Exposing Fine-Grained Adversarial Vulnerability of Face Anti-Spoofing Models

要約

タイトル: 顔対策モデルの微細な逆説弱点を明らかにする

要約:

– 顔 anti-spoofing は、スプーフィング顔画像（例：印刷された写真）とライブ顔画像を区別することを目的としています。
– しかしながら、敵対的な例は予測を簡単に変えることができるため、信頼性に大きな挑戦を与えます。
– 以前の作品では、どのモデルアーキテクチャや補助機能が敵対的であるかについて、微細な分析なしに adversarial attack methods を実行して顔 anti-spoofing の性能を評価していました。
– この問題を解決するために、我々は、マルチタスクモジュールと意味的特徴拡張（SFA）モジュールから成る、顔 anti-spoofing モデルの微細な逆説弱点を明らかにするための新しいフレームワークを提案しています。
– マルチタスクモジュールは、別々の意味的特徴を取得して、さらに評価できますが、これらの意味的特徴の攻撃は、差別関連の逆説的な弱点を反映していないため、失敗します。
– その後、我々は、データ分布事前に基づいて、より差別関連の勾配方向を導入し、逆説的な例を生成するためにSFAモジュールを設計しました。
– 包括的な実験では、SFAモジュールは、攻撃成功率を平均して40％近く増加させました。
– この微細な逆説的な分析は、異なる注釈、幾何マップ、バックボーンネットワーク（例：Resnetネットワーク）に対して実行されます。
– これらの微細な逆説的な例は、堅牢なバックボーンネットワークと補助機能を選択するために使用できます。
– また、逆説的なトレーニングに使用できるため、顔 anti-spoofing モデルの正確性と堅牢性をさらに改善することが実用的に可能となります。

要約(オリジナル)

Face anti-spoofing aims to discriminate the spoofing face images (e.g., printed photos) from live ones. However, adversarial examples greatly challenge its credibility, where adding some perturbation noise can easily change the predictions. Previous works conducted adversarial attack methods to evaluate the face anti-spoofing performance without any fine-grained analysis that which model architecture or auxiliary feature is vulnerable to the adversary. To handle this problem, we propose a novel framework to expose the fine-grained adversarial vulnerability of the face anti-spoofing models, which consists of a multitask module and a semantic feature augmentation (SFA) module. The multitask module can obtain different semantic features for further evaluation, but only attacking these semantic features fails to reflect the discrimination-related vulnerability. We then design the SFA module to introduce the data distribution prior for more discrimination-related gradient directions for generating adversarial examples. Comprehensive experiments show that SFA module increases the attack success rate by nearly 40$\%$ on average. We conduct this fine-grained adversarial analysis on different annotations, geometric maps, and backbone networks (e.g., Resnet network). These fine-grained adversarial examples can be used for selecting robust backbone networks and auxiliary features. They also can be used for adversarial training, which makes it practical to further improve the accuracy and robustness of the face anti-spoofing models.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI