Exposing Fine-Grained Adversarial Vulnerability of Face Anti-Spoofing Models

要約

顔のなりすまし対策は、なりすましの顔画像 (印刷された写真など) を実際の顔画像と区別することを目的としています。
ただし、敵対的な例は、その信頼性に大きな疑問を投げかけています。摂動ノイズを追加すると、予測が簡単に変更される可能性があります。
以前の研究では、どのモデル アーキテクチャまたは補助機能が敵対者に対して脆弱であるかを詳細に分析することなく、顔のスプーフィング防止パフォーマンスを評価するために敵対的攻撃方法を実施していました。
この問題を処理するために、マルチタスク モジュールとセマンティック機能拡張 (SFA) モジュールで構成される、顔のなりすまし防止モデルのきめ細かな敵対的脆弱性を公開する新しいフレームワークを提案します。
マルチタスク モジュールは、さらなる評価のためにさまざまなセマンティック機能を取得できますが、これらのセマンティック機能を攻撃するだけでは、差別関連の脆弱性を反映できません。
次に、SFA モジュールを設計して、敵対的な例を生成するための、より識別に関連する勾配方向の前にデータ分布を導入します。
包括的な実験では、SFA モジュールによって攻撃の成功率が平均で 40$\%$ 近く増加することが示されています。
さまざまな注釈、幾何学的マップ、およびバックボーン ネットワーク (Resnet ネットワークなど) に対して、このきめの細かい敵対的分析を行います。
これらのきめの細かい敵対的な例は、堅牢なバックボーン ネットワークと補助機能を選択するために使用できます。
それらは敵対的トレーニングにも使用できるため、顔のなりすまし防止モデルの精度と堅牢性をさらに向上させることが実用的になります。

要約(オリジナル)

Face anti-spoofing aims to discriminate the spoofing face images (e.g., printed photos) from live ones. However, adversarial examples greatly challenge its credibility, where adding some perturbation noise can easily change the predictions. Previous works conducted adversarial attack methods to evaluate the face anti-spoofing performance without any fine-grained analysis that which model architecture or auxiliary feature is vulnerable to the adversary. To handle this problem, we propose a novel framework to expose the fine-grained adversarial vulnerability of the face anti-spoofing models, which consists of a multitask module and a semantic feature augmentation (SFA) module. The multitask module can obtain different semantic features for further evaluation, but only attacking these semantic features fails to reflect the discrimination-related vulnerability. We then design the SFA module to introduce the data distribution prior for more discrimination-related gradient directions for generating adversarial examples. Comprehensive experiments show that SFA module increases the attack success rate by nearly 40$\%$ on average. We conduct this fine-grained adversarial analysis on different annotations, geometric maps, and backbone networks (e.g., Resnet network). These fine-grained adversarial examples can be used for selecting robust backbone networks and auxiliary features. They also can be used for adversarial training, which makes it practical to further improve the accuracy and robustness of the face anti-spoofing models.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google