沈轶杰¹,李良澄¹,刘子威¹,刘天天¹,罗浩¹,沈汀³,林峰^1,2,任奎¹

¹（浙江大学网络空间安全研究中心 杭州 310027）；²（浙江省区块链与网络空间治理重点实验室(浙江大学) 杭州 310027）；³（浙江东安检测技术有限公司 杭州 310063) (shenyijie@zju.edu.cn)

出版日期: 2021-11-01


基金资助:国家重点研发计划项目(2020AAA0107700)；国家自然科学基金项目(62032021，61772236，61972348)；浙江省重点研发计划项目(2019C03133)；浙江省引进培育领军型创新创业团队项目(2018R01005)；阿里巴巴-浙江大学前沿技术联合研究中心项目；网络空间国际治理研究基地项目

Stealthy Attack Towards Speaker Recognition Based on One-“Audio Pixel” Perturbation

Shen Yijie¹, Li Liangcheng¹, Liu Ziwei¹, Liu Tiantian¹, Luo Hao¹, Shen Ting³, Lin Feng^1,2, Ren Kui¹

¹（Institute of Cyberspace Research, Zhejiang University, Hangzhou 310027);²(Key Laboratory of Blockchain and Cyberspace Governance of Zhejiang Province (Zhejiang University), Hangzhou 310027);³(Zhejiang Dong’an Testing Technology Co., Ltd., Hangzhou 310063)

Online: 2021-11-01


Supported by:This work was supported by the National Key Research and Development Program of China (2020AAA0107700), the National Natural Science Foundation of China(62032021, 61772236, 61972348), Zhejiang Key Research and Development Plan (2019C03133), the Leading Innovative and Entrepreneur Team Introduction Program of Zhejiang (2018R01005), the Fund of Alibaba-Zhejiang University Joint Institute of Frontier Technologies, and the Fund of Research Institute of Cyberspace Governance in Zhejiang University.

摘要/Abstract

摘要： 目前针对说话人识别的攻击需要对音频注入长时间的扰动，因此容易被机器或者管理人员发现.提出了一种新颖的基于单“音频像素”扰动的针对说话人识别的隐蔽攻击.该攻击利用了差分进化算法不依赖于模型的黑盒特性和不依赖梯度信息的搜索模式，克服了已有攻击中扰动时长无法被约束的问题，实现了使用单“音频像素”扰动的有效攻击.特别地，设计了一种基于音频段-音频点-扰动值多元组的候选点构造模式，针对音频数据的时序特性，解决了在攻击方案中差分进化算法的候选点难以被描述的问题.攻击在LibriSpeech数据集上针对60个人的实验表明这一攻击能达到100%的成功率.还开展了大量的实验探究不同条件(如性别、数据集、说话人识别方法等)对于隐蔽攻击性能的影响.上述实验的结果为进行有效地攻击提供了指导.同时，提出了分别基于去噪器、重建算法和语音压缩的防御思路.

参考文献

相关文章 1

[1]	吴志勇 蔡莲红. 基于动态贝叶斯网络的音视频双模态说话人识别[J]. , 2006, 43(3): 470-475.

PDF全文下载地址:

https://crad.ict.ac.cn/CN/article/downloadArticleFile.do?attachType=PDF&id=4521