眼见为“活”吗?镜头前是否为真实用户在进行活体身份认证呢?今天给大家推荐的论文是来自宾州立ALPS Lab,浙江大学NESA Lab和山东大学ISecLab共同投稿的,目前已经发表在USENIX Security 2022上的工作Seeing is Living? Rethinking the Security of Facial Liveness Verification in the Deepfake Era。
人脸活体检测是配合人脸识别技术进行身份验证的一种生物识别技术,通过采集用户的人脸图像或视频,确定对象真实生理特征,从而验证镜头前的用户为“真人”。人脸活体检测可以高效地甄别欺诈行为,保障用户利益。相比于其他活体检测方案(例如虹膜活体检测),人脸活体检测对用户的硬件要求较低,便于部署。因此,人脸活体检测技术已经在许多安全敏感场景中得到应用,包括在线支付,银行开户和政府服务等。特别地,许多云平台服务厂商开始提供人脸活体检测API作为Platform-as-a-Service (PaaS),进一步降低了公司在产品中部署人脸活体检测的成本和技术难度。然而,相比于人脸活体检测技术的蓬勃发展,其潜在的安全风险还未被充分探索。尤其是,随着DeepFake技术的快速发展,在不需要任何专业知识的情况下,恶意用户可以轻易通过开源的DeepFake工具伪造所需要的虚假人脸视频。
作者提出了一个基于DeepFake的安全评估框架,可以灵活地对目标人脸活体检测系统的安全性进行评估。考虑到人脸活体检测API重要性,其安全风险将被成千上万的下游应用所继承。因此,本文选取其作为研究对象。本文旨在回答以下几个安全问题:DeepFake是否会给人脸活体检测带来新的安全威胁?不同的DeepFake技术所带来的安全威胁是否有差异?影响DeepFake攻击的因素是什么?面对DeepFake,需要怎样提升活体检测的安全性?
「预备知识」
人脸活体检测
人脸活体检测的流程如图1所示,其主要包含三个步骤:
-
用户与应用交互并录制相应人脸视频或图像;
-
在采集到用户的人脸数据后,应用将会调用人脸活体检测API对数据进行判断;
-
人脸活体API将对用户数据进行分析(包括活体检测,DeepFake检测,人脸匹配等),判断活体结果。
根据所需用户数据种类的不同,活体检测技术可分为4类。
-
图片活体:通过静态图片进行活体检测,主要用来防止重放攻击。
-
静默活体:无需用户进行繁琐的脸部动作或数字念读,只需要求用户正常拍摄一段人脸视频,使用即可进行真人活体校验,检测体验更好。
-
语音活体:用户需用户根据提示念读出相应数字验证码;将用户拍摄的数字密码念读视频分解成图像和音频,通过视频进行活体检测。
-
动作活体:需要用户根据提示做出相应的动作,通过眨眼、张嘴、摇头、点头等配合式组合动作,从而验证用户是否为真实活体本人操作。
DeepFake
如图2所示,一般来说,DeepFake技术可分为两类:人脸交换(Face Swapping)和人脸活化(Face Reenactment)。人脸交换是指将目标图片的身份迁移到驱动图片上,合成的图片具有目标图片的身份和驱动图片的背景。人脸活化是指将驱动图片的表情和姿态等迁移到目标图片,合成的图片具有目标图片的背景和身份,但是具有驱动图片的表情和姿态。
威胁模型
作者对真实场景的API进行评估,因此工作在黑盒场景下。此外,作者主要考虑One-shot Setting (攻击者只能获取受害者一张人脸图片),因为这是对攻击者绕过人脸活体检测的最低要求。
「方法介绍」
评估框架
作者提出第一个基于DeepFake的人脸活体检测框架——LiveBugger。如图3所示,该框架主要由三个部分组成:情报引擎(Intelligence Engine),深度伪造引擎(Deepfaker Engine)和分析引擎(Analysis Engine)。
情报引擎:情报引擎可利用定制的探测集自动验证云平台厂商宣称的防御特性,包括关联性检测,唇语检测和重放攻击检测。该引擎提供一个各云平台支持的验证功能集以及可配置接口。根据目标平台的API特性,可进行配置,并结合其他模块完成自动化评估。
深度伪造引擎:深度伪造引擎当前集成了6种SOTA的DeepFake方法。根据情报引擎的信息以及给定的相应配置文件,可自动合成所需人脸视频或图像,从而对目标人脸活体检测系统进行高效评估。
分析引擎:分析引擎包含一系列定制化指标可对目标人脸活体检测系统进行细粒度分析,包括活体检测能力,DeepFake检测能力等。
Proof-of-Concept(POC)攻击
为了在真实世界中评估DeepFake对于人脸活体检测系统的威胁,本文进行了POC攻击。具体来说,首先对运行着目标应用的本地设备的视频流进行劫持。然后通过LiveBugger合成虚假人脸视频并将视频流实时导入目标应用。
「实验评估」
实验设置
-
目标厂商:根据市场份额,作者选取了具有代表性的若干中国厂商,包括BD,TC,HW,CW,ST,和iFT。为了更好地评估威胁面,作者还进一步从全球市场选取了若干具有代表性的人脸活体检测服务厂商。
-
数据集:从Celeb-A Spoof中选取正常图片作为图片数据集,该数据集可提供后续实验需要的目标图片和参考图片。此外,从SiW-M中选取正常视频作为视频数据集,该数据集可提供后续实验需要的驱动视频。
-
DeepFake方法:根据威胁模型需求,选取了6种SOTA的DeepFake方法,包括X2Face, ICface, FSGANS, FSGANR, FOMM 和 FaceShifter。
「实验结果」
厂商评估结果
作者对四种活体对不同DeepFake技术的鲁棒性进行了广泛的评估。以静默活体为例,下图展示了不同的DeepFake方法对于目标厂商的评估结果,因为ST,CW和iFT未部署DeepFake检测,因此将活体检测绕过率(Anti-deepfake Evasion Rate)赋值为100%。首先,攻击者可以轻易利用DeepFake技术绕过人脸活体检测。特别地,对于CW,总体攻击成功率可以达到90%+。其次,DeepFake检测是十分必要的。例如,对于ICface攻击,BD的防御成功很大程度依赖于DeepFake检测的部署。
威胁探索结果
作者探索了各种影响攻击成功率的影响因素,包括目标图片,驱动视频以及API的偏见(性别,种族等)等。以API的偏见为例,如下表所示,可以发现种族与性别偏见在人脸活体检测API中确实存在,这会给特定人群带来安全风险。
POC攻击结果
作者同时对若干个真实应用中的人脸活体检测功能进行了评估,发现它们都可以被绕过。如下图所示,该应用要求用户摇头,本文合成虚假摇头视频并将视频流送入该应用,可以发现摇头动作被正确识别,从而成功绕过活体检测。
安全建议与反馈
作者根据评估结果,提出了许多安全建议。例如,动作活体检测需要根据当前DeepFake方法有针对性设计动作,采用合成难度高的动作。此外,作者将发现报告给相应厂商,并得到积极反馈和相当重视。例如,作者评估的厂商之一(BI)在收到报告后不久宣布开始加入DeepFake检测项目。
论文下载:https://arxiv.org/abs/2202.10673
投稿作者介绍:
李长江 宾夕法尼亚州立大学
宾夕法尼亚州立大学在读博士,目前主要研究方向为人工智能安全和隐私,相关研究成果已经发表在国际安全顶级会议USENIX Security。
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-07-04 眼见为活
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论