Accessorize to a Crime: Real and Stealthy Attacks on State-of-the-Art Face Recognition

论文笔记

作者：Mahmood Sharif, Sruti Bhagavatula, Lujo Bauer, Michael K. Reiter

单位：Carnegie Mellon University, University of North Carolina

来源：CCS'16

Introduction

目的：文章研究了攻击者该如何在目前最好的面部识别系统面前伪装成他人或避免检测。
文章关注的攻击模式中，攻击者：
1. 所采取的方式是不明显的，即必须是隐秘的、不引人瞩目的，比如通过使用目标照片，或3d打印目标的面部模型就不在文章的考虑范围之内。
2. 必须使用了某种物理手段，之前的大多数工作主要针对的是面部识别算法，而本文所研究的是在物理上可发现的攻击（physically realizable）

主要贡献：
1. 一个知晓FRS（face recognition systems）内部实现的攻击者该如何进行伪装和逃脱检测，以及该如何去限制这样的攻击
2. 使用商业化的FRS，证明了一个不知FRS内部实现的攻击者可以实行伪装攻击
3. 展示了一个攻击者是如何从最为流行的VJ面部检测算法前逃避检测的

Background

Threat Model

1. 攻击者无法污染训练数据，仅可根据其对分类模型的理解对输入组合进行改变
2. 默认攻击者知道FRS所采用的分类算法，知道特征空间和被训练后的分类模型。
3. 假设这是一个白盒测试，不过黑盒测试的场景也会被讨论

Deceiving Neural Networks

文章主要针对的是DNN（Deep Neural Network）算法。
其主要问题在于，如何在扰动的隐蔽性和最终结果的错误概率之间进行平衡，如下式所示：

其中，f(x)为x的分类结果，r为增加的扰动，$h_t$是某一分类的独热编码，k则是一个常数，用以平衡上述两个目标。
根据前人的工作，像这样的分类错误的例子是可以被系统化地找到的。
其原因可归结为两点：
1. 在使用数据进行训练的时候，只要数据是有限的，就不可避免地可能存在盲点（这一点可通过在训练样本中增加被正确标记的恶意输入来减缓）
2. DNN的每个神经元是由其输入的线性组合来激活的，对每个输入都进行微小的改动，其输出将受到巨大的影响，从而导致分类错误

这一现象表明了，对于人类而言一些小变化不会改变其对于图像的认知，可对机器来说则会有很大的影响。本文正是基于这样的想法骗过了FRS。

Approach

Attacking White-box FRSs

定义softmaxloss

<·，·>表示向量内积，N为分类的总数。所以当x分类正确时，softmaxloss低，当x分类错误时，softmaxloss高。

当一个攻击者希望进行伪装时，他仅需要f(x+r)和$h_t$之间的最小距离。

当攻击者希望躲避检测的时候，他则需要使f(x+r)和$c_x$之间的距离最大。

Facilitating Physical Realizability

1. 使用面部装饰，本文中使用了眼睛作为干扰项
2. 增加干扰强度，即该干扰项不仅针对一张图起作用，而是对一个人的所有图都起到作用
   
3. 增加干扰平滑度，因为图片本身一般都是由平滑变化的像素块组成，所以对于机器来说，相邻像素块之间的极端变化很有可能不会被识别
   
4. 增加干扰的可打印性
   

Evaluation

White-box Attack

Black-box Attack

Be Invisible