近日，我校计算机学院网络空间安全研究所张明武教授课题组完成的研究工作成果“PPOM-Attack: A Substitute Model-free Perturbation Prediction and Optimization Method for Black-box Adversarial Attack against Face Recognition” 在网络与信息安全领域国际顶刊《IEEE Transactions on Information Forensics and Security》上发表。该论文第一作者为研究生程轲，通讯作者为张吉昕副教授。我校为该论文第一署名单位，进一步提升了我校在国际顶尖学术期刊上的影响力。

IEEE Transactions on Information Forensics and Security（TIFS）期刊是中科院SCI一区TOP期刊，中国计算机学会（CCF）推荐A类期刊，中国密码学会（CACR）推荐A类期刊。它专注于网络安全、信息安全、AI安全、应用密码等安全领域的最新研究进展和技术，是信息安全领域的权威刊物，具有较高的声誉和影响力。

人脸识别在为人们生活带来便利的同时，也带来了安全风险。一些恶意用户通过人脸识别攻击手段，冒充目标个体的身份。为揭示此类安全风险，近期的研究工作利用替代模型生成对抗人脸图像，借助替代模型的攻击可迁移性，使黑盒人脸识别模型将这些图像错误识别为目标个体。然而，替代模型难以精确逼近目标模型，导致攻击成功率和对抗人脸图像质量下降。为解决这一问题，研究中提出了PPOM-ATTACK—一种无需替代模型的扰动预测与优化方法，用于针对人脸识别系统的黑盒对抗攻击。PPOM-ATTACK直接从目标模型获取反馈，而非依赖替代模型，从而避免了与攻击目标之间的任何偏差。

为实现这一目标，文章设计了一种基于近端策略优化的智能体，用于预测人脸图像中的扰动区域，并自适应地对这些区域施加扰动。为进一步保障对抗人脸图像的高质量，我们还提出了一种最小亮度偏移方法，专门用于生成能最小化对抗样本与目标人脸在特征嵌入空间中差异的扰动。实验结果表明，在七种主流人脸识别模型上，该方法在攻击成功率方面平均优于当前最先进的FR攻击方法21.7%，同时生成的对抗图像具有更优的视觉质量。

本研究工作得到了国家自然科学基金项目和湖北省重大研究课题的资助支持。参与本论文工作的包括清华大学与湖南大学的同行。

我校网络空间安全研究所长期致力于密码学、安全信息处理、工业互联网与区块链、人工智能安全等领域的相关研究，已取得系列研究成果，发表高水平学术论文200余篇，包括IEEE TIFS、IEEE TDSC、IEEE TSC等CCF A类期刊论文和包括亚密会在内的国际会议论文。