论文标题:Adversarial Light Projection Attacks on Face Recognition Systems A Feasibility Study
Dinh-Luan Nguyen1,2, Sunpreet S. Arora1, Yuhang Wu1, and Hao Yang1 1Visa Research, Palo Alto CA USA 943062Michigan State University, East Lansing MI USA 48824
生词
Adversarial——对抗性
vulnerable——易受伤害的
domains——领域
applicability——使用性
deployed——部署的
adversary——对抗者
malicious——恶意的
comprise——包括(v.)
generate——产生
impersonate——模仿
evade——逃避;规避(v.)
conduct——执行;举办
preliminary——初步的
intentionally——故意地
convolutional——卷积
neural——神经
perturb——扰动(n.)
intensity——强度;亮度
enrolled——注册过的
validate——证实
transmission——传播
potentially——潜在的
subclass——子类
spoof——欺骗
artifact——人工制造物
mimic——模仿
fabrication——制造;生产;谎言
specimen——标本
fabricate——编造;捏造
calibrates——校准
obfuscation——混淆
enforcement——执法;强制(n.)
scenarios——场景
infrared——红外线的
off-the-shelf——现成的
state-of-the-art——最先进的
resource-constrained——资源受限
broadly——笼统地
categories——类别
formulates——制定
gradients——渐变
detection——检测
circumvent——规避
patches——补丁
extensive——广泛的
gradient——坡度
mechanisms——机制
exploit——利用;开发;应用(v.)
inherently——天生的
unconstrained——不受约束的
ambient——周围的
interplay——相互作用
hence——因此
manual——手动的;手工的
annotate——注释(v.)
corresponding——相应的
reproduction——复制品;再生产
empirically——凭经验的
empirical——经验
pertain——属于;相关(v.)
with respect to——关于
proposed——建议的
impart——传授;传;发给(v.)
tuned——(tune的被动态)调谐(v.)
instruct——指示(v.)
occlude——遮挡;闭塞(v.)
thresholds——阈值
内容
1.Abstraction
·基于深度学习的系统对于数字、物理上的攻击都是脆弱的
·数字攻击有一定的局限性,而物理攻击直接的恶意输入是一个大威胁
·于是作者研究了一种现成的用摄像机投影的物理攻击,将数字对抗模式投射到物理域中的对抗因子的脸上,从而·实行对系统的攻击
2.Introduction
·基于深度学习的系统在学习时也是会出现一些不正确的结果,我们称它为对抗例子(adversarial examples),在卷积神经网络(CNN)的大多数对抗例子因为在数字领域扰动像素强度(pixel intensities)而发生,但这些数字攻击不会直接反映到物理层面。
·我们考虑一些特殊情况,例如人脸识别系统,接收人脸数据后会比照数据库。虽然安全机制可以强制保护数字存储和传输使用相机捕获的面部数据,对手可能通过提供恶意输入来欺骗系统直接到相机
·一些物理攻击方法实现了物理性的欺骗,比如用同一个人的多张相片,或者戴眼镜、帽子之类的遮掩物。但这些需要一些特定的人造物(?或者说有所凭依),也就是说还是比较又局限的。
·而作者就研究了投射光的物理攻击方法。这种对抗方法首先校准相机-投影仪设置,然后使用变换不变的对抗模式生成在数字领域中生成对抗模式的方法。然后就投射到对抗因子(比如人脸)上,达到混淆的目的。
·作者认为这样的方法和一些物理攻击方法有所优越性,比如有人研究戴一种有红外线的帽子来攻击,作者认为他的方法不用戴帽子,只需拿一个便携式的小投影仪就行(但我还是觉得这两个方法差不多)
贡献:
1.研究一种用现成的摄像机-投影仪攻击最先进的人脸识别的对抗光投影
2.一种有效的变换不变对抗模式生成方法,适用于进行实时对抗性光投射攻击。
3.展示最先进的人脸识别在白盒和黑盒设置中进行对抗性光投射的脆弱性。
3.Related Work
·作者先说明了对抗性攻击大致分为两类:数字攻击(digital attack)和物理攻击(physical attack)。
·同时又有指向性的(相当于往特定方向误导)、非指向性(随便误导,反正不对)的类别。
·接着是引出一些数字、物理攻击的研究
4.Adversarial Light Projection Attack
两步走:
(1)基于攻击环境校准投影设备以及在数字领域计算攻击样式
(2)将计算好的攻击样式投影到人脸上
5.Assumptions
·假设对抗因子使用开源算法生成对抗模式来攻击黑盒系统。这个假设利用了对抗模式在深度网络架构中高度可转移的特性。
·假设对手可以访问目标的图像。即是可以获得人脸数据且投影仪可以投射光到人脸上,以确保攻击的可能性。
6.Practical Considerations(实际考虑)
·首先,周围环境需要考虑,这明显会影响到攻击的有效性
·图像的变化,就如脸的远近,移动等
·能不能获取到识别系统内部的数据也很重要
7.Attack Setup Calibration
两步走:
(1)位置校准:
1.手动:顾名思义
2.自动:使用算法
(2)颜色校准
使用了一些算式,不是很懂,从略
8.Transformation-Invariant Adversarial Pattern Generation
生成对对手内部面部变化相对不变的对抗模式对于投射光攻击的成功至关重要。
令x和y分别为在对抗模式生成过程中使用的与数字域中的目标有关的图像。现有方法通过对对手的图像应用不同的变换来生成变换不变的对抗模式x。
Ti 对应于第 i 个变换,k 是转换总数,wi对应于Ti的权重且从0到k-1求和为1.
L 是对抗模式生成过程中使用的损失函数,我们假设 L 是使用人脸嵌入空间中的距离度量 M 计算的,因此需要最小化。
作者说这公式存在局限性
9.Computing representative adversary image
计算对手的平均代表性图像
所以式子变为此,这样就不需要为所有可能的变换显式计算损失函数,但在每次迭代中探索各种变换配置
10.Using the original adversary image
针对代表性图像 xavg 进行优化提供了一种实现变换不变性的有效方法。 然而,为了确保生成的模式不仅对代表图像 xavg 也对 x 保持对抗性特征,对 xavg 和 x 都进行了优化。 图 5 说明了平移和旋转不变性的示例优势。 其他转换也观察到了类似的好处。(看不懂)
11.Failure Cases
大部分实验还是成功的,但还有一些失败样例,作者分析了如下原因。
1.光投射要么覆盖整个面部,要么显着遮挡大部分面部,导致面部检测失败。 发现将对抗性光投射到面部的特定部位,例如脸颊或前额,在实践中获得更高的成功可能性。
2.环境光过量
3.人的极端面部姿势,比如做鬼脸啥的
4.投影光为聚焦到人脸上
12.Conclusions and Future Work
总结,没啥好说的
但我看完论文后,我想总结一下
首先,特别鸣谢谷歌翻译,在我啃生肉啃得自闭的时候,是它给了我一线生机,虽然很多专业名词翻译得一般,但它已经尽力了
其次,专业知识还不够,各种方法、词汇都是陌生的,对于阅读造成很大影响
最后,好好学习,天天向上!
网友评论