‘Мастерські обличчя’ здатні обійти понад 40% систем автентифікації особи за обличчям

Дослідники з Ізраїлю розробили нейронну мережу, здатну генерувати «майстерські» обличчя – зображення обличчя, кожне з яких здатне імітувати кілька ідентифікаторів. Робота свідчить про те, що можливо створити такі «майстерські ключі» для понад 40% населення, використовуючи лише 9 синтезованих облич StyleGAN Генеративної суперницької мережі (GAN) через три провідні системи розпізнавання облич.

Документ документ є спільною роботою школи комп’ютерних наук Блаватника та школи електротехніки, обидві в Тель-Авіві.

Під час тестування системи дослідники виявили, що одне згенероване обличчя може розблокувати 20% всіх ідентифікаторів у відкритій базі даних Labeled Faces in the Wild (LFW) Університету Массачусетсу, загальнодоступному репозиторію, який використовується для розробки та тестування систем автентифікації особи, і базі даних-бенчмарку для ізраїльської системи.

Робочий процес ізраїльської системи, який використовує генератор StyleGAN для ітеративного пошуку «майстерських облич». Джерело: https://arxiv.org/pdf/2108.01077.pdf

Новий метод покращує подібну недавню роботу Університету Сієни, яка вимагає привілейованого рівня доступу до машинного навчання. Натомість новий метод витягує узагальнені ознаки з публічно доступних матеріалів і використовує їх для створення ознак обличчя, які охоплюють величезну кількість ідентифікаторів.

Еволюція майстерських облич

StyleGAN спочатку використовується в цьому підході під чорною скринькою оптимізації методу, який зосереджується (не дивно) на високовимірних даних, оскільки важливо знайти найширші та найбільш узагальнені ознаки обличчя, які будуть задовольняти систему автентифікації.

Цей процес потім повторюється ітеративно, щоб охопити ідентифікатори, які не були закодовані в першому проході. У різних тестових умовах дослідники виявили, що можливо отримати автентифікацію для 40-60% лише з дев’яти згенерованих зображень.

Послідовні групи «майстерських облич», отримані в дослідженні за різними методами пошуку покриття, включаючи LM-MA-ES. Середнє покриття набору (MSC, метрика точності) вказано під кожним зображенням.

Система використовує еволюційний алгоритм, поєднаний з нейронним передбачувачем, який оцінює ймовірність того, що поточний «кандидат» узагальнить краще, ніж p-перцентиль кандидатів, згенерованих у попередніх проходах.

Фільтрація згенерованих кандидатів в архітектурі ізраїльської системи.

LM-MA-ES

Проект використовує алгоритм обмеженої пам’яті матричної адаптації (LM-MA-ES), розроблений для ініціативи 2017 року, яку очолює дослідницька група з машинного навчання для автоматичного проектування алгоритмів, підходу, який добре підходить для високовимірної чорної скринькової оптимізації.

LM-MA-ES виводить кандидатів випадково. Хоча це добре підходить до намірів проекту, додатковий компонент необхідний для визначення, які обличчя є найкращими кандидатами для автентифікації між ідентифікаторами. Тому дослідники створили «передбачувач успіху» нейронний класифікатор для відбору найкращих облич для завдання.

Раціонал передбачувача успіху, використаного в ізраїльському проєкті зі спуфінгу розпізнавання обличчя.

Оцінка

Систему було протестовано проти трьох систем розпізнавання облич на основі CNN: SphereFace, FaceNet і Dlib, кожна система архітектури містить метрику схожості та функцію втрат, які корисні для підтвердження точності системи.

Передбачувач успіху є нейронною мережею прямого поширення, яка складається з трьох повністю зв’язаних шарів. Перший з них використовує регуляризацію BatchNorm, щоб забезпечити узгодженість даних перед активацією. Мережа використовує ADAM як оптимізатор, з амбіційною швидкістю навчання 0,001 над пачками з 32 входними зображеннями.

Вихідні дані з трьох архітектур.

Всі три алгоритми, які були протестовані, були навчені за 26 400 викликів функції фітнесу, використовуючи相同ний набір з п’яти насінників.

Дослідники встановили на цьому етапі, що триваліші процеси навчання не приносять користі системі; фактично, ізраїльський підхід шукає вивести ключові дані на ранній стадії навчання моделі, де тільки найвищі ознаки були ще визначені. Це можна вважати певним даром у плані економії рамки.

Після встановлення базових результатів з Python-окруженням NeverGrad безградієнтової оптимізації Facebook, систему було профільовано проти ряду алгоритмів, включаючи різні бренди еволюційного алгоритму.

Дослідники виявили, що «жадібний» підхід на основі Dlib перевершив своїх конкурентів, створивши дев’ять майстерських облич, здатних розблокувати 42-64% тестового набору даних. Застосування передбачувача успіху системи ще більше покращило ці дуже сприятливі результати.

Документ стверджує, що «автентифікація на основі обличчя вкрай вразлива, навіть якщо немає інформації про цільовий ідентифікатор», і дослідники вважають свою ініціативу дійсним підходом до методології безпеки для систем розпізнавання обличчя.