AdvGen: Physical Adversarial Attack on Face Presentation Attack Detection Systems

要約

現実世界に顔認証モデルを安全に導入するには、敵対的画像のリスク レベルを評価することが不可欠です。
プリント攻撃やリプレイ攻撃など、物理世界の攻撃に対する一般的なアプローチには、物理​​的および幾何学的アーティファクトが含まれるなど、いくつかの制限があります。
最近、キャプチャされた画像にわずかな変更を加えて、認識システムの学習戦略をデジタル的に欺こうとする敵対的攻撃が注目を集めています。
これまでのほとんどの研究では、敵対的な画像がデジタル的に認証システムに入力される可能性があると想定されていますが、現実世界に展開されているシステムでは必ずしもそうとは限りません。
この論文では、物理世界のシナリオにおける敵対的な画像に対する顔認証システムの脆弱性を実証します。
私たちは、印刷およびリプレイ攻撃をシミュレートし、物理ドメイン攻撃設定で最先端の PAD をだますことができる敵対的イメージを生成する、自動化された敵対的生成ネットワークである AdvGen を提案します。
この攻撃戦略を使用すると、攻撃の成功率は 82.01% に達します。
私たちは、4 つのデータセットと 10 個の最先端の PAD で AdvGen を広範囲にテストしています。
また、現実的な物理環境で実験を実施することで、攻撃の有効性を実証します。

要約(オリジナル)

Evaluating the risk level of adversarial images is essential for safely deploying face authentication models in the real world. Popular approaches for physical-world attacks, such as print or replay attacks, suffer from some limitations, like including physical and geometrical artifacts. Recently, adversarial attacks have gained attraction, which try to digitally deceive the learning strategy of a recognition system using slight modifications to the captured image. While most previous research assumes that the adversarial image could be digitally fed into the authentication systems, this is not always the case for systems deployed in the real world. This paper demonstrates the vulnerability of face authentication systems to adversarial images in physical world scenarios. We propose AdvGen, an automated Generative Adversarial Network, to simulate print and replay attacks and generate adversarial images that can fool state-of-the-art PADs in a physical domain attack setting. Using this attack strategy, the attack success rate goes up to 82.01%. We test AdvGen extensively on four datasets and ten state-of-the-art PADs. We also demonstrate the effectiveness of our attack by conducting experiments in a realistic, physical environment.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google