伪造图像的对抗攻击,从天池大赛说起

本文介绍了阿里天池安全AI挑战者计划第五期比赛,聚焦伪造图像的对抗攻击,涉及证件文档图像篡改,探讨了ELA模型、攻击成功率、篡改像素面积和视觉质量的评估指标。比赛要求参赛者进行PS篡改并规避检测,提供数据集和检测模型,以促进对抗样本领域的研究。
摘要由CSDN通过智能技术生成

  • 比赛名称:

    安全AI挑战者计划第五期:伪造图像的对抗攻击

  • 比赛链接:

    https://tianchi.aliyun.com/competition/entrance/531812/introductio 

    01    

引言

自己真心感谢阿里能够坚持下来长期举办的安全挑战者计划系列比赛,它对于参赛选手是一个非常好的锻炼平台,不仅获取宝贵经验,而且可以进一步钻研算法,把在比赛中的一些经验和技巧转化为学术论文,工程和学术两不误。

这次已经是第5期了,本期是伪造图像的对抗攻击,这是一个非常具有挑战性的领域。最关键的是每次比赛都有丰厚的奖品,也吸引了国内在这方面很多顶尖的人员参加,营造了一个很好的学习氛围。

    02    

题目概况

►赛题简介

阿里天池安全AI挑战者计划第五期比赛针对证件资质文档类图像的伪造图像对抗攻击竞赛,这次比赛区别于以往的图像取证比赛,它专注于自然内容图像并且更关注能够用于表征权利人权益的证明材料图像。

本次比赛采用的数据为10类不同图像真实的证书文档类图像。目标是通过对原始图像的特定候选区域进行伪造篡改或者说是P 图,做到视觉无伪造痕迹,并且让天池平台提供的图像取证模型无法识别篡改。

这次比赛了更好的评估参赛选手的攻击效果,主办方人员自行了设计了一个更加全面的衡量指标,除了必须有的攻击成功率外,还对伪造篡改的像素面积和图像视觉质量进行了评估。

►题目背景

本次比赛的背景是由于P图和篡改图像的技术越来越成熟和生成假图的成本越来越低,导致了假图可以被用于各种违法活动中,比如散播谣言、编造虚假新闻、非法获取经济利益,更有甚者,还可能会被用来恶意地充当法庭证据,给社会造成了一定的危害。

这是对抗样本的攻防在图像取证领取方面的博弈。本次比赛的任务通俗易懂的理解就是怎样成功攻击P图检测模型。

    03    

数据形式

本次比赛图像数据集为Adversarial_Challenge5_Data ,其中原始图像的总数量为200大小为513.53MB,图像的分辨率不固定,具体的数据样式如下图所示:

  • Adversarial_Challenge5_Data 数据集地址:

    https://tianchi-competition.oss-cn-hangzhou.aliyuncs.com/531812/Adversarial_Challenge5_Data.zip

每张图像限定五个区域进行篡改如下图所示四个红框位置加上盖章:

参赛者从10个类别中各任意选择2张进行伪造篡改,最终需要提交20张篡改图像即可。给定参赛者的数据时,同一张图像额外给定一张标定篡改位置信息的图像。篡改操作不限定(如splicing、copy-move、object removal等任意操作),允许进行后处理(如高斯模糊,JPEG压缩等)。并且不需要考虑图像的元数据。

    04    

Error Level Analysis

模型

本次比赛的检测模型有两个黑盒模型和一个ELA模型。其中ELA的英文全称是Error Level Analysis ,汉译为“错误级别分析”或者叫“误差分析”。它是通过检测特定压缩比率重新绘制图片后造成的误差分布,可用于识别JPEG图片的压缩。

►ELA原理

它把图片分割成很多个正方形中的1像素点,对每一个小块进行单独的色彩空间转换。每次对JPG图片的修改,都会进行第二次转换。两次转换自然会存在差异,ELA就是靠对比这种差异来判断图片的哪部分被修改过。ELA检测可以分为以下三部分:

  • 点,指画面中的重复纹理或者类似数据,重复纹理在ELA分析的时候应该表现出近似的颜色,细节较多的区域数据差异也应该大。

  • 线,是不同颜色大面之间的交界线,相同反差边缘应该表现出近似的ELA结果。反差越大,ELA值越高,线条越清晰

  • 面,纯色面不存在差异,也就不存在ELA,黑色或黑色着色。

如下图所示为ELA模型检测图像的效果示意图,左图和右图比对可以发现,图中嘴唇,衬衫,眼睛人脸和形体轮廓区域是高亮的,说明这些区域被修改过。

►模型获取

在github中挑选出比较好的ELA模型摘选自于文章《A Picture’s Worth 》 该程序是用keras编写的,环境配置容易而且程序简洁易懂很好实现,如下图所示核心代码短小精悍。

  • A Picture’s Worth地址:

    https://github.com/agusgun/FakeImageDetector/blob/master/fake-image-detection.ipynb 

除此之外,还有两个demo可以尝试用一下,在比赛中也有起到一定的帮助。一个是FotoForensics ,另一个是Forensically ,这两个demo的界面如下图所示:

  • FotoForensics 地址:

    http://fotoforensics.com/

  • Forensically 地址:

    https://29a.ch/photo-forensics/#forensic-magnifier 

    05    

指标介绍

参赛选手在每个提供的图像上都可以对选择图像的候选5个区域进行伪造篡改。其中对P图的方式和后处理方式没有任何限制,但是会要求篡改痕迹尽量肉眼不可见。

选手得分由四部分构成:未检出篡改的比例、候选区域内篡改像素比例、候选区域外像素变化的比例、篡改区域背景一致性。

为了保证比赛的难度,主办方选取了4种经典图像取证算法作为攻击目标,包括1个白盒模型—Error Level Analysis (ELA)和另外3个未知的黑盒模型。

在进行评估时,需要使用原始图像减去修改后的图像,得到修改量,然后分别计算候选区域外未修改得分和区域内的修改得分,同时计算篡改区域背景一致性得分,图像在4个检测模型的检测得分。

候选区域外像素变化越小,得分越高;候选区域内,改动的差异越大,的得分越高;篡改区域背景一致性越高,的得分越高;候选区域内修改内容越难被检测,得分越高。为了保证篡改符合场景语义,主办方对图像伪造篡改进行如下限制:

  • 对于篡改文字区域,篡改前后包含数量相等的文字;

  • 限制了伪造篡改后图像要求跟原始图像在像素层面上严格对齐,即不可以裁剪图像边缘,提交图像分辨率要求与原始图像一致;

  • 最后的得分是所提交20张图像的4个得分的总和,每张图像分数为120分,总分2400分:

►SSIM指标

其中

  • 3
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值