|
|
|
机器之心报道
! N" Y+ b- R7 N% i6 l机器之心编辑部用来刷脸解锁的 Face ID 也可以被「对抗样本」攻击了。最近,来自莫斯科国立大学、华为莫斯科研究中心的研究者们找到的新型攻击方法,让已经广泛用于手机、门禁和支付上的人脸识别系统突然变得不再靠谱。
/ u) M' g G; `2 Y- y 在这一新研究中,科学家们只需用普通打印机打出一张带有图案的纸条贴在脑门上,就能让目前业内性能领先的公开 Face ID 系统识别出错,这是首次有 AI 算法可以在现实世界中实现攻击:
4 J3 L; s0 i3 n- @, T b
& K2 E6 Y- I- M/ m8 V+ `' I! [0 R
% q# T; k. g2 V- D7 aAI 人脸识别系统在正常情况下的分类效果,它识别出了特定的人:Person_1。
5 h6 J7 V2 I8 E! b- x$ X9 p7 v% g$ @ H7 |7 b0 F3 |& Q' z% O4 ^
& i/ W. L6 n' h2 L5 b# o9 x
贴上纸条以后,即使没有遮住脸,系统也会把 Person_1 识别成另外一些人「0000663」和「0000268」等。9 G& P- r! I+ M- G) E
" k' v* w$ u! r/ D- a6 I4 j
# b9 Z) h! H$ F7 |- | y v+ q8 [
变换角度、改变光照条件都不会改变错误的识别效果。加了贴纸后,我们可以看到 Person_1 的概率非常低。, `. d s1 P! k6 n7 k
' ?7 o9 w' s, C( h! r使用对抗样本攻击图像识别系统,在人工智能领域里已经不算什么新鲜事了,但是想要在现实世界里做到无差别攻击,还是人脸识别这种数千万人都在使用的应用技术,这就显得有些可怕了。使用这种新方法,人们可以轻松地打印一个破解纸条贴在脑门上,随后让 AI 识别的准确率显著下降。
, T1 ? D7 w& X7 g% Q+ F
% g% F6 G, Y% B从上面的动图可以看出,研究者实现的是非定向的攻击,且对抗信息都集成在贴纸上。那么如果我们要找到一种定向的攻击方式,让系统将我们识别为特定的某个人,然后解锁 ta 的手机,这也并不遥远,只要我们将以前定向攻击的方式迁移到贴纸上就行了。
* x( b5 ? H& i, s5 ^
; a. r) W9 |- s( e( s' \2 b w; S研究人员不仅发布了论文:https://arxiv.org/abs/1908.08705
9 w$ S8 M+ C- e# z" j a7 w" n0 F6 ], c T4 Z
更是直接公开了项目的代码:https://github.com/papermsucode/advhat; ? a" T* Z# F7 h# F- I6 V" h0 _
0 q* U+ K i. b; v& J9 ~+ f「对抗样本」是人工智能的软肋,这是一种可以欺骗神经网络,让图像识别 AI 系统出错的技术,是近期计算机视觉,以及机器学习领域的热门研究方向。2 }0 [* A! W& g
) c( h X: i$ T) {: H) I在这篇论文中,研究者们提出了一种全新且易于复现的技术 AdvHat,可以在多种不同的拍摄条件下攻击目前最强的公共 Face ID 系统。想要实现这种攻击并不需要复杂的设备——只需在彩色打印机上打印特定的对抗样本,并将其贴到你的帽子上,而对抗样本的制作采用了全新的算法,可在非平面的条件下保持有效。# Y2 ?3 y4 n4 Y6 R3 m5 h" V9 s7 n/ R. I
! B% x# N1 N# V% ?
研究人员称,这种方法已经成功地破解了目前最先进的 Face ID 模型 LResNet100E-IR、ArcFace@ms1m-refine-v2,其攻击方式也可以迁移到其他 Face ID 模型上。) N3 z9 J" g' J( K }
9 Z4 O4 q# E8 k# ?现实 Face ID 也能被攻击
2 O/ t2 g g% z$ \3 F# t4 j \6 p0 A/ |0 F
以前对抗攻击主要体现在虚拟世界中,我们可以用电子版的对抗样本欺骗各种识别系统,例如通用的图像识别或更细致的人脸识别等。但这些攻击有一些问题,例如人脸识别攻击只能是在线的识别 API,将对抗样本打印出来也不能欺骗真实系统。! ?& [7 G3 n% d( x
5 b' w* ^* Z4 p( q& v3 a: H3 L
6 d3 {2 L5 | t一个标准的线上人脸对抗样本,它只能攻击线上人脸识别模型或 API,无法用于线下的真实人脸识别场景。% t9 ]5 r# E. Z t7 m
) H6 ?9 i9 G5 V! X; J对抗样本的这种局限性,很大程度在于真实识别系统不止有人脸识别模块,还有活体检测等其它处理模块。只要活体检测判断对抗样本不是真人,那么它自然就失去了效果。因此,很多研究者在思考,我们能不能将对抗信息打印出来,贴在脸上或头上某个位置,那么这不就能攻击真实的人脸识别了么。甚至,我们可以把对抗信息嵌入到帽子或其它饰品内,这样不会更方便么。0 O* T7 V5 d! e, ~& Z0 h4 o) V
% ?% k2 B! w* M2 h) v# ?( ~2 Y沿着这样的思路,华为莫斯科研究中心的两位研究者就创造了这样的对抗样本。他们表示在以前 Face ID 模型还需要大量的私有数据,而随着大规模公开数据的发布,ArcFace 等研究模型也能与微软或谷歌的模型相媲美。如果他们的对抗样本能攻击到 ArcFace,那么差不多就能攻击业务模型。
. Y9 n$ y& N" o
- ?+ M. f- D+ Z' b4 Q研究者表示他们提出的 AdvHat 有如下特点:
. A7 T& c. `" a( ?: Y* |: r$ z& X+ w
/ H/ Q/ J6 |$ G o6 z: N/ I5 D, Q
- AdvHat 是一种现实世界的对抗样本,只要在帽子加上这种「贴纸」,那么就能攻击顶尖的公开 Face ID 系统;5 X+ W7 C' i( A3 P
- 这种攻击是非常容易实现的,只要有彩印就行;
$ }$ M% O2 v: s - 该攻击在各种识别环境下都能起作用,包括光照、角度和远近等;( o6 V. A) D! N
- 这种攻击可以迁移到其它 Face ID 系统上。
, H$ o/ `3 n# d; d# q* o
6 X$ S# j9 X4 h- }( H9 u; v" N
2 X7 A B6 w$ e; zFace ID 该怎样攻击
" t6 U5 x& e' X" W d
+ ^8 H, Q" A& H1 x9 I在 Face ID 系统的真实应用场景中,并非捕获到的每张人脸都是已知的,因此 top-1 类的预测相似度必须超过一些预定义的阈值,才能识别出人脸。
8 L5 L" L( g) X c- w) t2 G! d% \- P: M# }* G: i7 r/ d
这篇论文的目的是创造一个可以粘贴在帽子上的矩形图像,以诱导 Face ID 系统将人脸与 ground truth 相似度降到决策阈值之下。
+ \% K. U, G& @' S/ m7 T, N% i% a% O& V; o
这种攻击大概包含以下流程: U2 M( T( U! R5 F; E7 l, A' G
8 J/ N" i6 G2 g; \$ ~5 p
$ A1 h3 R2 A( p
- 将平面贴纸进行转换以凸显三维信息,转换结果模拟矩形图像放在帽子上后的形状。
, m3 @. M& z+ c3 N$ m( y' E1 y, Q; B% q# A - 为了提高攻击的鲁棒性,研究者将得到的图像投影到高质量人脸图像上,投影参数中含有轻微的扰动。
4 r( s" O/ e, [# N! w. U - 将得到的图像转换为 ArcFace 输入的标准模板。# ^6 e9 Z% q7 }- ~# C* t
- 降低初始矩形图像的 TV 损失以及余弦相似度损失之和,其中相似性是原图嵌入向量与 ArcFace 算出嵌入向量之间的距离。. \5 V# e$ V: a1 ~: X J# N
+ p) ~. b, c. s
2 x- d0 Y2 J4 D) |9 B+ ?
流程图如下图 2 所示:% o$ q+ j+ b0 r" [
0 R `+ H2 w3 o2 Q' Y7 M
/ B# O5 {/ N& `/ U( ^
图 2:攻击流程示意图。3 R7 G/ N7 i# T! G: n" s
% P8 P: y e, @. `6 a& f# t& T, s/ Y首先,研究者将贴纸重塑成真实大小和外观的图像,之后将其添加到人脸图像上,然后再使用略为不同的转换参数将图像转换为 ArcFace 输入模板,最后将模板输入到 ArcFace 中。由此评估余弦相似度和 TV 损失,这样就可以得到用于改进贴纸图像的梯度信号。
7 c5 T: Q: C6 T! C5 J% j& }' Z% ~5 F6 F
% v" f- a L) e2 U. H6 ?* D
图 3:步骤 1 转换贴纸的示意图。
6 E% b5 ]" [; b) ~* a4 o' |- r: S! e* z
贴纸攻击试验细节: D7 r" K' ~! T2 O/ g; `
' @6 s: F) t4 e- o' i- ]2 i如前所言,在将图像输入到 ArcFace 之前,研究者对其进行了随机修改。他们构造了一批生成图像,并通过整个流程计算在初始贴纸上的平均梯度。可以用一种简单的方法计算梯度,因为每个变换都是可微分的。
4 h- a" N: |1 D1 [( |6 q% |5 x
9 S# o; G$ F* O5 m' X4 N& r注意,在每一次迭代中,批中的每一个图像上的贴纸都是相同的,只有转换参数是不同的。此外,研究者使用了带有动量的 Iterative FGSM 以及在实验中非常有效的几个启发式方法。
0 A! |+ s5 s# J9 ~! I# d h7 t3 @+ ?4 i' Y
研究者将攻击分为两个阶段。在第一阶段,研究者使用了 5255 的步长值和 0.9 的动量;在第二阶段,研究者使用了 1255 的步长值和 0.995 的动量。TV 损失的权重一直为 1e − 4。- K. ^- B, z- W8 f
. w& b6 l2 _1 l7 @5 H' J, E研究者利用一张带有贴纸的固定图像进行验证,其中他们将所有参数都设置为看起来最真实的值。
' ]* g {. `' v3 k, i
+ Z! X8 W) b6 }9 W n; O9 T7 @他们使用了最小二乘法法,并通过线性函数来插入最后 100 个验证值:经历了第一阶段的 100 次迭代和第二阶段的 200 次迭代。如果线性函数的角系数不小于 0,则:1)从第一阶段过渡到第二阶段的攻击;2)在第二阶段停止攻击。
* c! O- c' C9 Z0 U5 U1 j1 B) { W6 O" H( w& V. _/ a' D
「对抗样本贴」效果怎么样
C+ O: s+ f4 x5 w8 X5 C" k, w3 Y& u7 ^: U2 U( @' c/ w
研究者在实验中使用一张 400×900 像素的图像作为贴纸图像,接着将这张贴纸图像投射到 600×600 像素的人脸图像上,然后再将其转换成 112×112 像素的图像。* U3 S9 E; m- B- O( k3 B2 q
$ d, f( n s# p" X. y
为了找出最适合贴纸的位置,研究者针对贴纸定位进行了两次实验。首先,他们利用粘贴在 eyez 线上方不同高度的贴纸来攻击数字域中的图像。然后,他们根据空间 transformer 层参数的梯度值,在每次迭代后变更贴纸的位置。
[$ E# Q2 T% q9 d
* h2 J7 G' k4 V/ ?: L+ t B下图 4 展示了典型对抗贴纸的一些示例。看起来就像是模特在贴纸上画了挑起的眉毛。$ c& B' D* T5 B
) L8 T7 P% U0 `0 _) o
) P& S; D0 o& C$ K9 k
图 4:对抗贴纸示例。+ F g2 m7 n3 F9 l, K L* d
* o! P+ F6 a0 ~' [ d+ ]
为了检测 AdvHat 方法在不同拍摄条件下的鲁棒性,研究者为最开始 10 个人中的 4 人另拍了 11 张照片。拍摄条件示例如下图 6 所示:) O+ g* ^: H8 m
; ~ j3 j; ^2 |$ y/ g( ^
* E3 D$ Z1 C( F9 o' r
图 6:研究者为一些人另拍了 11 张照片,以检测不同拍摄条件下的攻击效果。5 @, }* c+ M, t# k. Z
* P5 p' _2 q$ M8 {/ g3 D. V! p检测结果如下图 7 所示:虽然最终相似度增加了,但攻击依然有效。5 X2 a0 e8 r- r3 O+ c
* p" ^: t4 @' h : S9 M* D9 ~( t' G$ l$ E5 {% ]
图 7:各种拍摄条件下的基线和最终相似度。图中不同颜色的圆点代表不同的人。圆表示对抗攻击下的相似性,而 x 表示基线条件下的相似性。3 P. b4 m& J% d0 E7 D. n8 U
7 }. v* b9 R' O5 I/ C! r
最后,研究人员检验了该方法对于其他 Face ID 模型的攻击效果。他们选取了 InsightFace Model Zoo 中的一些人脸识别方法。在每个模型上均测试了 10 个不同的人。
4 l$ u9 ^" Z; c
* k# o! h3 ^2 s7 L+ l( i8 q - \+ w( V+ K# |) k2 e& d& _2 N
图 8:不同模型中,基线和最终相似度的差异。/ S& K2 r9 A& {! T* ^ W
& S$ i* n+ A, ?6 m; c" Y4 }虽然 AdvHat 生成的对抗样本很简单,但这种攻击方式看起来已适用于大多数基于摄像头的人脸识别系统。看来想要不被人「冒名顶替」,我们还是需要回到虹膜识别?% j- { G- ~6 c% _3 ~
9 _+ W$ q7 s5 i0 n+ c: [
本文为机器之心报道,转载请联系本公众号获得授权。/ S; o3 ?0 K# T
✄------------------------------------------------加入机器之心(全职记者 / 实习生):hr@jiqizhixin.com投稿或寻求报道:content@jiqizhixin.com广告 & 商务合作:bd@jiqizhixin.com5 Q) x9 F* S- I2 m- I
来源:http://mp.weixin.qq.com/s?src=11×tamp=1566896404&ver=1815&signature=*oejD6KZNIeFBedjGfko-HVWxUK5JqJymcLMEI2vQKpnGBbeLDP70080UA4XKxKdpIqy8GtZ8Ak8dD6y3mZXTrdi2HDgNe5e17ZDjbih8ZOWHLwlikFYQ99AEVxcEl0F&new=19 `& O" w: m* w! C" [
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|