京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9349|回复: 0

一张贴纸破解顶级FaceID,华为新研究让人脸识别不再安全

[复制链接]

10

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-8-27 17:22:37 | 显示全部楼层 |阅读模式 来自 中国
机器之心报道
$ i5 S0 F) j& |" `9 j
机器之心编辑部
用来刷脸解锁的 Face ID 也可以被「对抗样本」攻击了。最近,来自莫斯科国立大学、华为莫斯科研究中心的研究者们找到的新型攻击方法,让已经广泛用于手机、门禁和支付上的人脸识别系统突然变得不再靠谱。* M' o) ^3 W. J4 n: s
在这一新研究中,科学家们只需用普通打印机打出一张带有图案的纸条贴在脑门上,就能让目前业内性能领先的公开 Face ID 系统识别出错,这是首次有 AI 算法可以在现实世界中实现攻击:
8 N  A7 ]- ^& T% V
: a. Q8 o$ R: l; v6 m: B* x
- |( A0 E* S# f( k* ~  R' q
AI 人脸识别系统在正常情况下的分类效果,它识别出了特定的人:Person_1。  d' O$ k; N" G. x, U& k6 `6 `
0 J8 |/ G4 H  {$ E
( C3 o0 I  b5 ]$ p
贴上纸条以后,即使没有遮住脸,系统也会把 Person_1 识别成另外一些人「0000663」和「0000268」等。5 n# T% u: t/ G3 t' B

( l& A  S5 q; S1 v  D! W
$ m8 u+ N8 b/ x  S! \( k' j2 v! U
变换角度、改变光照条件都不会改变错误的识别效果。加了贴纸后,我们可以看到 Person_1 的概率非常低。/ |0 ?# g9 f" i4 r$ W( ~* [. @, N
+ w, c( M3 ]" S, w# @, o
使用对抗样本攻击图像识别系统,在人工智能领域里已经不算什么新鲜事了,但是想要在现实世界里做到无差别攻击,还是人脸识别这种数千万人都在使用的应用技术,这就显得有些可怕了。使用这种新方法,人们可以轻松地打印一个破解纸条贴在脑门上,随后让 AI 识别的准确率显著下降。& s8 a& h: D4 g8 J0 d/ B' \
* ^6 a# w! S& j; @- {" q, k
从上面的动图可以看出,研究者实现的是非定向的攻击,且对抗信息都集成在贴纸上。那么如果我们要找到一种定向的攻击方式,让系统将我们识别为特定的某个人,然后解锁 ta 的手机,这也并不遥远,只要我们将以前定向攻击的方式迁移到贴纸上就行了。
: |0 b3 ~) S! @) [5 F8 |1 Y# [3 O% E8 V
研究人员不仅发布了论文:https://arxiv.org/abs/1908.08705- A' \4 e6 V0 Z1 X2 G

' [( p- \' x3 ~9 {0 d3 s更是直接公开了项目的代码:https://github.com/papermsucode/advhat
# s7 t% h; X9 G* @5 M! U( N
" \+ {2 B: ^1 `, s% j- P$ @7 B「对抗样本」是人工智能的软肋,这是一种可以欺骗神经网络,让图像识别 AI 系统出错的技术,是近期计算机视觉,以及机器学习领域的热门研究方向。: ]1 Q0 [6 [1 k" P  L1 K
* s" i2 n" w; s; b. n; N- ]4 N
在这篇论文中,研究者们提出了一种全新且易于复现的技术 AdvHat,可以在多种不同的拍摄条件下攻击目前最强的公共 Face ID 系统。想要实现这种攻击并不需要复杂的设备——只需在彩色打印机上打印特定的对抗样本,并将其贴到你的帽子上,而对抗样本的制作采用了全新的算法,可在非平面的条件下保持有效。
0 L7 c. |6 l: {
# ~8 ^7 j! W6 _/ C2 z研究人员称,这种方法已经成功地破解了目前最先进的 Face ID 模型 LResNet100E-IR、ArcFace@ms1m-refine-v2,其攻击方式也可以迁移到其他 Face ID 模型上。1 `6 g! [' [2 V% g* W6 H3 l! C

1 p1 E/ D" G& }4 Q1 j9 u现实 Face ID 也能被攻击
7 W" C( g6 _# e( }# A: t& Y8 T- H/ H
以前对抗攻击主要体现在虚拟世界中,我们可以用电子版的对抗样本欺骗各种识别系统,例如通用的图像识别或更细致的人脸识别等。但这些攻击有一些问题,例如人脸识别攻击只能是在线的识别 API,将对抗样本打印出来也不能欺骗真实系统。
; h; ?' O. J! O) P* k/ M" A
8 E/ h2 d  ^4 r8 f' {* V3 @1 \0 b
一个标准的线上人脸对抗样本,它只能攻击线上人脸识别模型或 API,无法用于线下的真实人脸识别场景。& G- `% Z! _7 I% j
! h. A  P9 Y! @
对抗样本的这种局限性,很大程度在于真实识别系统不止有人脸识别模块,还有活体检测等其它处理模块。只要活体检测判断对抗样本不是真人,那么它自然就失去了效果。因此,很多研究者在思考,我们能不能将对抗信息打印出来,贴在脸上或头上某个位置,那么这不就能攻击真实的人脸识别了么。甚至,我们可以把对抗信息嵌入到帽子或其它饰品内,这样不会更方便么。
# s1 W7 Q& K2 n9 ?9 z& l! O- f6 G, D( _0 E8 \4 U4 ^
沿着这样的思路,华为莫斯科研究中心的两位研究者就创造了这样的对抗样本。他们表示在以前 Face ID 模型还需要大量的私有数据,而随着大规模公开数据的发布,ArcFace 等研究模型也能与微软或谷歌的模型相媲美。如果他们的对抗样本能攻击到 ArcFace,那么差不多就能攻击业务模型。8 q$ }4 @/ I, w9 [( |8 Q% Y

: b1 R! s3 i9 @2 E研究者表示他们提出的 AdvHat 有如下特点:
3 L& e* ~! c+ g9 M
) w0 P& s! _1 \' A' n, W
    * ^& J/ R# J/ F% f& S
  • AdvHat 是一种现实世界的对抗样本,只要在帽子加上这种「贴纸」,那么就能攻击顶尖的公开 Face ID 系统;8 N$ J  v, M) T+ _* O5 x
  • 这种攻击是非常容易实现的,只要有彩印就行;
    0 D  K6 R" p" z( _  v9 k
  • 该攻击在各种识别环境下都能起作用,包括光照、角度和远近等;4 z: @+ f: ]3 Y7 ^, h# I! \
  • 这种攻击可以迁移到其它 Face ID 系统上。* x; X8 ]0 F% D5 l9 t
& ~. h7 j7 E8 S% o3 q% {8 D0 w

. }2 b2 s8 U5 C, i1 R+ `6 rFace ID 该怎样攻击" J. R/ ]! s* V& X

) [1 u) N+ Z! X& T, m6 p- O. g在 Face ID 系统的真实应用场景中,并非捕获到的每张人脸都是已知的,因此 top-1 类的预测相似度必须超过一些预定义的阈值,才能识别出人脸。
; a5 I; U4 W9 T
8 o' m8 S5 S* s9 E9 A0 i这篇论文的目的是创造一个可以粘贴在帽子上的矩形图像,以诱导 Face ID 系统将人脸与 ground truth 相似度降到决策阈值之下。9 t; ?- p9 G0 y" Y
- L$ ~9 G2 s: ^; D
这种攻击大概包含以下流程:
* a  f$ M) c  ~1 ~5 S0 ~
' w- M! W" Z0 M2 ^
    2 T9 S9 b  }" y1 P
  • 将平面贴纸进行转换以凸显三维信息,转换结果模拟矩形图像放在帽子上后的形状。0 o' W' Q) x# k, U- f: B
  • 为了提高攻击的鲁棒性,研究者将得到的图像投影到高质量人脸图像上,投影参数中含有轻微的扰动。
    * h) P4 ?; ~, r/ }5 e. x7 t; t
  • 将得到的图像转换为 ArcFace 输入的标准模板。: T* h" u: H4 X# o, D! q( q
  • 降低初始矩形图像的 TV 损失以及余弦相似度损失之和,其中相似性是原图嵌入向量与 ArcFace 算出嵌入向量之间的距离。
    ; c) R' Q, F/ a# [

3 l" L% A* {8 S
5 j/ X0 _5 ?' T流程图如下图 2 所示:0 u% f) \. I' T4 L2 q, W5 S& B+ `
6 Q6 f: k: U0 W5 I0 U  c
* a+ w. w# X- @# W: |. c: U
图 2:攻击流程示意图。/ I+ R2 n' \7 G0 K" u( a

9 Z) a. |1 }7 P; k/ l# V* [7 L0 x首先,研究者将贴纸重塑成真实大小和外观的图像,之后将其添加到人脸图像上,然后再使用略为不同的转换参数将图像转换为 ArcFace 输入模板,最后将模板输入到 ArcFace 中。由此评估余弦相似度和 TV 损失,这样就可以得到用于改进贴纸图像的梯度信号。1 q  i6 j( V2 y0 L

* E6 H' C: v5 q$ U' ?* E
2 r  B& W% Q! z图 3:步骤 1 转换贴纸的示意图。
# h! ~  I7 Y4 G- B7 F9 V' \, W! D1 Y9 o- C; I4 |/ c4 B' {
贴纸攻击试验细节
% g$ _# _9 ]# R; X2 z3 }. B5 w! p- ?9 L2 k0 v% a
如前所言,在将图像输入到 ArcFace 之前,研究者对其进行了随机修改。他们构造了一批生成图像,并通过整个流程计算在初始贴纸上的平均梯度。可以用一种简单的方法计算梯度,因为每个变换都是可微分的。  X0 L, D) S$ n% @/ P, [

( v- D+ L1 z# e3 b. k注意,在每一次迭代中,批中的每一个图像上的贴纸都是相同的,只有转换参数是不同的。此外,研究者使用了带有动量的 Iterative FGSM 以及在实验中非常有效的几个启发式方法。$ G0 T8 ~$ ^; G) S+ K3 B
7 N+ V% D9 y$ p7 J- X
研究者将攻击分为两个阶段。在第一阶段,研究者使用了 5255 的步长值和 0.9 的动量;在第二阶段,研究者使用了 1255 的步长值和 0.995 的动量。TV 损失的权重一直为 1e − 4。, N- y, {3 R' g2 q! N; r( r4 H& f4 E

; f" R, {) D; R$ o! o& T研究者利用一张带有贴纸的固定图像进行验证,其中他们将所有参数都设置为看起来最真实的值。+ T6 n! p2 S4 y7 A1 d% T/ \; |  [

3 O' f/ K' ?3 |: [. H他们使用了最小二乘法法,并通过线性函数来插入最后 100 个验证值:经历了第一阶段的 100 次迭代和第二阶段的 200 次迭代。如果线性函数的角系数不小于 0,则:1)从第一阶段过渡到第二阶段的攻击;2)在第二阶段停止攻击。+ j+ X' Y* [0 @8 _) t9 g) U% F
1 r2 B) ^  ~/ C2 U1 K
「对抗样本贴」效果怎么样* [4 F0 u: d& j1 j

. y9 g! D  Y2 }. ?" q( @7 B研究者在实验中使用一张 400×900 像素的图像作为贴纸图像,接着将这张贴纸图像投射到 600×600 像素的人脸图像上,然后再将其转换成 112×112 像素的图像。' U- N) y6 w8 l* q6 |0 w

# w# i! O: V8 n) \( t0 j! T# {& b为了找出最适合贴纸的位置,研究者针对贴纸定位进行了两次实验。首先,他们利用粘贴在 eyez 线上方不同高度的贴纸来攻击数字域中的图像。然后,他们根据空间 transformer 层参数的梯度值,在每次迭代后变更贴纸的位置。
# x& C) z& M$ z7 k1 ?  j  x) ~+ b% d
下图 4 展示了典型对抗贴纸的一些示例。看起来就像是模特在贴纸上画了挑起的眉毛。
9 Y" ~& T% L7 T' Y$ e' p6 n! [( J& V3 j
2 s7 a- k& o) G7 m1 j( y, O
图 4:对抗贴纸示例。
8 h0 E& C; k- {0 y9 i9 p7 M3 Z' E# W5 V
为了检测 AdvHat 方法在不同拍摄条件下的鲁棒性,研究者为最开始 10 个人中的 4 人另拍了 11 张照片。拍摄条件示例如下图 6 所示:4 s! R: Z& P$ T

8 D" L1 A6 V( P! x; v/ ?6 Z4 ^5 {2 D. |: q) Z: _
图 6:研究者为一些人另拍了 11 张照片,以检测不同拍摄条件下的攻击效果。- X. a4 u$ i6 H! Y, n

8 S0 Q, k: x- c9 c* @% \4 x检测结果如下图 7 所示:虽然最终相似度增加了,但攻击依然有效。
2 T3 E  i7 N  r
0 ~' c2 l( `9 `( A* m: C" A7 A. @- v3 _* n8 ^
图 7:各种拍摄条件下的基线和最终相似度。图中不同颜色的圆点代表不同的人。圆表示对抗攻击下的相似性,而 x 表示基线条件下的相似性。
! N, {  [4 P8 B& g4 J3 g6 D, Z
) F; T. [: `$ `7 m8 {& d最后,研究人员检验了该方法对于其他 Face ID 模型的攻击效果。他们选取了 InsightFace Model Zoo 中的一些人脸识别方法。在每个模型上均测试了 10 个不同的人。
9 ]0 G7 }# @  A* z) n4 Z; a
9 A0 d- g- {$ r, u( M: q0 u$ `$ t# q& Q) z9 j) X9 B/ H
图 8:不同模型中,基线和最终相似度的差异。
! ?3 h4 R6 o5 I# S5 {0 d! D. S- t/ n
虽然 AdvHat 生成的对抗样本很简单,但这种攻击方式看起来已适用于大多数基于摄像头的人脸识别系统。看来想要不被人「冒名顶替」,我们还是需要回到虹膜识别?
9 t  t) t$ p; E& {) p( c: r6 W. }7 H- {" Z1 b2 C
文为机器之心报道,转载请联系本公众号获得授权' m; O& y5 N3 k9 |" `. S9 c
✄------------------------------------------------加入机器之心(全职记者 / 实习生):hr@jiqizhixin.com投稿或寻求报道:content@jiqizhixin.com广告 & 商务合作:bd@jiqizhixin.com
5 y! i+ i6 t3 P6 L& Q& l来源:http://mp.weixin.qq.com/s?src=11&timestamp=1566896404&ver=1815&signature=*oejD6KZNIeFBedjGfko-HVWxUK5JqJymcLMEI2vQKpnGBbeLDP70080UA4XKxKdpIqy8GtZ8Ak8dD6y3mZXTrdi2HDgNe5e17ZDjbih8ZOWHLwlikFYQ99AEVxcEl0F&new=1
2 N) N- o- R8 r# u免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-16 12:26 , Processed in 0.087426 second(s), 28 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表