小小贴纸,破解顶级脸部身份识别?

小小贴纸,破解顶级脸部身份识别?

首页冒险解谜小小贴纸故事更新时间:2024-10-19

转自Tools作者hualong007

用于解锁人脸的人脸ID也可能受到反样本的攻击。最近,莫斯科国立大学(Moscow state university)和华为莫斯科研究中心(huawei’s Moscow research center)的研究人员发现了一种新的攻击方法,使得已经广泛应用于手机、门禁和支付等领域的人脸识别系统突然变得不可靠。

在这项新研究中,科学家们只需用一台普通打印机在人脸识别系统的头上打印一张纸条,就可以骗过该行业领先的人脸识别系统。这是人工智能算法首次能够在现实世界中进行攻击:

AI 人脸识别系统在正常情况下的分类效果,它识别出了特定的人:Person_1。

贴上纸条以后,即使没有遮住脸,系统也会把 Person_1识别成另外一些人「0000663」和「0000268」等。

改变角度和光照条件不会改变错误识别效果。通过贴纸,我们可以看到Person_1的概率非常低。在人工智能领域,对图像识别系统使用反样本攻击并不是什么新鲜事。

但是,在现实世界中使用的无区别攻击或人脸识别(数千万人使用的一种应用程序)的想法是可怕的。使用这种新方法,人们可以很容易地打印出一张解译纸条并粘贴在额头上,这大大降低了人工智能识别的准确性。

从上图可以看出,研究人员实施了非针对性攻击,将反攻击信息整合到贴纸中。所以,如果我们要找到一个有针对性的攻击,能够识别我们是一个特定的人,并解锁他们的手机,只要我们把之前的有针对性的攻击方法移植到贴纸上,就不会有那么远了。

反采样技术是近年来计算机视觉和机器学习领域的一个研究热点,它欺骗神经网络,使图像识别人工智能系统出错。

在这篇论文中,研究人员提出了一种新的可复制技术AdvHat,它可以在各种拍摄条件下攻击最强大的公共人脸识别系统。

你不需要一个复杂的设备来做到这一点——只需要在彩色打印机上打印一个特定的攻击样本,然后把它贴在你的帽子上

研究人员说,这种方法已经成功破解了最先进的人脸识别模型lresnet100e-ir和arcface@ms1m-refine v2,攻击可以迁移到其他人脸识别模型。

反击主要发生在虚拟世界中。我们可以用电子反样本欺骗各种识别系统,例如一般的图像识别或更详细的人脸识别

但这些攻击也存在一些问题。例如,人脸识别攻击只能是一个在线识别API,它做不到欺骗真实系统。

一个标准的在线人脸反样本,它只能攻击在线人脸识别模型或API,不能用于离线真实人脸识别场景。将攻击信息嵌入帽子或其他配件不是更方便吗?

按照这种思路,华为莫斯科研究中心的两名研究人员创造了一个反例。他们说,在过去,人脸识别模型需要大量的私人数据,随着大量公共数据的发布,ArcFace等研究模型可以与微软或谷歌的模型竞争。如果他们的反样本能击中ArcFace,他们就能攻击业务模式。

「对抗样本贴」效果怎么样

研究人员先是使用400×900像素的图像作为贴纸图像,然后将粘贴图像投影到600×600像素的人脸图像上,并将其转换成112×112像素的图像。

为了找到贴纸的最佳位置,研究人员对贴纸的位置进行了两个实验。首先,他们使用附着在目标线上的不同高度的贴纸攻击数字领域的图像。然后根据变压器层参数在空间中的梯度,在每次迭代后改变贴纸的位置。

下面的图4显示了一些典型的反贴纸示例。看起来的画面就像有人挑着眉毛皱眉头一样。

图 4:对抗贴纸示例

为了检测 AdvHat 方法在不同拍摄条件下的鲁棒性,研究者为最开始 10 个人中的 4 人另拍了 11 张照片。拍摄条件示例如下图 6 所示:

图 6:研究者为一些人另拍了 11 张照片

以检测不同拍摄条件下的攻击效果。检测结果如下图 7 所示:虽然最终相似度增加了,但攻击依然有效

图 7:各种拍摄条件下的基线和最终相似度

图中不同颜色的圆点代表不同的人。圆表示对抗攻击下的相似性,而 x 表示基线条件下的相似性。

最后,研究人员检验了该方法对于其他人脸识别模型的攻击效果。他们选取了 InsightFace Model Zoo 中的一些人脸识别方法。接下来,在每个模型上均测试了 10 个不同的人。

图 8:不同模型中,基线和最终相似度的差异。

虽然 AdvHat 生成的对抗样本很简单,但这种攻击方式看起来已适用于大多数基于摄像头的人脸识别系统。看来想要不被忽然间冒名顶替,我们还是需要回到虹膜识别?还是要再展开其他新的技术?

声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!

精彩在后面

Hi,我是超级盾

更多干货,可移步到,*超级盾订阅号!精彩与您不见不散!

超级盾:从现在开始,我的每一句话都是认真的。

如果,你被攻击了,别打110、119、120,来这里看着就行。

截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势。

查看全文
大家还看了
也许喜欢
更多游戏

Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved