揭秘丨反人臉識(shí)別，身份欺騙成功率達(dá)99.5%

在一些社交媒體平臺(tái)，每次你上傳照片或視頻時(shí)，它的人臉識(shí)別系統(tǒng)會(huì)試圖從這些照片和視頻中得到更多信息。比如，這些算法會(huì)提取關(guān)于你是誰、你的位置以及你認(rèn)識(shí)的其他人的數(shù)據(jù)，并且，這些算法在不斷改進(jìn)。

現(xiàn)在，人臉識(shí)別的克星——“反人臉識(shí)別”問世了。

多倫多大學(xué)Parham Aarabi教授和研究生Avishek Bose的團(tuán)隊(duì)開發(fā)了一種算法，可以動(dòng)態(tài)地破壞人臉識(shí)別系統(tǒng)。

他們的解決方案利用了一種叫做對(duì)抗訓(xùn)練（adversarial training）的深度學(xué)習(xí)技術(shù)，這種技術(shù)讓兩種人工智能算法相互對(duì)抗。

現(xiàn)在，深度神經(jīng)網(wǎng)絡(luò)已經(jīng)被應(yīng)用于各種各樣問題，如自動(dòng)駕駛車輛、癌癥檢測(cè)等，但是我們迫切需要更好地理解這些模型容易受到攻擊的方式。在圖像識(shí)別領(lǐng)域，在圖像中添加小的、往往不可察覺的干擾就可以欺騙一個(gè)典型的分類網(wǎng)絡(luò)，使其將圖像錯(cuò)誤地分類。

這種被干擾的圖像被稱為對(duì)抗樣本（ adversarial examples），它們可以被用來對(duì)網(wǎng)絡(luò)進(jìn)行對(duì)抗攻擊（adversarial attacks）。在制造對(duì)抗樣本方面已經(jīng)有幾種方法，它們?cè)趶?fù)雜性、計(jì)算成本和被攻擊模型所需的訪問級(jí)別等方面差異很大。

一般來說，對(duì)抗攻擊可以根據(jù)攻擊模型的訪問級(jí)別和對(duì)抗目標(biāo)進(jìn)行分類。白盒攻擊（white－box attacks）可以完全訪問它們正在攻擊的模型的結(jié)構(gòu)和參數(shù)；黑盒攻擊（black－box attacks）只能訪問被攻擊模型的輸出。

一種基線方法是快速梯度符號(hào)法（FGSM），它基于輸入圖像的梯度對(duì)分類器的損失進(jìn)行攻擊。FGSM是一種白盒方法，因?yàn)樗枰L問被攻擊分類器的內(nèi)部。攻擊圖像分類的深度神經(jīng)網(wǎng)絡(luò)有幾種強(qiáng)烈的對(duì)抗攻擊方法，如L－BFGS、acobian－based Saliency Map Attack（JSMA）、DeepFool和carlin － wagner等。然而，這些方法都涉及到對(duì)可能的干擾空間進(jìn)行復(fù)雜的優(yōu)化，這使得它們速度慢，計(jì)算成本高。

與攻擊分類模型相比，攻擊目標(biāo)檢測(cè)的pipeline要困難得多。最先進(jìn)的檢測(cè)器，例如Faster R－CNN，使用不同尺度和位置的對(duì)象方案，然后對(duì)它們進(jìn)行分類；其目標(biāo)的數(shù)量比分類模型大幾個(gè)數(shù)量級(jí)。

此外，如果受到攻擊的方案只是總數(shù)的一小部分，那么仍然可以通過不同的方案子集正確地檢測(cè)出受干擾的圖像。因此，成功的攻擊需要同時(shí)欺騙所有對(duì)象方案。

在這個(gè)案例中，研究人員證明了對(duì)最先進(jìn)的人臉檢測(cè)器進(jìn)行快速對(duì)抗攻擊是可能的。

研究人員開發(fā)了一種“隱私濾鏡”，可以干擾人臉識(shí)別算法。該系統(tǒng)依賴于2種AI算法：一種執(zhí)行連續(xù)的人臉檢測(cè)，另一種設(shè)計(jì)來破壞前者。

研究人員提出一種針對(duì)基于Faster R－CNN的人臉探測(cè)器的新攻擊方法。該方法通過產(chǎn)生微小的干擾（perturbation），當(dāng)將這些干擾添加到輸入的人臉圖像中時(shí)，會(huì)導(dǎo)致預(yù)訓(xùn)練過的人臉探測(cè)器失效。

為了產(chǎn)生對(duì)抗干擾，研究人員提出針對(duì)基于預(yù)訓(xùn)練Faster R－CNN人臉檢測(cè)器訓(xùn)練一個(gè)生成器。給定一個(gè)圖像，生成器將產(chǎn)生一個(gè)小的干擾，可以添加到圖像中以欺騙人臉檢測(cè)器。人臉檢測(cè)器只在未受干擾的圖像上進(jìn)行脫機(jī)訓(xùn)練，因此對(duì)生成器的存在渾然不覺。

隨著時(shí)間的推移，生成器學(xué)會(huì)了產(chǎn)生干擾，這種干擾可以有效地欺騙它所訓(xùn)練的人臉探測(cè)器。生成一個(gè)對(duì)抗樣本相當(dāng)快速而且成本低，甚至比FGSM的成本更低，因?yàn)闉檩斎雱?chuàng)建一個(gè)干擾只需要在生成器經(jīng)過充分的訓(xùn)練后進(jìn)行前向傳遞（ forward pass）。

兩個(gè)神經(jīng)網(wǎng)絡(luò)相互對(duì)抗，形成“隱私”濾鏡

研究人員設(shè)計(jì)了兩個(gè)神經(jīng)網(wǎng)絡(luò)：第一個(gè)用于識(shí)別人臉，第二個(gè)用于干擾第一個(gè)神經(jīng)網(wǎng)絡(luò)的識(shí)別人臉任務(wù)。這兩個(gè)神經(jīng)網(wǎng)絡(luò)不斷地相互對(duì)抗，并相互學(xué)習(xí)。

其結(jié)果是一個(gè)類似instagram的“隱私”濾鏡，可以應(yīng)用于照片，以保護(hù)隱私。其中的秘訣是他們的算法改變了照片中的一些特定像素，但人眼幾乎察覺不到這些變化。

“干擾性的AI算法不能‘攻擊’用于檢測(cè)人臉的神經(jīng)網(wǎng)絡(luò)正在尋找的東西?！?該項(xiàng)目的主要作者Bose說：“例如，如果檢測(cè)網(wǎng)絡(luò)正在尋找眼角，干擾算法就會(huì)調(diào)整眼角，使得眼角的像素不那么顯眼。算法在照片中造成了非常微小的干擾，但對(duì)于檢測(cè)器來說，這些干擾足以欺騙系統(tǒng)?！?/p>

算法1：對(duì)抗生成器訓(xùn)練

給定人臉檢測(cè)置信度的對(duì)抗成功率。α值是邊界框區(qū)域被分類為人臉之前的confidence threshold，右邊兩列表示600張照片中檢測(cè)到臉部的數(shù)量。

研究人員在300－W人臉數(shù)據(jù)集上測(cè)試了他們的系統(tǒng)，該數(shù)據(jù)集包含多種族，不同照明條件和背景環(huán)境的超過600張人臉照片，是一個(gè)業(yè)界的標(biāo)準(zhǔn)庫。結(jié)果表明，他們的系統(tǒng)可以將原本可檢測(cè)到的人臉比例從接近100％降低到0．5％。

所提出的對(duì)抗攻擊的pineline，其中生成器網(wǎng)絡(luò)G創(chuàng)建圖像條件干擾，以欺騙人臉檢測(cè)器。

Bose說：“這里的關(guān)鍵是訓(xùn)練兩個(gè)神經(jīng)網(wǎng)絡(luò)相互對(duì)抗——一個(gè)創(chuàng)建越來越強(qiáng)大的面部檢測(cè)系統(tǒng)，另一個(gè)創(chuàng)建更強(qiáng)大的工具來禁用面部檢測(cè)?！痹搱F(tuán)隊(duì)的研究將于即將舉行的2018年IEEE國際多媒體信號(hào)處理研討會(huì)上發(fā)表和展示。

將300－W數(shù)據(jù)集的人臉檢測(cè)和相應(yīng)的對(duì)抗樣本進(jìn)行對(duì)比，這些樣本具有生成的干擾，沒有被Faster R－CNN人臉檢測(cè)器檢測(cè)到。被檢測(cè)到的人臉被包圍在具有相應(yīng)置信度值的邊界框中。 為了可視化，干擾被放大了10倍。

除了禁用面部識(shí)別之外，這項(xiàng)新技術(shù)還會(huì)干擾基于圖像的搜索、特征識(shí)別、情感和種族判斷以及其他可以自動(dòng)提取面部屬性。

接下來，該團(tuán)隊(duì)希望通過app或網(wǎng)站公開這個(gè)隱私濾鏡。

“十年前，這些算法必須要由人類定義，但現(xiàn)在是神經(jīng)網(wǎng)絡(luò)自己學(xué)習(xí)——你不需要向它們提供任何東西，除了訓(xùn)練數(shù)據(jù)，”Aarabi說?！白罱K，它們可以做出一些非常了不起的事情，有巨大的潛力?！?/p>

生成海報(bào)

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）