«Майстер обличчя», яке може обійти понад 40% систем автентифікації за ідентифікатором обличчя

Дослідники з Ізраїлю розробили нейронну мережу, здатну генерувати «головні» обличчя – зображення обличчя, кожне з яких здатне видавати себе за кілька ідентифікаторів. Робота показує, що можна згенерувати такі «головні ключі» для понад 40% населення, використовуючи лише 9 облич, синтезованих генеративно-змагальною мережею (GAN) StyleGAN за допомогою трьох провідних систем розпізнавання облич.

Команда папір є результатом співпраці між Школою комп’ютерних наук Блаватника та Школою електротехніки, обидві в Тель-Авіві.

Тестуючи систему, дослідники виявили, що одне згенероване обличчя може розблокувати 20% усіх ідентифікацій у програмі Labeled Faces in the Wild Університету Массачусетсу (LFW) база даних з відкритим вихідним кодом, загальне сховище, яке використовується для розробки та тестування систем ідентифікації обличчя, а також база даних тестів для ізраїльської системи.

Робочий процес ізраїльської системи, який використовує генератор StyleGAN для ітеративного пошуку «головних облич». Джерело: https://arxiv.org/pdf/2108.01077.pdf

Новий метод покращує аналогічний недавній документ з Університету Сієни, який вимагає привілейованого рівня доступу до середовища машинного навчання. Навпаки, новий метод виводить узагальнені риси із загальнодоступного матеріалу та використовує їх для створення характеристик обличчя, які охоплюють величезну кількість ідентичностей.

Обличчя майстра, що розвиваються

СтильГАН спочатку використовується в цьому підході в рамках методу оптимізації чорного ящика, що зосереджується (що не дивно) на високовимірних даних, оскільки важливо знайти найширші та найбільш узагальнені риси обличчя, які задовольнять систему автентифікації.

Цей процес потім повторюється ітеративно, щоб охопити ідентифікатори, які не були закодовані під час початкового проходу. У різних умовах тестування дослідники виявили, що було можливо отримати автентифікацію на 40-60% лише з дев’ятьма згенерованими зображеннями.

Послідовні групи «головних облич», отримані в дослідженні за допомогою різних методів пошуку покриття, включаючи LM-MA-ES. Середнє значення покриття набору (MSC, метрика точності) зазначено під кожним зображенням.

Система використовує еволюційний алгоритм у поєднанні з нейронним предиктором, який оцінює ймовірність того, що поточний «кандидат» узагальнюватиметься краще, ніж p-перцентиль кандидатів, згенерованих у попередніх проходах.

Фільтрація згенерованих кандидатів в архітектурі ізраїльської системи.

ЛМ-МА-ЕС

У проекті використовується адаптація матриці обмеженої пам’яті (ЛМ-МА-ЕС) алгоритм, розроблений для ініціативи 2017 року під керівництвом Дослідницької групи з машинного навчання для автоматизованого проектування алгоритмів, підхід, який добре підходить для оптимізації багатовимірних чорних ящиків.

LM-MA-ES випадковим чином видає кандидатів. Хоча це добре відповідає меті проекту, потрібен додатковий компонент, щоб визначити, які обличчя є найкращими кандидатами для перехресної автентифікації. Тому дослідники створили нейронний класифікатор «Прогнозер успіху», щоб відсортувати потік кандидатів на обличчя, які найкраще підходять для цього завдання.

Обґрунтування прогнозу успіху, який використовується в ізраїльському проекті підробки ідентифікації обличчя.

Оцінка

Систему було протестовано з трьома дескрипторами обличчя на основі CNN: SphereFace, FaceNet та Dlib, причому кожна архітектура системи містить метрику подібності та функцію втрат, які корисні для перевірки показників точності системи.

Прогноз успіху - це a прямої нейронної мережі складається з трьох повністю з’єднаних шарів. Перше з цих застосувань Регулярізація BatchNorm щоб забезпечити узгодженість даних перед активацією. Мережа використовує АДАМ як оптимізатор, з амбітною швидкістю навчання 0.001 для пакетів із 32 вхідних зображень.

Вихід із трьох архітектур.

Усі три тестовані алгоритми були навчені для 26,400 XNUMX викликів фітнес-функцій з використанням того самого набору з п’яти початкових значень.

Дослідники на цей момент встановили, що триваліші процеси навчання не принесли користі системі; фактично, ізраїльський підхід прагне отримати ключові дані з ранньої стадії навчання моделі, де ще виявлено лише найголовніші характеристики. Варто зазначити, що це свого роду подарунок з точки зору економії фреймворку.

Встановлення базових результатів за допомогою Python-пристрою Facebook НеверГрад безградієнтне середовище оптимізації, система була профільована за низкою алгоритмів, включаючи різні марки Диференціальна еволюція евристичний.

Дослідники виявили, що «жадібний» підхід, заснований на Dlib, перевершив конкурентів, створивши дев'ять головних облич, здатних розблокувати 42%-64% тестового набору даних. Застосування Success Predictor системи ще більше покращило ці дуже сприятливі результати.

У статті стверджується, що «автентифікація на основі обличчя надзвичайно вразлива, навіть якщо немає інформації про цільову особу», і дослідники вважають свою ініціативу дієвим підходом до методології вторгнення в систему безпеки для систем розпізнавання облич.