摘要
随着人脸识别技术(FR,Facial Recognition)迅速普及,反人脸识别技术(AFR,Anti-Facial Recognition)作为对抗性研究变得越来越重要。反识别技术能够在某些情况下帮助用户避免不必要的面部识别,同时也能够促进人脸识别技术的可用性和安全性。本文将对不同的反人脸识别技术进行全面分析。
0x01 工作介绍
近年来,人脸识别系统的部署数量迅速增长,并成为人们日常生活中越来越常见的一部分。然而,这也引发了人们对滥用人脸识别技术的担忧。现在,个人或机构可以利用一定的资源从社交媒体和在线资源中提取训练数据,构建能够识别大量用户面部的识别模型。
为了对抗未经授权的人脸识别行为,反人脸识别工具应运而生。这些工具针对人脸识别系统的不同组成部分,包括数据收集、模型训练和实时识别等方面,旨在防止未经授权的人脸识别。尽管大多数工具仍处于实验原型阶段,但其中一些工具已经发布了公共软件版本,并受到了广泛媒体关注,例如Fawkes、LowKey和CV Dazzle等。这些反识别工具在技术方面存在很大差异,并且针对人脸识别系统的不同工作阶段提供解决方案。为了更好地了解这些工具的特点、突显性能权衡、并确定未来的发展方向,有必要对这些工具进行综合分析和研究。
0x02 人脸识别系统
A. 技术介绍
作为背景,本章将概述当今的人脸识别系统及其实际应用,包括系统的关键工作阶段和部署方式。人脸识别系统通过对面部特征进行识别来区分不同的个体,通常是通过将未知面部的图像(或视频)与已知面部数据库进行比较。在过去的二十年中,这项技术取得了显著的发展,并产生了许多不同的分支。
目前,最先进且广泛应用的人脸识别系统采用深度神经网络(DNN,Deep Neural Network)从给定的面部图像中提取独特的特征。人脸识别系统可以表示为S = {G,F,C,D},其目标是将查询图像xI与个体的真实身份I相关联。具体包括以下方面:
• 被查询图像(xI):要被F识别的面部图像。
• 预处理引擎(G):为识别任务准备原始面部图像的处理功能,例如,检测和裁剪单个面部。
• 面部特征提取器(F):将面部图像转换为特征向量的 DNN,即个体独特面部特征的数学表示。
• 参考数据库(D):面部图像及其已知身份的特征向量vI的集合,即用户 I 的真实图像 R 和 F(G(R)) = vI。
• 实时分类器(C):此函数运行查询搜索,将被查询图像 F(G(xI)) 与 D 进行匹配。如果最接近的特征向量 vI 足够相似,则被查询图像将被识别为 I。理想情况下,它应该产生 C(F(G(xI )), D) = C(F(G(R)), D),其中 xI 是之前未识别的 I 图像,R是参考 I 的真实图像。
• 人脸识别与面部验证:要注意人脸识别和面部验证(Face Verification)是有区别的。面部验证广泛应用于验证移动设备上的用户,例如 iPhone 上的 Face ID。它通过将用户的面部特征与授权用户存储的面部特征进行比较来进行验证。虽然这两个系统使用了类似的技术来分析面部图像,但面部验证系统需要用户明确同意才能部署,而许多人脸识别系统在未经用户同意的情况下运行。因此,大多数反识别工具并不针对面部验证系统。此外,面部验证系统可以被看作是人脸识别系统的一种特例,其中参考数据库只包含一个用户的特定面部信息。人脸识别系统的识别流程如下所示:
B. 工作阶段
人脸识别系统的整体工作阶段对应于其特定的子任务,其中包含用户和人脸识别系统之间存在直接交互的五个关键阶段。下图描述了人脸识别系统 S = {G, F, C, D} 的五个工作阶段。包括图像收集、图片预处理、训练特征提取器、创建参考数据库和查询匹配。整体流程包括两个主要部分:面部特征提取器和参考数据库的创建;以及针对未知面部的实时识别。
系统的五个工作阶段如下:
阶段① – 收集面部图像:面部图像主要来自两个来源,即在线图像抓取或物理拍摄人物照片。
阶段② – 原始图像预处理:从第一阶段获得的原始图像通常具有不同的面部大小和背景中的其他人,因此结构不佳。为了简化下游任务,系统 S 使用了图像预处理引擎 G。该引擎通过面部检测(包括自动面部裁剪)来移除背景并提取每个面部,然后对数据进行标准化处理。这样可以确保后续的特征提取和匹配过程的准确性和一致性。
阶段③ – 训练特征提取器:基于深度神经网络(DNN)的人脸识别系统的关键元素是特征提取器 F,用于从图像中计算面部特征。为了实现准确的识别,计算出的特征向量在同一人的照片之间必须高度相似,但在不同个体的照片之间必须足够不同。为了实现这一目标,大多数现有系统采用在特征提取器 F 的训练过程中添加额外损失函数的方法,直接优化特征空间中不同面部之间的参数。为了最大程度地提高效率,特征提取器通常在数百万张标记的图像上进行训练。收集、标记和训练大规模人脸数据集需要大量资源。因此,许多公司倾向于购买预训练好的特征提取器。在第三阶段使用的图像被称为训练图像。
阶段④ – 创建参考数据库:人脸识别系统需要一个包含已知(已标记)面部的大型数据库,以便对未知(未标记)面部进行识别。为此,需要建立一个参考数据库 D,其中包含被识别个体的标记面部图像。这些图像经过收集和预处理后,传递给特征提取器 F,从而生成相应的特征向量。参考数据库包括特征向量和对应的身份标签。在第四阶段中使用的图像被称为参考图像,用于与查询图像进行匹配和识别。
阶段⑤ – 识别图像中的面部:在实时识别阶段,人脸识别系统接收并通过预处理引擎 G 对被查询图像(即未知人脸图像)进行预处理。然后,特征提取器 F 提取该图像的特征向量。接下来,系统使用分类器 C 对提取的特征向量与参考数据库 D 进行查询,并找到与之最匹配的项(如果存在)。如果被查询图像的特征向量与参考数据库中存储的数据在特征空间距离(例如,L2范数或余弦相似度)上足够接近,则系统输出匹配项。这个过程表示了第五阶段的实时识别过程。
0x03 反人脸识别模型
A. 威胁模型
某些商业人脸识别系统使用的图像来源引发了严重的隐私问题。举例来说,Clearview.ai和PimEyes这两家公司在用户不知情或未经同意的情况下从社交媒体网站上抓取了超过30亿张图像用于他们的系统。针对这种被滥用的人脸识别系统 S = {G, F, C, D},用户 P 可以采取反识别工具进行对抗,扮演防御者的角色。在这种情况下,用户 P 的目标是防止系统对其进行识别。也就是说,对于给定用户 P 的图像 xP,反识别工具应该使特征提取器 F 产生 C(F(G(xP))) ≠ P,即生成的特征向量与用户 P 的特征向量不匹配。
通过使用反识别工具,用户 P 可以采取针对性的防御措施,以保护其隐私并防止被商业人脸识别系统识别出来。反人脸识别技术通常做出以下假设:
• 用户 P 对人脸识别系统 S 没有特殊的访问权限或权力,但希望通过修改或以其他方式控制自己的面部图像,以避免不必要的识别。
• 用户 P 希望避免面部识别,但也可能希望他们的图像对其他目的有用。例如,如果 P 在个人网站上发布头像,他们希望确保头像不会被抓取并用于人脸识别引擎中,同时仍然可以被网站访问者识别。因此,反识别工具应该在最大程度上保护隐私的同时尽可能减少图像的干扰。
• 人脸识别系统 S 的目标是创建或维护准确的面部识别操作。此外,S 是大规模部署的,并不专门针对用户 P 进行识别。
B. 反识别策略
人脸识别系统 S = {G, F, C, D} 在五个不同的阶段中运行,涉及到图像捕获、预处理、特征提取等操作。在这些阶段中,系统 S 与个体 P 进行交互,涉及到收集、处理和使用图像数据。这意味着个体 P 可以在不同阶段针对特征提取器 F 采取防御措施。具体而言,反识别工具可以对五个阶段中的任何一个相关组件产生影响,包括图像 x、预处理器 G、特征提取器 F、参考数据库 D 和分类器 C。下图展示了反识别工具针对每个阶段中的防御行为和目标。
针对人脸识别不同工作阶段,反识别工具所使用的针对性防御策略如下:
针对阶段①的防御:在图像收集阶段,人脸识别系统 S 会收集标记或未标记的图像 x,这可以通过物理拍照或从在线来源抓取图像来实现。标记的图像可用于训练或构建人脸识别系统的参考数据库,而未标记的图像可以用作被查询或测试的图像。在这个阶段,反识别工具的目标是中断数据收集过程,以防止人脸识别系统 S 获取个体 P 的可用面部图像 xP。这可能涉及采取措施,如遮挡面部、修改图像特征或使用隐私保护技术,以使个体 P 的面部图像在收集过程中不被识别系统获取。
针对阶段②的防御:在第二阶段,人脸识别系统 S 使用预处理引擎 G 对收集到的面部图像进行一系列数字转换,例如人脸检测、背景裁剪和归一化。这些预处理步骤有助于提高后续阶段的识别准确性和可靠性。针对这个阶段,反识别工具可以以 G 为目标,通过采取不同的策略来破坏预处理功能,从而使处理后的图像无法被人脸识别系统使用。这些策略包括向图像注入噪声和伪影,或者从图像中删除个体 P 的身份信息,例如防止检测到人脸。这些不同的策略可以表示为 2a 和 2b。
针对阶段③的防御:第三阶段专门用于训练人脸识别系统 S 中的特征提取器 F。在这个阶段,反识别工具的目标是试图通过毒化训练图像来降低特征提取器 F 的准确性。这可以通过向训练图像中添加噪声、修改图像细节或以其他方式篡改图像的特征信息来实现。
针对阶段④的防御:为了创建人脸识别系统中使用的分类器 C 所需的参考数据库,标记的参考图像通过特征提取器 F 进行处理,从而生成它们的特征向量。在这个阶段,反识别工具的目标是试图破坏为个体 P 创建的参考图像的特征向量,以便将错误的特征向量存储在数据库中。
针对阶段⑤的防御:在查询匹配阶段,反识别工具的目标是阻止分类器 C 准确匹配查询图像 xP 的特征向量和特征提取器 F 存储在参考数据库中的个体 P 的特征向量。通常,这可以通过对查询图像进行扰动或修改来改变其特征向量,从而阻止分类器 C 的准确匹配。
在反识别工具中,有很大一部分工具针对 2a 阶段和第三至第五阶段应用了对抗性机器学习(AML)技术,例如投毒或规避技术,以阻止人脸识别系统 S 。而针对第一阶段和第 2b 阶段的工具则属于非AML技术的范畴,其目的是通过其他手段来干扰或破坏人脸识别系统的相关步骤。
0x04 阶段①:阻止数据收集
目标:在数据收集阶段,系统 S 的目标是获取可用的人脸图像 x,无论是从在线来源还是物理来源。通常情况下,S会收集数以百万计甚至数十亿的高质量人脸图像,用于构建参考数据库或训练特征提取器。个体 P 的目标是通过应用反识别工具防止他们的面部图像 xP 被收集,并防止其被用作参考图像或被查询图像。为实现这一目标,个体可以采用在线或物理遮蔽或破坏技术。在针对数据收集阶段的反识别技术中,面临以下主要挑战:
(1)需要了解和适应不断创新的数据收集技术。随着技术的不断进步,人脸数据收集方式也在不断演变,因此反识别工具需要不断更新和适应这些技术的变化。
(2)摄像头广泛部署使得躲避拍摄变得困难。在现实生活中,摄像头几乎无处不在,这增加了个体避免被拍摄的挑战。因此,反识别技术需要应对广泛的监控摄像头和其他拍摄设备。
A. 解决方案
对于面部图像的收集,可以有两种来源:在线图像抓取和物理相机捕捉。在线图像抓取是指收集在线发布的图像,这些图像由非数据收集者拍摄(例如用户和用户的朋友)。相比之下,物理相机捕捉是指数据收集者直接使用相机拍摄图像。因此,针对这一阶段的反识别工具可以分为两类:防止爬取和防止拍摄。
(1)防止在线图像抓取:大多数人脸识别系统中使用的人脸图像来自于在线社交媒体平台的抓取。因此,有效地阻止系统 S 进行抓取的方法之一是防止网页抓取。虽然每个用户可以尽力隐藏他们的在线足迹,但大多数反识别技术需要在线平台(如Flickr)或外部帮助。
• 在线平台反爬:安全社区已经广泛研究了反爬技术,在线平台可以使用速率限制、数据限制、基于 ML的爬虫检测等技术。然而,随着爬虫开发者使用更复杂的工具来绕过检测,很大一部分爬虫仍然未被发现。
(2)避免拍摄:普通人现在可以使用智能手机随时为任何人拍摄高质量的照片。这些照片可以被类似 PimEyes 的人脸识别系统收集和使用。此外,商业人脸识别系统越来越多地使用路边监控摄像头捕捉面部照片,特别是在大城市地区和商店内部。
• 面部隐藏:个体可以通过穿着衣物、戴帽子、戴口罩或改变头部姿势来防止(可用的)面部图像被摄像头捕捉到。
• 摄像头干扰:人们可以通过简单地向摄像头照射激光来阻止相机捕获(可用的)图像,而不会破坏摄像头本身。其他方法包括使用织物或贴纸覆盖摄像头。
B. 隐私/效用权衡
要完全阻止数据收集是具有挑战性的,因为它要求对个体的在线身份进行细粒度的控制,并需要了解何时和如何被拍摄照片。这对用户来说可能是困难的,因为它会限制他们的活动。此外,在某些情况下,规避数据收集是不可能的,例如在企业和招聘网站上发布的照片。
同时,反爬工具可能会降低服务提供商的性能,因为这些工具可能会出现误报和增加部署成本。因此,在设计和应用反识别工具时需要权衡效果和成本。然而,近年来针对第一阶段的反识别方法已经取得了一些进展。例如,自适应反抓取技术可以提高攻击者的门槛,增加了抓取的复杂性。这种技术可以适应不断创新的数据收集技术,使抓取者更难以绕过反爬措施。
0x05 阶段②:干扰预处理
在第二阶段中,预处理器 G对原始人脸图像进行一系列操作,以准备图像供后续阶段使用。针对这个阶段的反识别方法旨在破坏预处理器 G,通过对原始图像进行变换,产生一个修改后的图像 x’,使经过处理后的人脸图像 G(x’) 无法被后续的识别阶段使用。
目标:S 的目标是使用预处理器 G 从许多原始图像中获取结构良好的人脸图像。P 的目标是防止他们的脸被 G 从原始图像中检测/提取,或者在这些图像中将面部数据匿名化。其主要挑战是如何在不失真的情况下实现匿名化。也就是说,当修改 P 的图片以规避面部检测或删除身份信息时,修改后的图像应该仍然类似于用户 P 的面部以保持对 P 有用。另一个挑战是克服 S 部署的(自适应)防御以保护 G。
A. 解决方案
(1)防止面部检测:面部检测系统通常依赖于深度神经网络(DNN)来准确推断原始图像中人脸的位置,并提取居中的头像。为了防止有效的人脸检测和提取,反识别技术的目标是生成一个对抗性图像 x’,使得经过预处理器 G 处理后的结果 G(x’) = z,其中 z 是一个无用的结果,无法传递给特征提取器 F。为了创建对抗性图像 x’,现有的反识别工具利用针对深度神经网络模型的对抗性扰动。对抗性扰动是在对抗性机器学习领域中的概念。这些经过精心设计的基于像素的扰动被添加到原始图像中,可能导致深度神经网络产生错误的分类结果。扰动的生成过程通常通过迭代优化来实现,该过程旨在最大程度地增加模型错误分类的可能性,并将扰动的可见性降至最低。生成过程的具体方法可能因个体 P 对系统 S 的了解程度而异,包括白盒和黑盒的不同策略。
使用对抗性扰动的反识别工具通常根据扰动添加的方式进行细分。如果个体 P 可以直接访问图像,那么扰动可以直接添加到数字格式的图像中。这可以通过在图像的像素级别引入微小的变化或噪声来实现,以干扰面部检测和识别算法。另一种方式是个体 P 可以使用定制的物理扰动补丁来阻止面部检测。这些物理扰动补丁可以是穿戴的物品,例如特制的 T 恤,其中包含模式或颜色,能够干扰面部检测系统的视觉算法。
• 直接修改数字图像:使用反识别工具,用户可以在发布图像之前直接向这些图像添加对抗性扰动。这种对抗性扰动的目的是干扰人脸识别系统的面部检测和特征提取过程,使得提取的面部信息无法准确识别和匹配。目前的人脸识别系统不能使用带有适当扰动的图像来提取面部信息。
• 带有扰动的物理对象:用户通常无法直接访问面部图像来修改它们,但可以采取其他方法来注入对抗性扰动。一种方法是携带或佩戴物理对象,使得在拍摄用户照片时相机也会捕捉到这些物理对象,从而在图像中引入对抗性扰动。常用方法包括:(i) 化妆:通过使用化妆技巧,用户可以改变面部外观,例如改变妆容、轮廓或颜色,以干扰面部检测系统的算法。(ii) T恤或贴纸:佩戴特定设计的T恤或贴纸,可以在用户的面部图像中引入特定的图案或纹理,干扰面部检测算法的识别过程。
• 在摄像头上贴标签:这种方法是将对抗性扰动转化为半透明贴纸,并将其放置在摄像头上。该贴纸会在不知不觉中修改摄像头拍摄的图片,以防止在这些图像中检测到人和面部。
(2)面部数据匿名化:P可以通过面部图像匿名化来去除身份信息。在这种情况下,P创建了一个x’,使得G(x’) ≠ G(x),即处理后的结果仍然可用,但是带有一个虚假身份。(i) 物理匿名化可以通过戴口罩、帽子、化妆等方式轻松实现,这与第一阶段中的躲避图像捕获类似。(ii) 在数字匿名化方面,使用生成对抗网络(GAN)和差分隐私是推荐的方法。可以使用GAN将面部图像转换为潜在空间向量,然后修改这些向量以删除身份信息,并从修改后的向量中重新生成图像。修改后的面部仍然具有人类的外观,但已经匿名化,无法准确识别。
B. 隐私/效用权衡
许多针对第二阶段的反识别方法,试图解决可用性问题,通过将针对 G 的对抗性补丁具象化为可穿戴的服装或物体。然而,这种特殊服装的外观可能对于普通人来说显得怪异,因此可能难以被接受。此外,面部数据匿名化通常会导致匿名化后的面部与原始面部有显著差异,包括外形、肤色、头发颜色等的变化。这些修改后的图像失去了传统图像的许多可应用场景,例如图像共享等。
0x06 阶段③:干扰特征提取器
所有的人脸识别系统 S 都需要一个有效的特征提取器 F 来区分人的面部。在针对第三阶段的反识别技术中,重点是通过干扰 F 的训练来生成无法使用的提取器 F’。
目标:人脸识别系统 S 的目标是通过使用可用的训练数据来训练高质量的特征提取器F,以便通过 F 提取的特征向量准确识别人脸。因此,P 的目标是通过阻碍训练来防止 S 训练出有效的特征提取器 F,但在实现这一目标时面临两个挑战:首先是在保持干扰效果的同时最大限度地减少干扰过程引入的训练面部图片的失真。第二个挑战是在不需要完全控制数据集的情况下破坏F的训练。
A. 解决方案
数据投毒是对抗性机器学习领域的一种技术,通过操纵深度神经网络(DNN)模型的训练数据,外部对象可能会对模型的训练产生恶意影响。投毒模型的目的是使模型表现出各种错误行为,从对特定输入的错误分类到完全错误的预测,现有的反识别技术侧重于后者。
(1)数据不可学习(Unlearnable) :通过在训练数据上注入特制的噪声,可以使DNN模型无法从数据中进行学习。这种噪声会误导模型,使其认为数据已经被学习,从而阻碍了必要的参数更新。当用户提交不可学习的面部图片作为特征提取器F的训练样本时,提取器将无法从这些样本中学到有益的信息,从而无法提高其性能。训练一个有效的特征提取器 F 需要数以百万计甚至数十亿的人脸图像。如果训练数据中包含大量不可学习的样本,即无法提供有用信息的样本,那么F将无法达到实际部署所需的精度水平。
(2)添加对抗性直连(Shortcut):直连是在CNN模型发展中出现的一种非常有效的结构,它允许梯度直接反向传播到更浅的层。这种结构可以加速模型的训练过程,并帮助解决梯度消失问题。然而,通过在数据集中注入对抗性的shortcut,训练在此数据上的模型将过度适应这些对抗性shortcut,从而无法学习到有意义的语义特征。这意味着经过训练的特征提取器模型对特征空间的理解是扭曲的,无法产生高质量的人脸特征向量。
B. 隐私/效用权衡
针对第三阶段的反识别技术确实存在一些缺点,其中最主要的缺点是需要付出大量努力才能破坏训练数据集。大多数方法要求 P 能够控制大部分训练数据,以使特征提取器 F 不可用。这意味着 P 需要能够干扰或篡改足够数量的训练样本,这可能需要大量时间和计算资源。此外,一旦系统S发现干扰的存在,特征提取器 F 可以丢弃被干扰的数据集,并使用其他数据源来重新训练模型。
0x07 阶段④:破坏数据库
在第四阶段中,系统 S 使用特征提取器F创建一个参考数据库 D,其中包含标记的人脸特征向量。这个数据库 D 被用来辅助识别面部。 针对这个阶段的反识别工具试图通过在数据库 D 中使用不正确的面部-标签映射来干扰系统 S 的分类器 C,使其无法将被查询图像识别为 P。因此,当真实图像 xP 被展示给系统 S 进行识别时,被破坏的数据库 D ′ 将产生一个分类结果 C(F(G(xP )), D′ ) = I,其中 I ≠ P。
目标:在这个阶段,系统 S 的目标是创建一个参考数据库,其中包含 S 希望识别的人的特征向量(由特征提取器F生成)的准确副本。P 的目标是防止 S 的特征提取器 F 创建准确的特征向量,然后 C 将无法匹配到 P 的被查询图像。因此,P 通过修改/操纵 S 用来创建其参考数据库的 P 的参考图像来破坏 S。针对此阶段的反识别技术需要修改 P 的参考图像,以生成不正确的特征向量,同时尽量减少这些图像的失真。这面临两个挑战:首先,当 S 在其数据库 D 中保持了一些原始的、未经修改的 P 人脸图像时,它们会保持高性能,即能够准确识别和匹配。其次,保护必须持续存在,即使 P 对系统 S 做出了不正确的假设(特别是对提取器F和分类器C)。
A. 解决方案
此类别的反识别技术侧重于在特征向量存储到 D 之前对其进行毒化。具体的毒化技术取决于关于 S 的分类器 C 的基本假设 :
(1)基于分类的匹配:假设分类器 C 被添加到特征提取器F的浅层作为分类层。在这种情况下,反识别工具试图通过隐藏或投毒攻击者P的参考图像来破坏最终的分类输出。具体而言,它们通过向 P 的参考图像中添加难以察觉的扰动,使得这些图像的特征向量与正确的表示相距甚远。当分类器 C 在这些被移位的特征向量上进行训练时,系统 S 会将错误的特征空间与 P 的身份相关联。如果这样做,在对 P 进行实时识别时,会造成(未隐藏)被查询图像的错误匹配。
(2)基于最近邻的匹配:假设分类器 C 使用的是 K-最近邻算法,可以通过添加数字对抗扰动来改变 P 的参考图像的特征表示。这些扰动的图像为 P 创建了一个参考特征向量,该向量不同于 P 的实时查询图像的参考特征向量,从而阻碍分类器。此外,群体驱动的方法也可以应用于防御过程中。用户通过修改他们的图像以保护其他用户。这些修改会导致不正确的特征向量混淆特定用户的前K个匹配集,从而混淆正确的特征向量。
B. 隐私/效用权衡
大多数针对第四阶段的反识别工具通常会直接向图像添加可见的扰动。这些可见的扰动可能会降低受保护图像的视觉质量和可用性,特别是当这些图像打算发布在社交媒体等公共平台上时。这种可见性和保护之间的权衡似乎是不可避免的问题。
0x08 阶段⑤:实时识别规避
最后一组的反识别工具旨在通过生成失真图像 x′P 来误导分类器的结果,例如 C(F(g(x′P)),D)=I ≠ P,从而防止系统 S 的分类器 C 对实时查询图像进行正确识别。这种方法对于那些认为自己的图像已经存在于参考数据库 D 中的用户来说,可以提供一次性的保护。
目标:在实时识别阶段,系统 S 的目标是使用分类器C来识别查询图像中的人脸,并将其匹配到参考数据库 D 中相应的特征向量。而用户 P 的目标是通过改变其查询图像,使得分类器 C 无法将其与数据库 D 中的相应特征向量正确匹配。假设 S 的参考数据库 D 包含 P 的准确特征向量,这存在两个关键挑战:首先是在不引入明显的图像失真的情况下实现成功规避。此外,还需要克服为了保护特征提取器F和分类器C而可能部署的防御措施。
A. 解决方案
对抗性扰动是用于规避深度神经网络的常见方法,因此可应用于规避人脸识别。这些扰动可以在物理环境中或数字环境中应用。
(1)物理规避:第一组反识别方法主要通过让 P 佩戴物理对象,将对抗性扰动注入到面部图像中,以阻止识别和分类。这些方法与前文中针对第二阶段的方法相类似,但其重点不在于面部检测,而是针对人脸识别系统的分类过程。其中一些工具采用对抗性妆容和眼镜等方式。最近出现的两个方向包括:使用更大且独立的对抗性补丁以提高规避效果,以及通过投射可见光或红外光到用户的脸上来实现数字控制和人眼难以察觉的扰动。
(2)在线规避:P 可以通过在线方式修改未标记的人脸图像,以防止其被分类器 C 准确分类。在这个类别中,大多数方法采用传统的对抗生成技术,创建最小可见扰动,以使 S 的特征提取器产生错误的特征向量。
B. 隐私/效用权衡
在物理规避技术中,确保物理规避工具的有效性需要用户在可能存在摄像头的所有情况下佩戴它们。这意味着用户需要在需要保护隐私的环境中始终佩戴这些物理工具,以防止被摄像头准确识别。这对于提供持续的保护可能是具有挑战性的,因为用户需要时刻保持警惕并使用适当的物理规避工具。与第四阶段一样,也存在扰动大小和数字规避技术的规避成功之间的权衡。
0x09 反识别技术设计
A. 理想设计属性
(1)长期稳健性:一个有效的反识别工具应该能够提供持久的保护,随着人脸识别技术的演进,始终保护用户 P 免受滥用的人脸识别系统的影响。
(2)广泛的保护范围:许多用户在现实生活中已经有多年的数字身份,例如,他们多年前发布的面部照片可能没有受到反识别保护。因此,一个有效的反识别工具应该能够在现实场景中提供保护,尽管这可能具有挑战性。
(3)不依赖第三方:理想情况下,反识别工具应该能够由用户 P 单独操作,无需第三方的帮助或参与,同时实现强大的保护。这样做的好处之一是限制将潜在敏感的用户数据暴露给第三方,例如像 Facebook 这样的中央内容提供商,或者其他愿意帮助用户 P 的友好用户。
(4)用户友好性:这个属性衡量用户 P 使用反识别工具所需付出的代价。一个有效的反识别工具应该能够在保护用户的同时最小化对他们日常生活的影响,而不需要他们穿着奇怪的妆容、衣服或配饰。
(5)对其他用户的影响最小:用户 P 可以通过误导系统 S(给出空或无信息的结果)或故意欺骗系统 S,使其将其识别为另一个用户 P’,以保护自己的隐私。然而,后一种情况可能对用户 P’ 产生负面影响,引发潜在的社会风险。因此,一个有效的反识别工具应该尽量最小化对其他用户的不良影响。
B. 面临的挑战
(1)过度依赖对抗性机器学习(AML):大多数反人脸识别工具在第二到第五阶段中使用了对抗性机器学习技术,但这些技术存在一些局限性。首先,基于AML的反识别工具表现出高性能,但缺乏可证明的保护保证。其次,自适应人脸识别系统可以克服基于AML的保护。例如,系统S可以对抗性地训练特征提取器F以抵御恶意样本,并在处理面部图像或将其添加到参考数据库之前从图像中移除对抗性扰动。虽然更先进的扰动生成方法可能提高反识别工具的短期性能,但缺乏可证明的、持久的保护是一个更难克服的障碍。解决这个问题的可能途径包括将可证明的保证集成到扰动生成过程中,或考虑提供具备可证明保护的替代技术。
(2)在线足迹:大多数互联网用户在网上拥有自己或他人发布的面部图像,其中一些图像可能已被人脸识别数据库捕获。每天有超过18亿张照片上传到在线平台,这意味着用户的未修改照片很可能长期存在于网络上,其中一些照片可能已经在参考数据库中。为了解决这个问题,由在线平台管理的反识别工具可以更好地保护在线足迹免受人脸识别系统的抓取。这些平台可以保护用户或其他人发布的个人照片,并更好地部署更强大的保护机制。例如,在线平台可以使用群组伪装技术,如Fawkes或FoggySight,来破坏由其站点图像组成的参考数据库。在图像被抓取后,在线平台可以使用源跟踪技术来识别被盗图像。这些方法应与增强的反爬技术相结合,以防止大规模爬取面部图像,例如采用更严格的速率限制、访问权限和启发式检测,以确保个人的在线足迹更安全。
(3)面部图像的持久性:一个与在线足迹相关但不同的挑战是面部数据的持久性。大多数人在整个成年生活中拥有相同的面孔,即使面容随着年龄变化,仍然可以被大多数人脸识别系统识别为独特个体。为了长期有效,反识别工具必须在多年的时间内隐藏相同的静态数据(同一张脸)。
(4)人脸识别系统缺乏透明度:人脸识别系统的工作方式缺乏透明度,这限制了反识别工具的开发和测试。无法访问专有人脸识别系统时,无法对系统进行全面的功效测试。此外,开发人员不知道人脸识别系统如何操作,以及它是否能够绕过反识别系统。全球人脸识别市场在2020年价值386亿美元,因此利益相关者拥有足够的资源来发展新的训练方法或架构,以绕过反识别工具的保护,并可能侵犯用户的隐私。解决这个问题的方法可能包括增加人脸识别系统的透明度和可审计性,以确保反识别工具的有效性和用户隐私的保护。
0x0A 结论
随着人脸识别系统的大规模应用和数量持续增长,反人脸识别技术也在迅速发展,预计未来反识别工具的需求将继续上升。本文对反人脸识别技术的现状进行了评估,其中许多工具利用对抗性扰动来规避人脸识别模型,这在短期内往往是有效的,但缺乏长期的保证,但不能从根本上对抗未来的人脸识别系统。未来的反识别技术可以针对人脸识别的第一阶段和第 四阶段进行更多的探索,这可以提供更广泛的保护。
随着人脸识别系统的广泛应用和不断增长,反人脸识别技术的需求也将不断增加。本文对反人脸识别技术的现状进行了评估,发现许多工具利用对抗性扰动来规避人脸识别模型,在短期内通常是有效的。然而,这些方法缺乏长期的保证,无法根本上对抗未来的人脸识别系统的发展。未来的反识别技术应该进行更深入的研究和探索,在稳健性、保护范围、不依赖第三方、用户友好性和对其他用户影响最小等方面进行改进和发展。这样才能更好地应对滥用人脸识别系统所带来的挑战,并保护用户的隐私和数字身份。
https://www.computer.org/csdl/proceedings-article/sp/2023/933600a134/1He7XQoRtRu
来源 | CDra90n、FreeBuf公众号
编辑 | 王夕木
审核 | 秦川原
原文始发于微信公众号(网络空间安全与法治协同创新中心):反人脸识别技术概述