特殊眼镜改变人的性格以实现人脸识别系统

人脸识别系统中的成功模仿。左：女演员里斯·威瑟斯彭（Reese Witherspoon），其神经网络识别身份的可能性为100％。在中心：为演员罗素·克劳（Russell Crowe）模仿而挑选的眼镜。右图：假冒的受害者

由于神经网络，机器视觉系统在人脸识别方面达到了创纪录的准确性。即使在模糊的照片和仅部分可见面部的照片中，也几乎可以清楚地识别一个人的个性。创建的算法考虑了上下文：服装，环境，步态。到目前为止，这些仅仅是先进的技术发展。但是考虑到围绕恐怖主义和安全的全球狂躁情绪（尽管死于恐怖主义的人数减少了53倍）而不是交通事故），毫无疑问，此类识别程序很快将与公共场所的数百万个室外监控摄像机连接。问题是，有什么方法可以对抗这种监视？

人脸识别非常困难，但是科学家仍然试图在人脸识别系统中发现“漏洞”。欺骗这样的系统需要一种改变物理外观的特定方法。扔头罩或戴大墨镜是没有问题的。但这是可疑的-露脸的人可能会被警察或保安人员拘留。必须有更智能的方法。某些微小的变化当然可以绕过计算机识别系统，但同时它们几乎不会影响他人在他人眼中的感知，并且不会引起怀疑。

该任务类似于垃圾邮件分发者解决的绕过垃圾邮件过滤器的任务。他们需要消息以可读的形式到达消费者，但绕过了计算机筛选器。因此，在这里-一个人必须被人公开和良好地识别，但不应被神经网络识别。


攻击者的脸（左），攻击的图示（中）和假冒的受害者（右）。

理想情况下，系统应该将人的张开脸识别为陌生人的脸，遵循取代电影“特别意见”主要角色的模式。在这种情况下，警卫和警察根本不会有任何投诉，而且此人将能够在由CCTV摄像机扫描的公共场所自由移动。

重要的是要准确地了解哪些变化对人脸识别中的神经网络算法影响最大。卡内基·梅隆大学的一组研究人员详细研究了这一问题，并于近期发表了有关该主题的研究结果。实际上，研究人员正在谈论一种新型的攻击。

物理上改变外观的攻击，但同时对外部观察者无害。

与其他类似的攻击不同，在这种情况下，研究人员关注“无害”因素，因此操纵神经网络这一事实不会引起陌生人的怀疑，包括正在监视来自监视摄像机的视频流的保安人员。

科学家发现，在这种情况下，使用具有特殊选择模式的眼镜会最有效，这种模式会影响神经网络识别人脸。面部识别系统的测试确定，神经网络最脆弱的点是眼睛周围面部特定位置中相邻像素颜色的比较。

“无害”确实很重要，因为如果被拘留，一个人将有机会有效地否认恶意意图。没有人能证明这些眼镜是专门设计来欺骗人脸识别系统的，并且没有随机的颜色。

研究人员提出了进行攻击的两种选择：模仿和逃避。在第一种情况下，任务是戴眼镜给其他人的面部露出他的脸。如果发生逃避攻击，任务就是戴眼镜将其他人的脸露出来。

如在真实面部识别系统上的测试所示，在大多数情况下，可能会为某些人创建此类眼镜。例如，对于一个白人男子的脸，在87.87％的案例中，特别挑选的眼镜冒充了Mila Jovovich的身份。这项科学工作的三位作者（三名白人）对眼镜进行了自我测试，并指出，具有特定图案的印刷眼镜在大多数现代商业人脸识别系统中，有80％的情况逃避了攻击。

当然，模仿攻击的成功与否很大程度上取决于攻击者的种族和肤色。例如，在88％的案件中，一名南亚妇女可以假扮中东男子，但在16.13％的案件中，中东男子可以假扮Clive Owen（白人）。

该系统已在Face ++面部识别系统以及使用迄今为止最常见的Viola-Jones方法的面部检测系统中进行了测试。 2001年提出的Viola-Jones算法在包括OpenCV计算机视觉库在内的许多流行程序中得以实现。它可以找到具有高准确性和低误报率的人脸。

科学家对算法进行了优化，以使眼镜的外观最美丽，并具有柔和的颜色过渡，适合在传统打印机上进行打印。



研究人员估计，绕过现代人脸识别系统的打印框架和纸眼镜将花费约22美分。为了测试识别逃避系统的有效性，从PubFig人脸照片数据库中选择了20张随机照片。使用标准眼镜可以使20起案件中的19起逃避袭击，并且使用辅助配件（隐形眼镜，冬帽等）将袭击成功率提高到100％。科学家们还指出，该方法不仅可以在带有开放源代码的人脸识别系统中成功运行，而且还可以在诸如黑匣子之类的系统上成功运行。

Source: https://habr.com/ru/post/zh-CN398915/