备。终端设备中至少包括用于拍摄人脸图像的图像采集设备，例如，摄像头或者相机。
33.在一种可选的实施例中，终端设备上可运行有目标应用程序，目标应用程序可用于进行移动支付。其中，在移动支付过程中，用户可以开启人脸支付功能，从而在用户需要进行转账交易时，终端设备可通过图像采集设备采集用户的人脸图像，然后将人脸图像发送至目标应用程序所对应的服务端中，服务端在接收到人脸图像之后，根据本技术实施例中的对抗样本的确定方法对人脸图像进行检测，以便确定该人脸图像是否为对抗样本。
34.步骤s102，将人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第一特征向量。
35.在步骤s102中，服务端除了运行有目标应用程序的后台服务之外，还部署有预先训练好的人脸识别模型，其中，人脸识别模型为一种深度学习神经网络模型。
36.可选的，图2示出了根据本技术实施例的另一种对抗样本的确定方法的流程图。在接收到终端设备发送的人脸图像之后，服务端会做一个并行处理，第一个处理是直接将人脸图像直接输入至人脸识别模型中，得到人脸识别模型输出的第一特征向量embedding1，为了方便描述，可将第一特征向量记为e1。
37.步骤s103，过滤人脸图像中的图像干扰信号，得到目标人脸图像，并将目标人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第二特征向量。
38.如图2所示，服务端在进行并行处理的第二个处理时，首先会对人脸图像进行一次信号处理，该信号处理主要用于过滤人脸图像中的图像干扰信号。需要注意到的是，由于对抗样本是一种在正常的图像上添加了对抗扰动噪声，从而使得人脸识别模型产生错误分类的图像，而对抗扰动噪声本身又是一种图像干扰信号。因此，如果一个人脸图像为对抗样本，则在经过信号处理之后，该人脸图像上的对抗扰动噪声将会被过滤。
39.在对人脸图像完成上述的信号处理之后，服务端可得到目标人脸图像，随后，服务端将目标人脸图像输入至人脸识别模型中，并得到人脸识别模型输出的第二特征向量embedding2，为了方便描述，可将第二特征向量记为e2。
40.步骤s104，计算第一特征向量与第二特征向量之间的余弦相似度。
41.在步骤s104中，第一特征向量与第二特征向量越相似，则两者之间的余弦相似度越高。容易注意到的是，如果一个人脸图像为对抗样本，在经过信号处理之后，该人脸图像中的对抗扰动噪声会被去除，换言之，目标人脸图像与原来的人脸图像相比已经发生了较大的特征变化，因此，目标人脸图像所对应的第二特征向量与人脸图像所对应的第一特征向量之间会存在较大区别，即余弦相似度较低。
42.另外，如果一个人脸图像不是对抗样本，则信号处理之后的目标人脸图像与原来的人脸图像之间的特征变化很小，甚至不会出现特征变化，因此，此时所得到的第二特征向量与第一特征向量之间的余弦相似度会较高。
43.步骤s105，在余弦相似度小于预设阈值时，确定人脸图像为对抗样本，其中，对抗样本为具有对抗扰动噪声的图像，对抗扰动噪声为使人脸识别模型产生错误分类的图像干扰信号。
44.在步骤s105中，在余弦相似度大于或等于预设阈值时，确定人脸图像为正常样本，其中，正常样本为不具有对抗扰动噪声的图像。另外，预设阈值可自定义设置，需要注意到
的是，为了保证预设阈值准确性，可通过实验的方式确定预设阈值。为了方便描述，本技术中的预设阈值可用t表示。
45.如图2所示，如果cos_sin(e1，e2)＜t，则服务端将确定终端设备发送的人脸图像为对抗样本，如果cos_sin(e1，e2)≥t，则服务端将确定终端设备发送的人脸图像为正常样本。
46.基于上述步骤s101至步骤s105的内容可知，在本技术中，采用通过计算第一特征向量与第二特征向量之间的余弦相似度的方式，首先获取终端设备发送的人脸图像，然后将人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第一特征向量，并且过滤人脸图像中的图像干扰信号，得到目标人脸图像，并将目标人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第二特征向量，最后计算第一特征向量与第二特征向量之间的余弦相似度，并在余弦相似度小于预设阈值时，确定人脸图像为对抗样本，其中，对抗样本为具有对抗扰动噪声的图像，对抗扰动噪声为使人脸识别模型产生错误分类的图像干扰信号。
47.由上述内容可知，本技术一方面将人脸图像直接输入至人脸识别模型中，得到第一特征向量，另一方面对人脸图像进行图像干扰信号过滤之后再输入人脸识别模型中得到第二特征向量，由于对抗样本是在正常的图像上添加了对抗扰动噪声得到的图像，因此，如果一个人脸图像为对抗样本，在过滤了图像干扰信号之后，该人脸图像中的对抗扰动噪声会被去除，从而人脸识别模型输出的第二特征向量与第一特征向量之间会存在较大区别，即余弦相似度较低，也就是说会小于预设阈值。如果一个人脸图像不是对抗样本，则过滤了图像干扰信号之后的图像与原图像之间的区别不大，即第一特征向量与第二特征向量之间的余弦相似度会较高，也就是说会大于或等于预设阈值。由此可见，本技术的技术方案不需要对人脸识别模型进行任何改造即可确定人脸图像是否为对抗样本，并且，由于本技术的技术方案还无需单独构造对抗样本训练人脸识别模型，因此可以节约大量的训练时间与样本准备时间，从而提高了对抗样本的确定效率。
48.综合上述分析可知，本技术的技术方案达到了在无需对人脸识别模型进行改造的基础上确定对抗样本的目的，从而实现了降低人脸识别模型的训练成本的效果，进而解决了现有技术中对抗样本确定效率低的技术问题。
49.在一种可选的实施例中，为了得到目标人脸图像，服务端将过滤人脸图像中的目标图像噪声，得到目标人脸图像，其中，目标图像噪声中至少包括对抗扰动噪声。
50.具体的，服务端可使用目标滤波器过滤人脸图像中的目标图像噪声，其中，目标滤波器包括但不限于中值滤波器、高斯滤波器等滤波器。
51.在一种可选的实施例中，在确定人脸图像为对抗样本之后，服务端还将获取终端设备的设备信息，并将设备信息记录在预设设备清单中，其中，设备信息至少包括终端设备的设备标识，预设设备清单中所记录的设备信息为异常设备的设备信息。
52.需要注意到的是，通常特定人员在制作对抗样本时，会使用经过一定改造的特定设备进行制作，同时，出于设备成本的考虑，一般来说，特定设备的数量有限，因此，在确定某个终端设备所发送的人脸图像为对抗样本时，为了安全考虑，服务端会将该终端设备视为存在信息安全风险的异常设备，并通过调用终端设备上传的日志的方式，从日志中解析得到终端设备的设备信息，并将设备信息记录在预设设备清单中。其中，设备信息中至少包
括终端设备的设备标识，例如，设备型号、设备的ip地址、设备的mac地址等等。
53.此外，在服务端后续继续接收到终端设备所发送的人脸图像之后，如果服务端检测到终端设备的设备信息已经记录在预设设备清单中，则服务端直接确定该终端设备为异常设备，并且拒绝通过该终端设备所发送的人脸图像，从而在设备维度上保证用户的信息安全以及资金交易安全。
54.在一种可选的实施例中，在将设备信息记录在预设设备清单中之后，服务端还会接收终端设备在预设时间段内发送的多个人脸图像，其中，预设时间段为位于当前时间之后的时间段。然后，终端设备检测多个人脸图像是否全部为正常样本，并在多个人脸图像全部为正常样本时，在预设设备清单中删除设备信息。
55.可选的，对于一些特殊情况，例如，用户已经将存在信息安全风险的终端设备进行了修复，或者用户已经将终端设备中用于生成对抗样本的应用程序进行了删除，此时，为了能够使得用户的终端设备恢复正常使用。服务端可以定期地接收终端设备在预设时间内发送的多个人脸图像，并根据本技术实施例中的对抗样本的确定方法对多个人脸图像进行检测，如果多个人脸图像全部被确定为正常样本，则将终端设备的设备信息从预设设备清单中进行删除。
56.其中，多个人脸图像的获取方式至少包括两种，一种是从接收到用户通过终端设备所发送的申请信息开始获取多个人脸图像，其中，申请信息为用户用于请求将终端设备恢复正常使用的申请请求。例如，用户通过终端设备发送了申请信息，服务端接收到申请信息时的时间为t1，则服务端将从t1开始获取预设时间段内终端设备所发送的多个人脸图像，其中，预设时间段可自定义设置，例如，三天、一周、一个月等等。如果获取的多个人脸图像全部为正常样本，则服务端在预设设备清单中删除终端设备的设备信息，并向终端设备发送第一回复信息，其中，第一回复信息用于表征申请信息已经成功通过；如果多个人脸图像中存在至少一个对抗样本，则服务端继续在预设设备清单中保留终端设备的设备信息，并向终端设备发送第二回复信息，其中，第二回复信息用于表征申请信息未成功通过。
57.另一种获取方式如图3所示：
58.步骤一，服务端获取设备信息成功加入至预设设备清单时的时间，并将该时间确定为起始时间，然后从起始时间开始获取预设时间段内终端设备所发送的多个人脸图像，其中，预设时间段可自定义设置，例如，三天、一周、一个月等等。
59.步骤二，如果获取的多个人脸图像全部为正常样本，则服务端在预设设备清单中删除终端设备的设备信息，并跳转至步骤四；
60.步骤三，如果多个人脸图像中存在至少一个对抗样本，则服务端继续在预设设备清单中保留终端设备的设备信息，并且将步骤一中的起始时间更新为当前时间；
61.步骤四，服务端检测预设设备清单中是否仍保留有终端设备的设备信息，如果没有，则直接结束全部过程，如果有，则重复执行上述步骤一至步骤三。
62.在一种可选的实施例中，在确定人脸图像为对抗样本之后，服务端还会基于人脸图像构建训练负样本，并基于目标人脸图像构建训练正样本，最后根据训练负样本和训练正样本对人脸识别模型进行训练，得到更新后的人脸识别模型。
63.容易注意到的是，如果检测到终端设备发送的人脸图像为对抗样本，则服务端可直接利用该对抗样本作为优化人脸识别模型的训练负样本，与现有技术中需要技术人员自
己花费大量时间构造对抗样本相比，本技术获取对抗样本的方式更加直接，获取成本也更加低廉。此外，如果一个人脸图像为对抗样本，则服务端在过滤掉该人脸图像上的图像干扰信号之后，相当于将该人脸图像上的对抗干扰噪声进行了滤除，最后所得到的目标人脸图像恰好为人脸图像所对应的正常样本。在此基础上，服务端不仅可直接使用人脸图像构建训练负样本，还可以使用目标人脸图像构建训练正样本，最后根据训练负样本与训练正样本对人脸识别模型进行优化训练，提高人脸识别模型的鲁棒性。
64.在一种可选的实施例中，在确定人脸图像为对抗样本之后，服务端还会根据人脸图像生成提示信息，并将提示信息发送至终端设备中。其中，提示信息用于提示用户人脸图像为异常图像。
65.可选的，终端设备的使用用户可能并不知晓其终端设备已经成为了异常设备，例如，在用户使用终端设备浏览某个异常网址时，异常网址会自动向终端设备推送异常应用程序的安装包，并且利用虚假的软件描述信息欺骗用户安装异常应用程序，但是在终端设备成功安装异常应用程序之后，异常应用程序便会对终端设备所采集的人脸图像进行特定处理，使得人脸图像成为一种对抗样本。为了及时通知用户其所使用的终端设备已经存在资金交易安全风险，服务端在检测到终端设备发送的人脸图像为对抗样本之后，会根据人脸图像生成提示信息，并将提示信息发送至终端设备中，以便及时提示用户人脸图像为异常图像，进而提示用户所使用的终端设备可能已经存在资金交易安全风险。
66.实施例2
67.本技术实施例还提供了一种对抗样本的确定装置，需要说明的是，本技术实施例的对抗样本的确定装置可以用于执行本技术实施例1所提供的对抗样本的确定方法。以下对本技术实施例提供的对抗样本的确定装置进行介绍。
68.图4是根据本技术实施例的对抗样本的确定装置的示意图。如图4所示，该装置包括：获取模块401，用于获取终端设备发送的人脸图像；输入模块402，用于将人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第一特征向量；过滤模块403，用于过滤人脸图像中的图像干扰信号，得到目标人脸图像，并将目标人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第二特征向量；计算模块404，用于计算第一特征向量与第二特征向量之间的余弦相似度；确定模块405，用于在余弦相似度小于预设阈值时，确定人脸图像为对抗样本，其中，对抗样本为具有对抗扰动噪声的图像，对抗扰动噪声为使人脸识别模型产生错误分类的图像干扰信号。
69.可选的，对抗样本的确定装置还包括：第一确定模块，用于在余弦相似度大于或等于预设阈值时，确定人脸图像为正常样本，其中，正常样本为不具有对抗扰动噪声的图像。
70.可选的，上述过滤模块还包括：过滤单元，用于过滤人脸图像中的目标图像噪声，得到目标人脸图像，其中，目标图像噪声中至少包括对抗扰动噪声。
71.可选的，对抗样本的确定装置还包括：第一获取模块和记录模块。其中，第一获取模块，用于获取终端设备的设备信息，其中，设备信息至少包括终端设备的设备标识；记录模块，用于将设备信息记录在预设设备清单中，其中，预设设备清单中所记录的设备信息为异常设备的设备信息。
72.可选的，对抗样本的确定装置还包括：接收模块、检测模块以及删除模块。其中，接收模块，用于接收终端设备在预设时间段内发送的多个人脸图像，其中，预设时间段为位于
当前时间之后的时间段；检测模块，用于检测多个人脸图像是否全部为正常样本；删除模块，用于在多个人脸图像全部为正常样本时，在预设设备清单中删除设备信息。
73.可选的，对抗样本的确定装置还包括：第一构建模块、第二构建模块以及训练模块。其中，第一构建模块，用于基于人脸图像构建训练负样本；第二构建模块，用于基于目标人脸图像构建训练正样本；训练模块，用于根据训练负样本和训练正样本对人脸识别模型进行训练，得到更新后的人脸识别模型。
74.可选的，对抗样本的确定装置还包括：生成模块和发送模块。其中，生成模块，用于根据人脸图像生成提示信息，其中，提示信息用于提示用户人脸图像为异常图像；发送模块，用于将提示信息发送至终端设备中。
75.实施例3
76.根据本技术实施例的另一方面，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述实施例1中的对抗样本的确定方法。
77.实施例4
78.根据本技术实施例的另一方面，还提供了一种电子设备，该电子设备包括一个或多个处理器和存储器，存储器用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现上述实施例1中的对抗样本的确定方法。
79.如图5所示，本技术实施例提供了一种电子设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：
80.获取终端设备发送的人脸图像；将人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第一特征向量；过滤人脸图像中的图像干扰信号，得到目标人脸图像，并将目标人脸图像输入至人脸识别模型中，得到人脸识别模型输出的第二特征向量；计算第一特征向量与第二特征向量之间的余弦相似度；在余弦相似度小于预设阈值时，确定人脸图像为对抗样本，其中，对抗样本为具有对抗扰动噪声的图像，对抗扰动噪声为使人脸识别模型产生错误分类的图像干扰信号。
81.可选的，处理器执行程序时还实现以下步骤：在余弦相似度大于或等于预设阈值时，确定人脸图像为正常样本，其中，正常样本为不具有对抗扰动噪声的图像。
82.可选的，处理器执行程序时还实现以下步骤：过滤人脸图像中的目标图像噪声，得到目标人脸图像，其中，目标图像噪声中至少包括对抗扰动噪声。
83.可选的，处理器执行程序时还实现以下步骤：在确定人脸图像为对抗样本之后，获取终端设备的设备信息，其中，设备信息至少包括终端设备的设备标识；将设备信息记录在预设设备清单中，其中，预设设备清单中所记录的设备信息为异常设备的设备信息。
84.可选的，处理器执行程序时还实现以下步骤：在将设备信息记录在预设设备清单中之后，接收终端设备在预设时间段内发送的多个人脸图像，其中，预设时间段为位于当前时间之后的时间段；检测多个人脸图像是否全部为正常样本；在多个人脸图像全部为正常样本时，在预设设备清单中删除设备信息。
85.可选的，处理器执行程序时还实现以下步骤：在确定人脸图像为对抗样本之后，基于人脸图像构建训练负样本；基于目标人脸图像构建训练正样本；根据训练负样本和训练正样本对人脸识别模型进行训练，得到更新后的人脸识别模型。
86.可选的，处理器执行程序时还实现以下步骤：在确定人脸图像为对抗样本之后，根据人脸图像生成提示信息，其中，提示信息用于提示用户人脸图像为异常图像；将提示信息发送至终端设备中。
87.上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
88.在本技术的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
89.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
90.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
91.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
92.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
93.以上所述仅是本技术的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。