Глубокие подделки могут привлечь больше внимания прессы, но изменение лица может стать более насущной проблемой безопасности для систем пограничного контроля, использующих биометрию для проверки личности путешественников, услышали участники семинара Европейской ассоциации биометрии.
Семинар EAB по цифровым манипуляциям с лицами и их обнаружению также был посвящён сопоставлению аудио и видео при генерации лиц, этическим и социальным последствиям цифровых манипуляций с лицами и глубоким подделкам. Другие темы презентации включали обнаружение искусственных лиц, состязательные атаки и фотореалистичное редактирование лиц.
Три презентации были специально посвящены угрозе изменения лица в документах, удостоверяющих личность, и тому, что можно сделать для её обнаружения.
Реальная проблема
Анналиса Франко (Annalisa Franco) из Болонского университета и iMars описывает морфинг как комбинацию деформации и смешивания текстур, применяемую к лицевым ориентирам, или продукт генеративных состязательных сетей (GAN).
Она описала, как искусственный интеллект используется для создания изображений лиц с двойной идентификацией, которые могут быть занесены в чип паспорта, чтобы позволить двум людям проходить биометрические проверки по одному и тому же документу, удостоверяющему личность. Это было определено как одна из наиболее серьезных угроз для биометрических систем безопасности, например, для пограничного контроля.
Реальные примеры наблюдались, начиная с 2018 года. Словенская полиция сообщила в 2021 году, что они наблюдали более 40 случаев морфинга, которые были предоставлены в рамках профессиональной услуги по выдаче словенских паспортов албанцам, чтобы позволить им путешествовать в Канаду.
Франко поделился примерами двух подходов к трансформации лица и обсудил их эффективность и ограничения.
Несмотря на эти ограничения, системы распознавания лиц, такие как ABC gates, уязвимы для атак с морфингом, о чём свидетельствуют две предложенные различные метрики оценки. Один из этих методов считает атаки успешными, если изменённое изображение может быть сопоставлено с любым зондирующим изображением, в то время как другая считает «частоту совпадения полностью сопоставленного представления морфологии» (FMMPMR) или успех всех зондирующих изображений обоих субъектов.
Франко предлагает новую метрику, известную как Потенциал атаки морфинга (MAP), которая основана на точке зрения преступника и учитывает переменное количество зондирующих изображений и несколько систем распознавания лиц.
Тест с использованием этого показателя показал, что более четверти изменённых изображений обманули все четыре системы распознавания лиц со всеми зондовыми изображениями, в то время как 85% измененных изображений обманули по крайней мере одну систему на одном зондовом изображении.
Методы обнаружения морфинга
Кристоф Буш (Christophe Busch) из NTNU и HAD сделал обзор обнаружения атак морфинга, отметив несколько нелогичный вывод о том, что более точные системы распознавания лиц, как правило, более уязвимы для морфинговых атак, чем менее точные. Превосходная устойчивость, которая делает некоторые системы более точными, объясняет Буш, также делает их уязвимыми для этого конкретного вида атак.
Обнаружение атак морфинга с помощью анализа текстуры через дескрипторы изображений с использованием локальных бинарных паттернов многообещающе, но обобщение с LBPs затруднено, по словам Буша. Неоднородность фотоотклика может выявить изображения, снятые двумя разными камерами, раскрывая морфинг в гистограммах.
К счастью, обнаружение атак морфинга обычно включает в себя не анализ одного изображения, а сравнение двух изображений. Это позволяет обнаруживать атаки с дифференциальным морфингом на основе различий в углах объекта и расстояниях.
Другой метод дифференциального изображения, предложенный в 2018 году Франко и двумя другими исследователями, также предусматривает возможность «деморфирования» путём инвертирования процесса морфинга и последующего подтверждения оценки сходства.
По словам Буша, показатели обнаружения атак, изложенные в стандарте ISO/IEC 30107-3, могут быть использованы для морфинга атак, но проведение оценок очень сложно.
Как NIST ЕС, так и NIST США работают над улучшением оценки обнаружения атак.
Практические оценки методов обнаружения были далее описаны Лууком Шпрееверсом (Luuk Spreeuwers) из Университета Твенте, который указал на различные виды следов, которые морфинг оставляет на изображениях.
Одинаковая частота ошибок систем обнаружения морфинга, о которых сообщается в научных статьях, как правило, составляет около 2%, но поскольку они основаны на одном методе морфинга и единой базе данных, Шпреуверс предупреждает, что эти результаты нельзя обобщать. По его словам, кросс-тесты на базе данных необходимы для понимания их практической эффективности.
Поэтому необходимы базы данных с изображениями, изменёнными с использованием различных методов. Однако система, обученная и протестированная на комбинированных наборах данных, обеспечила 35-процентный EER.
Команда Шпреуверса создала набор данных из 4 существующих наборов данных, чтобы создать базы данных для обучения и тестирования алгоритмов. Затем они использовали подход, основанный на текстурах, который, как сообщалось, хорошо работает, с классификатором SVM, используемым при извлечении объектов.
Исследователи обнаружили, что обнаружению морфинга можно помешать, введя небольшое количество гауссовского шума или уменьшив масштаб изображения, а затем увеличив его. Оба метода нарушают следы, оставленные процессом генерации морфов.
Объекты для создания морфов также должны выбираться на основе сходства, поскольку это то, что делают преступники, указывает Шпреуверс.
Как и Буш, Шпреуверс в заключение обращает свою аудиторию к современному проекту обнаружения морфинговых атак (SOTAMD), осуществляемому ЕС с целью создания базы данных для тестирования систем обнаружения морфинг-атак.
По материалам Biometrics Research Group. Автор Chris Burt