Towards Effective Adversarial Textured 3D Meshes on Physical Face Recognition

要約

顔認識は、多数の生体認証アプリケーションで普及している認証ソリューションです。
物理的な敵対的攻撃は、重要なサロゲートとして、顔認識システムの弱点を特定し、導入前にその堅牢性を評価できます。
ただし、既存の物理的な攻撃のほとんどは、商用の認識システムに対して容易に検出できるか、効果がありません。
この作業の目標は、商用システムの敵対的堅牢性のエンドツーエンド評価を実行できる、より信頼性の高い手法を開発することです。
この手法は、ブラック ボックスの認識モデルを欺くと同時に防御メカニズムを回避できる必要があります。
これを実現するために、人間の顔に精巧なトポロジを備えた敵対的テクスチャ 3D メッシュ (AT3D) を設計します。これを 3D プリントして攻撃者の顔に貼り付けることで、防御を回避できます。
ただし、メッシュベースの最適化体制は、高次元メッシュ空間で勾配を計算し、不十分な伝達性で局所最適化に閉じ込められる可能性があります。
メッシュベースの空間から逸脱するために、3Dモーファブルモデルに基づいて低次元係数空間を摂動することを提案します。これにより、ブラックボックスの転送可能性が大幅に向上し、検索効率が向上し、視覚的な品質が向上します。
デジタルおよび物理的なシナリオでの広範な実験は、3 つの認識 API、4 つのなりすまし防止 API、2 つの一般的な携帯電話、および 2 つの自動アクセス制御システムを含む、複数の一般的な商用サービスのセキュリティの脆弱性を、私たちの方法が効果的に調査することを示しています。

要約(オリジナル)

Face recognition is a prevailing authentication solution in numerous biometric applications. Physical adversarial attacks, as an important surrogate, can identify the weaknesses of face recognition systems and evaluate their robustness before deployed. However, most existing physical attacks are either detectable readily or ineffective against commercial recognition systems. The goal of this work is to develop a more reliable technique that can carry out an end-to-end evaluation of adversarial robustness for commercial systems. It requires that this technique can simultaneously deceive black-box recognition models and evade defensive mechanisms. To fulfill this, we design adversarial textured 3D meshes (AT3D) with an elaborate topology on a human face, which can be 3D-printed and pasted on the attacker’s face to evade the defenses. However, the mesh-based optimization regime calculates gradients in high-dimensional mesh space, and can be trapped into local optima with unsatisfactory transferability. To deviate from the mesh-based space, we propose to perturb the low-dimensional coefficient space based on 3D Morphable Model, which significantly improves black-box transferability meanwhile enjoying faster search efficiency and better visual quality. Extensive experiments in digital and physical scenarios show that our method effectively explores the security vulnerabilities of multiple popular commercial services, including three recognition APIs, four anti-spoofing APIs, two prevailing mobile phones and two automated access control systems.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google