Detecting Adversarial Faces Using Only Real Face Self-Perturbations

要約

タイトル：実際の顔の自己摂動だけを用いた対抗的な顔の検出
要約：
-対抗的攻撃は、入力サンプルに特定のノイズを追加することによって、ターゲットシステムの機能を妨げることを目的とする。それは、顔認識システムに適用されると、セキュリティやロバスト性に対する潜在的な脅威をもたらす。
-既存の防御技術は、特定の対抗的な顔（adv-faces）を検出するための高い精度を達成しているが、新しい攻撃方法、特にGANベースの攻撃では、完全に異なるノイズパターンで迂回し、より高い攻撃成功率を達成する。
-さらに悪いことに、既存の技術は、防御を実装する前に攻撃データが必要であり、防御者に未知の新しい攻撃を防御するのは実用的ではない。
-本論文では、adv-facesの固有の一般性を調査し、実際の顔に三つのヒューリスティックに設計されたノイズパターンを追加することで、疑似adv-facesを生成することを提案する。
-我々は、犠牲者の顔認識システムに無関係であり、未知の攻撃にも無関心なリアルな顔とその自己摂動だけを使用して、adv-face検出器を訓練する最初の人です。
-adv-facesを分布外のデータと見なすことで、異常な局所色の偏差に焦点を当てた最大プーリングベースの2値分類器と決定境界正則化を組み合わせた新しいカスケードシステムを自然に導入します。
-LFWとCelebA-HQデータセットで行われた8つの勾配ベースの攻撃と2つのGANベースの攻撃において実験を行い、我々の方法がさまざまな未知の対抗的な攻撃に汎化することを検証する。

要約(オリジナル)

Adversarial attacks aim to disturb the functionality of a target system by adding specific noise to the input samples, bringing potential threats to security and robustness when applied to facial recognition systems. Although existing defense techniques achieve high accuracy in detecting some specific adversarial faces (adv-faces), new attack methods especially GAN-based attacks with completely different noise patterns circumvent them and reach a higher attack success rate. Even worse, existing techniques require attack data before implementing the defense, making it impractical to defend newly emerging attacks that are unseen to defenders. In this paper, we investigate the intrinsic generality of adv-faces and propose to generate pseudo adv-faces by perturbing real faces with three heuristically designed noise patterns. We are the first to train an adv-face detector using only real faces and their self-perturbations, agnostic to victim facial recognition systems, and agnostic to unseen attacks. By regarding adv-faces as out-of-distribution data, we then naturally introduce a novel cascaded system for adv-face detection, which consists of training data self-perturbations, decision boundary regularization, and a max-pooling-based binary classifier focusing on abnormal local color aberrations. Experiments conducted on LFW and CelebA-HQ datasets with eight gradient-based and two GAN-based attacks validate that our method generalizes to a variety of unseen adversarial attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI