On the Adversarial Inversion of Deep Biometric Representations

要約

タイトル：ディープバイオメトリックス表現の敵対的逆転について

要約：
– バイオメトリック認証サービスのプロバイダは、指紋や顔の画像などの生のバイオメトリックサンプルをその数学的（特徴空間）表現から逆算することはできないと主張している。
– この論文では、ディープニューラルネットワーク（DNN）の埋め込み例を使用して、この主張を調査する。
– DNN埋め込みの逆転は、深層学習画像表現の説明や正規化された画像の合成のために調査されている。既存の研究では、元のモデルのすべてのレイヤーに完全にアクセスできること、および元のデータセットのすべての可能な情報にアクセスできることを利用している。
– バイオメトリック認証のユースケースでは、攻撃者は特徴空間表現にアクセスできますが、元のデータセットまたは元の学習済みモデルには直接アクセスできません。代わりに、データセットの分布や元の学習プロセスに関する攻撃者のバックグラウンド知識の程度が異なる場合を仮定します。
– これらの場合において、我々は攻撃者がオフシェルフDNNモデルと公開データセットを利用して、得られた表現と攻撃者の以前の知識に基づいて、元の学習モデルの振る舞いを模倣することができることを示します。
– 我々は、元のDNNを推定することによって生データを再構築する2つのプロングアタックを提案しています。我々は、人気のあるDNNを使用した、2つの主要なバイオメトリックモダリティ、顔と指紋認識のためにトライを行いました。攻撃は、元の認識モデルを効果的に推定でき（顔の平均精度83％、指紋の平均精度86％）、いくつかのモデルでは1vs1認証精度が92％に達する、効果的な生体認証復元を作製することができます。

要約(オリジナル)

Biometric authentication service providers often claim that it is not possible to reverse-engineer a user’s raw biometric sample, such as a fingerprint or a face image, from its mathematical (feature-space) representation. In this paper, we investigate this claim on the specific example of deep neural network (DNN) embeddings. Inversion of DNN embeddings has been investigated for explaining deep image representations or synthesizing normalized images. Existing studies leverage full access to all layers of the original model, as well as all possible information on the original dataset. For the biometric authentication use case, we need to investigate this under adversarial settings where an attacker has access to a feature-space representation but no direct access to the exact original dataset nor the original learned model. Instead, we assume varying degree of attacker’s background knowledge about the distribution of the dataset as well as the original learned model (architecture and training process). In these cases, we show that the attacker can exploit off-the-shelf DNN models and public datasets, to mimic the behaviour of the original learned model to varying degrees of success, based only on the obtained representation and attacker’s prior knowledge. We propose a two-pronged attack that first infers the original DNN by exploiting the model footprint on the embedding, and then reconstructs the raw data by using the inferred model. We show the practicality of the attack on popular DNNs trained for two prominent biometric modalities, face and fingerprint recognition. The attack can effectively infer the original recognition model (mean accuracy 83\% for faces, 86\% for fingerprints), and can craft effective biometric reconstructions that are successfully authenticated with 1-vs-1 authentication accuracy of up to 92\% for some models.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI