本公众号已经改版,推出了线上线下课程,并且推出免费2个月广告服务业界优质产品。
面部识别系统已经成为主流技术。最近,苹果和三星都推出了支持面部识别技术的智能手机。由于使用了深度神经网络(DNNs),面部识别系统现在与人类行为非常接近,而DNN的一大漏洞就是敌对性攻击。
图片来自“123rf.com.cn”
本文来自towardsdatascience,作者Saurav Chakravorty;由亿欧编译。
面部识别系统已经成为主流技术。最近,苹果和三星都推出了支持面部识别技术的智能手机。上周,TSA启动了一项试点计划,允许美国公民使用面部识别作为主要验证系统,快速通过机场安检。中国是世界上使用面部识别认证的领导者。经济学人杂志估计,数百万中国人已经在智能手机上“刷”脸以授权支付。由于使用面部识别进行身份验证变得越来越流行,所以想要攻击这种系统的黑客也越来越多。
由于使用了深度神经网络(DNNs),面部识别系统现在与人类行为非常接近。而DNN的一大漏洞就是敌对性攻击。
什么是敌对性攻击?
敌对性攻击试图误导网络来预测错误类。在这篇开创性的论文中(Szegedy et.al.2014 arXiv:1312.6199v4),人类眼睛无法感知的极其细微的存在,就可以混淆神经网络。
在上面的例子中,DNN成功地识别了左侧面板图像中的物体。然而,如果在中间的面板上引入细微的干扰,那么右侧面板上的新图像就会被错误分类。干扰是及其微小的,以至于左侧面板和右侧面板肉眼看上去完全一样。
如果有人试图盗用别人的护照非法进入一个国家,他需要做的就是稍微改变面部特征,那么基于面部识别系统的DNN就会让他通过。
为什么世界级的DNNs能够被轻易愚弄?
首先,我确认上述结果并非来自低精度低容量的神经网络。即使是最精密的模型也容易受到此类攻击。本文引用了2014年的GoogLeNet,从那时起,这些测试就被其他DNN重复使用了。
如果这些模型和最初设计预想时一样好,那么深度学习模式是否更容易发生这种攻击呢?一些模型,如RBF网络不容易发生敌对攻击(Goodfellow et al 2016,arXiv:1412.6572)。但RBF网络的召回率要低得多。RBF网络牺牲了大量的召回率以获得更高的精度。如果发生DNNs的敌对案例也很常见。Ian Goodfellow(Goodfellow et al,2016,arXiv:1412.6572)已经证明,对于大多数DNNs来说,可以找到敌对性的例子。这意味着即使是训练有素的系统,一个有决心的黑客总能找到一个对抗性的例子来愚弄面部识别系统。而对抗性的例子对于人类肉眼来说绝对无法察觉,这种伪装的威胁非常真实。
我们如何创造一个对抗性的例子?
在面部识别方面,我们希望我们的敌对示例能够成功地建立两个任务
1、回避——主体避免面部识别系统的识别。
2、模仿——主体模仿别人。
在这两项任务中,转换都是可行的,例如,化浓妆或戴面具不会奏效,因为注意力会在真实情况下产生变化。
Mahmood Sharif等人使用一种优化方法来回避和模仿。以避免他们进行优化。
其中“r”是应用于图像的干扰。使用这种技术,他们能够成功地避开一个预先训练的DNN。
上面的例子,左侧的图像被正确分类,而中间的图像并没有。这两个图像只有细微的干扰,如右侧面板所示。
使用类似的技术,作者展示了一个非常可信的模拟。DNN成功地识别了高度相似的Reese Witherspoon和Russel Crowe。但同样的网络将戴眼镜的Reese(中间面板)识别为Russel。
我们如何预防这类攻击?
在这一点上,让我提醒一下,其中许多想法都不够实际。当DNN重量已知时,最好的对抗生成器是有效的。然而,对于黑匣子人脸识别系统,我们只能访问响应,这样的攻击也不起作用。然而,无论是识别系统还是攻击,都日益发展成熟。
生成的对抗性网络(GANs)可以通过使DNNs更强大来防御敌对攻击。虽然关于这个课题的研究还远未完成,但似乎创建高容量网络(Madry et al,2017,arXiv:1706.06083),通过使用GAN生成的示例进行训练,可以帮助创建更强大的面部识别系统。另一种方法可能是使用一个完全不同的网络——“胶囊网络”,在名为《回旋神经网络有什么问题?》的演讲中,Geoffrey Hinton解释道。
在过去的几年里,我们在DNN和面部识别系统领域取得了巨大的进步。随着面部识别逐渐成为主流,我们将会看到各种各样的应用,从认证到监管。新的想法可能带来未知的挑战。诸如躲避和模仿之类的攻击频率和复杂性都会增加。但我相信通过人类的聪明才智和技术,我们将克服这些挑战。
可添加本人微信号fpwhljy或扫码一下公众号:可进技术和行业群交流。