Exploring Decision-based Black-box Attacks on Face Forgery Detection

要約

顔偽造生成技術は鮮明な顔を生成するため、セキュリティとプライバシーに対する社会の懸念が高まっています。
電子決済や本人確認などの多くのインテリジェント システムは、顔の偽造検出に依存しています。
顔偽造検出は偽の顔を区別することに成功しましたが、最近の研究では、顔偽造検出は敵対的な例に対して非常に脆弱であることが証明されています。
一方、既存の攻撃は、予測されたラベルではなくネットワーク アーキテクチャやトレーニング データセットに依存しているため、デプロイされたアプリケーションへの攻撃にギャップが生じています。
このギャップを縮めるために、まず顔偽造検出に対する意思決定ベースの攻撃を調査します。
ただし、既存の意思決定ベースの攻撃を適用すると、摂動の初期化の失敗と画質の低下が直接的に発生します。
まず、さまざまなタスクにおける顔の特徴の高い相関関係を利用して、初期化の失敗を処理するクロスタスク摂動を提案します。
次に、顔偽造検出による周波数キューの使用にヒントを得て、周波数決定ベースの攻撃を提案します。
周波数領域で摂動を追加し、空間領域で視覚的な品質を制限します。
最後に、広範な実験により、私たちの手法が、FaceForensics++、CelebDF、産業用 API に対して最先端の攻撃パフォーマンスを達成し、高いクエリ効率と保証された画質を実現できることが実証されました。
さらに、私たちの方法による偽の顔は顔偽造検出と顔認識を通過する可能性があるため、顔偽造検出器のセキュリティ上の問題が明らかになります。

要約(オリジナル)

Face forgery generation technologies generate vivid faces, which have raised public concerns about security and privacy. Many intelligent systems, such as electronic payment and identity verification, rely on face forgery detection. Although face forgery detection has successfully distinguished fake faces, recent studies have demonstrated that face forgery detectors are very vulnerable to adversarial examples. Meanwhile, existing attacks rely on network architectures or training datasets instead of the predicted labels, which leads to a gap in attacking deployed applications. To narrow this gap, we first explore the decision-based attacks on face forgery detection. However, applying existing decision-based attacks directly suffers from perturbation initialization failure and low image quality. First, we propose cross-task perturbation to handle initialization failures by utilizing the high correlation of face features on different tasks. Then, inspired by using frequency cues by face forgery detection, we propose the frequency decision-based attack. We add perturbations in the frequency domain and then constrain the visual quality in the spatial domain. Finally, extensive experiments demonstrate that our method achieves state-of-the-art attack performance on FaceForensics++, CelebDF, and industrial APIs, with high query efficiency and guaranteed image quality. Further, the fake faces by our method can pass face forgery detection and face recognition, which exposes the security problems of face forgery detectors.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google