|
|
|
机器之心报道 3 d; d% ?9 J2 P1 q$ c8 ?8 K. x7 l
机器之心编辑部用来刷脸解锁的 Face ID 也可以被「对抗样本」攻击了。最近,来自莫斯科国立大学、华为莫斯科研究中心的研究者们找到的新型攻击方法,让已经广泛用于手机、门禁和支付上的人脸识别系统突然变得不再靠谱。
] @& H# g7 [1 |2 | 在这一新研究中,科学家们只需用普通打印机打出一张带有图案的纸条贴在脑门上,就能让目前业内性能领先的公开 Face ID 系统识别出错,这是首次有 AI 算法可以在现实世界中实现攻击:
! v1 a9 R3 f; x# ?1 I- N$ ~2 V4 p% j! Q9 K; Y, }$ ^
! A' R) J! N! @AI 人脸识别系统在正常情况下的分类效果,它识别出了特定的人:Person_1。
# D1 Y6 P0 j* \/ ?$ b7 X
& [# Z. o2 V. @ V
1 `: Z4 b, k, t- i6 r# J: L9 T贴上纸条以后,即使没有遮住脸,系统也会把 Person_1 识别成另外一些人「0000663」和「0000268」等。# ~) z! ?- F: n) w% f
3 W( x8 x1 \+ U* G5 y
" m' D$ S" z7 j0 k变换角度、改变光照条件都不会改变错误的识别效果。加了贴纸后,我们可以看到 Person_1 的概率非常低。6 V% w- d9 N' N, @
! q8 p8 U, ~1 b- Y& i1 [
使用对抗样本攻击图像识别系统,在人工智能领域里已经不算什么新鲜事了,但是想要在现实世界里做到无差别攻击,还是人脸识别这种数千万人都在使用的应用技术,这就显得有些可怕了。使用这种新方法,人们可以轻松地打印一个破解纸条贴在脑门上,随后让 AI 识别的准确率显著下降。$ Q" b/ ]! {& k i6 x
9 [4 f5 {3 {6 }, D8 [从上面的动图可以看出,研究者实现的是非定向的攻击,且对抗信息都集成在贴纸上。那么如果我们要找到一种定向的攻击方式,让系统将我们识别为特定的某个人,然后解锁 ta 的手机,这也并不遥远,只要我们将以前定向攻击的方式迁移到贴纸上就行了。
: a. O- ^7 q4 b7 @. w+ ]( O: v! [* e0 A! f2 c; ~2 O9 D- w
研究人员不仅发布了论文:https://arxiv.org/abs/1908.08705
3 c: o7 d8 y5 I8 x4 I W$ _' f2 B& B+ p+ z' p
更是直接公开了项目的代码:https://github.com/papermsucode/advhat
4 q! i. Z0 w4 v
! F" t. v% T" ^1 I# b2 p- ]「对抗样本」是人工智能的软肋,这是一种可以欺骗神经网络,让图像识别 AI 系统出错的技术,是近期计算机视觉,以及机器学习领域的热门研究方向。: I8 l5 p3 \1 {
& W& o; e$ o2 l; ] q在这篇论文中,研究者们提出了一种全新且易于复现的技术 AdvHat,可以在多种不同的拍摄条件下攻击目前最强的公共 Face ID 系统。想要实现这种攻击并不需要复杂的设备——只需在彩色打印机上打印特定的对抗样本,并将其贴到你的帽子上,而对抗样本的制作采用了全新的算法,可在非平面的条件下保持有效。
4 S7 i7 Y3 t. U. Q0 M+ o' _
1 s6 P2 O3 \/ K7 F: W$ `4 w研究人员称,这种方法已经成功地破解了目前最先进的 Face ID 模型 LResNet100E-IR、ArcFace@ms1m-refine-v2,其攻击方式也可以迁移到其他 Face ID 模型上。
7 W/ B) Q2 b! b t; j2 e q
2 z: J% c! ?8 Q- |# s" x) d, M! ?现实 Face ID 也能被攻击1 ^& h+ m7 y. T: K9 ?
: f, R5 q9 Q0 D+ t( w! I以前对抗攻击主要体现在虚拟世界中,我们可以用电子版的对抗样本欺骗各种识别系统,例如通用的图像识别或更细致的人脸识别等。但这些攻击有一些问题,例如人脸识别攻击只能是在线的识别 API,将对抗样本打印出来也不能欺骗真实系统。; E; a/ z6 a9 Q/ G
5 ]. g- X- `5 t) J" r# Y$ p- g
9 V: r& P5 b, q/ M& `; e7 n一个标准的线上人脸对抗样本,它只能攻击线上人脸识别模型或 API,无法用于线下的真实人脸识别场景。
# x! y' O3 O2 d1 E& _! h: E% N
]! r8 M `* P对抗样本的这种局限性,很大程度在于真实识别系统不止有人脸识别模块,还有活体检测等其它处理模块。只要活体检测判断对抗样本不是真人,那么它自然就失去了效果。因此,很多研究者在思考,我们能不能将对抗信息打印出来,贴在脸上或头上某个位置,那么这不就能攻击真实的人脸识别了么。甚至,我们可以把对抗信息嵌入到帽子或其它饰品内,这样不会更方便么。0 G9 \4 h5 P# w% M/ x0 F5 P& S; Y) n. u
7 x- Z3 [4 [* X. z7 _& z沿着这样的思路,华为莫斯科研究中心的两位研究者就创造了这样的对抗样本。他们表示在以前 Face ID 模型还需要大量的私有数据,而随着大规模公开数据的发布,ArcFace 等研究模型也能与微软或谷歌的模型相媲美。如果他们的对抗样本能攻击到 ArcFace,那么差不多就能攻击业务模型。# f/ I- }3 V" Y
0 f3 I. [& y3 A% E6 p1 t
研究者表示他们提出的 AdvHat 有如下特点:8 t5 M5 }" j$ @* ?& S [+ g6 O
: t6 [, W A% B. c8 ^/ Y0 A% u$ k% p& s1 V/ d- e( f
- AdvHat 是一种现实世界的对抗样本,只要在帽子加上这种「贴纸」,那么就能攻击顶尖的公开 Face ID 系统;
4 c) R# L3 Q, f: j - 这种攻击是非常容易实现的,只要有彩印就行;
6 _: i3 k" t' K - 该攻击在各种识别环境下都能起作用,包括光照、角度和远近等; \& I8 F2 b" u( V4 r' t
- 这种攻击可以迁移到其它 Face ID 系统上。
+ W( C, [ w+ K( L; y* M , @) x: P' E9 x/ j9 d
& G- d. W( y0 E9 L6 A4 bFace ID 该怎样攻击
* P7 V2 H6 d7 ?* o
! I( i1 N8 g9 h在 Face ID 系统的真实应用场景中,并非捕获到的每张人脸都是已知的,因此 top-1 类的预测相似度必须超过一些预定义的阈值,才能识别出人脸。
& P/ |) t* N0 m' V9 F: l. _7 [* e/ F& X0 L
这篇论文的目的是创造一个可以粘贴在帽子上的矩形图像,以诱导 Face ID 系统将人脸与 ground truth 相似度降到决策阈值之下。
: X+ \4 Q: m9 d7 t$ d( e I5 |" W( P! Z8 @
这种攻击大概包含以下流程:
$ S( k ]% @2 S$ ~$ I) r( g& w l$ a! g" v/ ]
, F- \% c8 P, S1 o A5 m
- 将平面贴纸进行转换以凸显三维信息,转换结果模拟矩形图像放在帽子上后的形状。' J- L9 \6 }9 X; g/ F
- 为了提高攻击的鲁棒性,研究者将得到的图像投影到高质量人脸图像上,投影参数中含有轻微的扰动。& `! v l. t; {+ f9 v
- 将得到的图像转换为 ArcFace 输入的标准模板。
; p/ l6 U1 W7 u! M, A8 P - 降低初始矩形图像的 TV 损失以及余弦相似度损失之和,其中相似性是原图嵌入向量与 ArcFace 算出嵌入向量之间的距离。
+ l9 B7 t; c' g $ Q7 V8 u& a4 ]0 [
% m# k" H, V2 W) O
流程图如下图 2 所示:
' R, {2 `( m6 R4 V% i* G- D6 e6 d8 W6 h. f% C
 ; I: P3 x, c, [) h) M# g
图 2:攻击流程示意图。
2 l# ?" \3 D& z% B$ n1 q, S% I$ y7 }% y" k$ B. R6 E8 P' n2 o
首先,研究者将贴纸重塑成真实大小和外观的图像,之后将其添加到人脸图像上,然后再使用略为不同的转换参数将图像转换为 ArcFace 输入模板,最后将模板输入到 ArcFace 中。由此评估余弦相似度和 TV 损失,这样就可以得到用于改进贴纸图像的梯度信号。 ^2 ~1 e0 W) w9 W2 G' X6 k
( s% H0 x. z: X$ t8 M, ]
 7 S) ^6 I5 u2 N1 U/ j6 a1 H
图 3:步骤 1 转换贴纸的示意图。
/ t* @/ ^. q2 i9 { M4 w8 r- P9 k! A* A7 g
贴纸攻击试验细节/ X) [7 O) U/ B4 C, |
5 d) _7 M$ U. c m& v
如前所言,在将图像输入到 ArcFace 之前,研究者对其进行了随机修改。他们构造了一批生成图像,并通过整个流程计算在初始贴纸上的平均梯度。可以用一种简单的方法计算梯度,因为每个变换都是可微分的。
& R U' O3 a& W1 n% F, l; k' K u0 O; }; K& b4 m
注意,在每一次迭代中,批中的每一个图像上的贴纸都是相同的,只有转换参数是不同的。此外,研究者使用了带有动量的 Iterative FGSM 以及在实验中非常有效的几个启发式方法。% U' }3 s% V6 g2 @9 K: [
6 \" {3 M- h$ C& n* D& S' U0 y
研究者将攻击分为两个阶段。在第一阶段,研究者使用了 5255 的步长值和 0.9 的动量;在第二阶段,研究者使用了 1255 的步长值和 0.995 的动量。TV 损失的权重一直为 1e − 4。
. n: U& @/ S+ I- Y7 Y$ t2 J( R* P- q) O ]0 a& J
研究者利用一张带有贴纸的固定图像进行验证,其中他们将所有参数都设置为看起来最真实的值。
4 b" Z7 a) B; t+ j: V
& c! y, I9 f; H9 m0 P他们使用了最小二乘法法,并通过线性函数来插入最后 100 个验证值:经历了第一阶段的 100 次迭代和第二阶段的 200 次迭代。如果线性函数的角系数不小于 0,则:1)从第一阶段过渡到第二阶段的攻击;2)在第二阶段停止攻击。
* g6 q x; ~* B) O( R; P( a: Y6 j4 E. R! i9 t
「对抗样本贴」效果怎么样: d2 y3 u' y/ N9 s% W( x7 l7 B
: C; d) Q2 N# v+ }6 f R) D, i
研究者在实验中使用一张 400×900 像素的图像作为贴纸图像,接着将这张贴纸图像投射到 600×600 像素的人脸图像上,然后再将其转换成 112×112 像素的图像。4 I) y5 t* @" O% k- Z/ u
8 E4 r1 b% M$ D5 `为了找出最适合贴纸的位置,研究者针对贴纸定位进行了两次实验。首先,他们利用粘贴在 eyez 线上方不同高度的贴纸来攻击数字域中的图像。然后,他们根据空间 transformer 层参数的梯度值,在每次迭代后变更贴纸的位置。
1 x) D5 w, W9 z A. B" U0 u3 L0 X% L( X; q- `+ {6 c! J
下图 4 展示了典型对抗贴纸的一些示例。看起来就像是模特在贴纸上画了挑起的眉毛。
& c/ w' l% H. E- w" T/ f( h7 m" f5 u' i% v8 O
 / B; P9 f4 V. W" `. J
图 4:对抗贴纸示例。
5 O. y0 J5 [7 y& v# H! X$ [/ p+ ~4 L2 d& z/ W3 f2 O* _
为了检测 AdvHat 方法在不同拍摄条件下的鲁棒性,研究者为最开始 10 个人中的 4 人另拍了 11 张照片。拍摄条件示例如下图 6 所示:) h7 H, K1 X) G1 g" r* f* M
Z9 U Z& S1 f' E2 W- a t U5 t4 ^) X, A
图 6:研究者为一些人另拍了 11 张照片,以检测不同拍摄条件下的攻击效果。
' v. U* v8 w6 X2 f5 ^% S( y6 X- _+ \# V; W, g- M9 R A
检测结果如下图 7 所示:虽然最终相似度增加了,但攻击依然有效。
* [: p+ H; r/ n# V4 q1 I
' T2 y0 \0 Y- p+ \. S 8 [) }5 y5 G7 }: z3 e5 B1 h7 `. A
图 7:各种拍摄条件下的基线和最终相似度。图中不同颜色的圆点代表不同的人。圆表示对抗攻击下的相似性,而 x 表示基线条件下的相似性。0 ^, h5 K& }* E4 N W8 }! ]$ C% p
/ _ n' H( p/ {& f& A1 ?最后,研究人员检验了该方法对于其他 Face ID 模型的攻击效果。他们选取了 InsightFace Model Zoo 中的一些人脸识别方法。在每个模型上均测试了 10 个不同的人。
1 X' Q, S7 H% A0 b6 j/ j! N
# f( e& @4 J2 R4 v6 `! y3 o0 W ; t8 x X4 Z+ x% ~5 s/ I( w3 U
图 8:不同模型中,基线和最终相似度的差异。, \7 l# G8 ?1 J6 O( j2 L/ Q
+ u: {; `8 G6 C- h* B* }虽然 AdvHat 生成的对抗样本很简单,但这种攻击方式看起来已适用于大多数基于摄像头的人脸识别系统。看来想要不被人「冒名顶替」,我们还是需要回到虹膜识别?% |/ [2 n0 J, s5 a6 n: c' I
" r1 B" a4 |. u! D# J/ t! G, `本文为机器之心报道,转载请联系本公众号获得授权。
9 O: y* ]% `! M i- @✄------------------------------------------------加入机器之心(全职记者 / 实习生):hr@jiqizhixin.com投稿或寻求报道:content@jiqizhixin.com广告 & 商务合作:bd@jiqizhixin.com2 L5 Q$ P0 m O+ U7 r
来源:http://mp.weixin.qq.com/s?src=11×tamp=1566896404&ver=1815&signature=*oejD6KZNIeFBedjGfko-HVWxUK5JqJymcLMEI2vQKpnGBbeLDP70080UA4XKxKdpIqy8GtZ8Ak8dD6y3mZXTrdi2HDgNe5e17ZDjbih8ZOWHLwlikFYQ99AEVxcEl0F&new=1! L- _+ l J8 T
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-8-27 17:22:37
