对“人脸识别攻击”说不！.docx

《对“人脸识别攻击”说不！.docx》由会员分享，可在线阅读，更多相关《对“人脸识别攻击”说不！.docx（24页珍藏版）》请在优知文库上搜索。

1、对“人脸识别攻击”说不!一、序言金融行业数字化转型如火如荼，而生物识别技术特别是人脸识别在金融行业的应用和推广是其中重要的一环。人脸识别技术具有使用便捷、无需用户记忆、无接触等优点，目前已被大量使用。在金融行业，人脸识别技术应用在登录、刷脸支付和取款等各种金融场景提升了用户体验，各大金融机构都将其作为增强身份认证的重要手段。但我们也注意到,人脸识别技术给人们带来便利的同时，该技术也面临着安全防护、隐私保护等等方面的挑战。我国工业和信息化部在2019年颁布的关于促进网络安全产业发展的指导意见（征求意见稿）中，支持构建基于商用密码、指纹识别、人脸识别等技术的网络身份认证体系，但也强调着力提升支撑网

2、络安全管理、应对有组织高强度攻击的能力。本文结合人脸识别技术的安全技术挑战，分析相应的防御技术，总结人脸识别技术需要关注的攻击行为和方法，提出相应的应对策略。二、人脸识别攻击风险分析生物识别技术是指使用人体的部分生物特征，对用户身份进行标记和标识的一种技术。生物特征可分为两大类别：生理特征和行为特征。前者与身体外形相关，主要包括人脸识别、指纹扫描、虹膜扫描、静脉扫描等，后者与行为习惯相关，主要包括声纹识别、微表情识别等。当前应用于在金融机构中众多终端、移动设备或者应用程序的人脸识别技术可轻易获取用户的个人指纹、人脸或声音等生物特征，但是其保存及使用生物特征的技术方法与资质缺乏有效监管与监督，这

3、极有可能造成用户生物特征信息泄露。另外随着社交平台的广泛使用，个人照片、视频等用户信息对于攻击者也都唾手可得。金融机构在使用人脸识别技术的时候，在人脸识别交互活体检测、人像照片抓拍、人脸信息上送、静默活体检测、人脸比对的处理过程中，均存在不同的攻击面,具体可分为采集层攻击、活检层攻击、算法层攻击，金融机构人脸识别需要有效应对以下攻击手段：1 .人脸识别采集层攻击采集层攻击主要攻击人脸识别系统本身，由于不同的人脸识别系统的软硬件具体架构和算法不同，并都进行了一定的防护处理，需要对系统代码进行逆向破解，攻击难度较大。但是目前依然有一些此类攻击的例子。主要包括以下方面:人脸识别代码破解：针对人脸识别

4、代码执行过程进行攻击,对人脸识别进行代码逆向，获取人脸识别代码逻辑，基于动态插桩，hook人脸识别函数注入攻击脚本，改变其执行流程。摄像头劫持攻击：针对用户终端设备摄像头的攻击，在系统驱动层篡改摄像头获取的人脸信息。主要途径是利用黑产手中的手机虚拟视频刷机工具，通过刷入特定的程序来劫持相机、攻击人脸识别系统。例如黑产卖家通过非法售卖各种主流厂商特定型号手机的刷机包，刷机篡改底层API,劫持手机摄像头为虚拟摄像头，使用预先录制的视频来替代实际视频，从而绕过人脸识别系统。该方法由于修改了设备底层系统，理论上可用于多种APPo报文篡改攻击：劫持破解客户端与服务器之间的报文信息，对其中的识别信息进行篡

5、改上送。2 .人脸识别活检层攻击通过伪造特征，使用照片、视频拼接等方式，伪造人脸识别特征，绕过识别系统，达到伪造身份登录系统或隐藏身份逃过检查的目的。照片攻击：使用照片对人脸识别系统的攻击，是最简单的也是性价比最高的攻击方法。虽然该方法较难绕过使用了复杂的防御机制或算法（例如纹理检测、3D结构光等）的人脸识别系统，但是攻击未作防护APP的人脸识别系统往往能成功。目前智能手机市场中，安全性良莠不齐的安卓系统手机占据了较大市场份额。由于安卓手机的开放特性，厂商众多、型号各异，大部分安卓手机使用单摄像头，安全性参差不齐。一些小型机构APP,在没有很好考虑手机与操作系统整体适配性的情况下，较容易遭到攻

6、击。视频攻击：视频攻击也是一种简单的攻击方式。当人脸识别系统开启动态活体检测功能后，使用静态照片方式会被人脸识别系统检测为攻击行为，此时通过播放预录制动态视频方式有可能绕过检测。视频可以通过对用户进行钓鱼录制来获得,或者利用图像处理和三维建模软件，将用户照片转换为动态视频，来生成完成所有活体检测动作的视频，达到伪造身份登录系统的目的。3 .人脸识别算法层攻击高精度伪造攻击：攻击者在获取用户信息后，使用例如仿真面具等高精度伪造模型来进行攻击，可以是纸面具，也可以是树脂、PVC等材质制成的“塑料”面具。随着3D打印技术的发展，近年来更出现了高仿真面具，连雀斑、毛孔等细节都能清晰展现。如果使用仿真面

7、具、3D建模、照片活化、AI换脸等方式，只需要获取受害者的照片或特征即可伪造出“活体”视频。对抗样本：攻击者使用含有特殊样本的对抗样本眼镜，利用人脸识别算法中的缺陷绕过人脸识别系统。比如RealAI公司研究的一种对抗样本眼镜，其原理主要利用了人工智能算法普遍存在的“对抗样本”漏洞。只需要将照片按比例打印出来，裁剪出眼睛和鼻子粘贴到眼镜上即可进行攻击。经该公司研究人员验证，安卓手机的攻击成功率高达95%o这种方法也成功用于攻击苹果公司的FaCeID上。FaceID由于采用硬件3D结构光技术，业界公认安全性较高，但是莫斯科国立大学、华为莫斯科研究中心的研究人员提出了一种攻击方法，用普通打印机打出一

8、张特殊贴纸（特定的对抗样本）贴到额头上就能攻破FaceIDo攻击的大致流程是，首先将平面贴纸进行转换以凸显三维信息，而后将转换结果模拟矩形图像放在帽子上。为了提高攻击的鲁棒性，研究人员在投影参数中添加轻微的扰动值。将上一步得到的模拟矩形图像投影到人脸图像上之后，将新得到的图像转换为ArcFace输入的标准模板，然后降低初始矩形图像的TV损失以及余弦相似度损失之和，其中相似性由原图嵌入向量与ArcFace综合计算得出。AI算法攻击：AI算法根据受害者照片生成3D模型、动态图片或者将其他视频的人脸替换成受害者的照片，达到伪造身份登录系统或有隐藏身份逃过检查的目的。Al攻击通常有三种方式，一种是3D

9、建模，根据一张或多张照片自动生成3D模型；一种是照片活化，直接使照片动起来；一种是Al换脸，将一个视频的人脸自动替换为受害者的人脸。3D建模:在国外，伦敦帝国理工学院（ICL）的计算机科学家JamesBooth和同事开发的一种新的方法，可以自动构建3DMM,并使其能够融入更广泛的人脸，比如不同种族的特征。该技术结合三种算法，可以全自动精准人脸3D建模。此外诺丁汉大学和金斯顿大学的研究小组已经开发出一种用一张2D照片生成3D脸部模型的技术应用。该技术使用一个巨大的2D图片和3D脸部模型库对计算机进行训练。通过这些信息，卷积神经网络（CNN）能够猜测并模拟脸部看不见的部分，从一张2D图像中重建3D

10、脸部几何图形。在国内，知象光电研究团队研究出3DfacePro技术。该技术使用3D人脸数据库中的样本数据，利用深度学习提取2D人脸图像中高分辨率的深度图像，进而恢复出三维点数据，输出3D人脸模型。由此可见，根据人脸照片生成3D模型的技术越发成熟，门槛也越来越低。对于“黑产”而言，该技术的出现极大方便了人脸视频的伪造。仅仅利用一张简单的2D照片，就可以制作出逼真的人脸视频。在可预见的未来几年内，必将有不法分子将此类技术用于人脸识别攻击中。照片活化:照片活化技术堪称3D建模技术的“减配”版。该技术可以自动识别人脸照片中的脸部框架、眼睛、嘴巴等部位，使人脸照片可以做出眨眼、张嘴、小幅度转头等简单动作

11、。目前已有大量基于该技术的软件或APP出现，且已被黑产广泛非法使用中。常见工具包括CraZyTalk、PhOtoSPeak等。AI换脸:Al换脸是指通过AI算法将视频中的人物面容替换为他人面容。目前比较有名的开源AI换脸软件有deepfacelabfaceswap等。不过由于Al换脸是通过机器学习算法进行的，换脸过程需要大量时间进行训练，才能最终生成新的视频。于是类似FaCkeapp、ZAO之类的软件或应用应运而生。这些软件通过后台强大的服务器集群和算法优化，可以快速生成“换脸”视频，比如ZAO可以在上传完人脸后毫秒之间生成“换脸”视频。随着技术的发展，如果能够出现实时“换脸”技术，则配合模拟

12、器或摄像头劫持等技术，则可大大减小攻击难度并且提高攻击成功率。三、人脸识别攻击防御L人脸识别采集层攻击防御金融机构应对人脸识别采集层攻击的防御措施主要是两个方面。一是切实做好人脸识别应用安全开发全生命周期管理。在人脸识别应用的设计阶段，就做好威胁建模、安全设计和第三方引入供应链安全评估；在开发阶段，做好安全编码、静态扫描和代码审计工作；在测试阶段，落实动态扫描、模糊测试和渗透测试。在发布阶段，关注安全运行和持续的安全检查。二是对人脸识别应用，做好代码混淆、应用加壳、流量加密和权限控制。在终端方面，做好终端环境检测与处理环境加固。2.人脸识别活检层与算法层攻击防御针对人脸识别攻击，活检层与算法层

13、攻击主要集中在绕过活体检测或攻击人脸识别比对算法，称为“呈现攻击”。呈现攻击”花样繁多，所以针对“呈现攻击的呈现攻击检测”(presentationattackdetection,PAD)技术成为了研究者的关注焦点。目前常见的人脸识别呈现攻击检测/防御方法分类主要分为硬件和软件两大类别。2.L基于硬件的防御主要是指通过硬件设备或者物理方式来检测或防御人脸识别的攻击行为，主要包括以下几种类别。2.1.1基于传感器特性主要依赖于传感器硬件特性来检测或防御攻击。根据硬件的不同，往往采集的人脸数据也不同。例如使用光场相机(LFC)测量焦点的变化、测量来自近红外/热源/多光谱面部传感器的反射率、测量3D

14、扫描中的反射率等。此类方法的优点是安全性较高，缺点是由于包括人脸识别传感器以及附加的硬件组件，所以成本较高、体积较大。此外，由于安卓设备配置差异较大，大部分安卓手机只有普通单目摄像头，无法支持此类检测/防御方法，因此也制约了其普及。通过LFC进行人脸识别攻击检测的示意图，（a）是真人图像，（b）是喷墨打印机打印的图像，（C）是iPad显示的图像，（d）是激光打印机的图像，可以看到只有真人在LFC前才能被检测出不同焦点的变化，而通过打印或屏幕显示的照片都无法被LFC检测出焦点变化。LFe检测示意图2.1.2眨眼检测眨眼检测是指进行人脸识别时，持续跟踪人的无意识眨眼行为。眨眼检测可以基于专用的眨眼

15、检测硬件来检测，也可以基于软件算法来检测。这种方式可以检测照片攻击等一些呈现攻击行为，但是也存在被绕过的可能，例如佩戴高精度面具。2.L3挑战应答挑战应答是指系统进行人脸识别时跟踪用户对给定挑战的响应，例如跟踪用户对预定刺激信号的注视与反应来识别是否是真人。这种方式一般需要特殊硬件的支持。此外也有基于软件的挑战应答机制，用于需要对系统给出的提示做出反馈，例如转头、点头、眨眼等，基于软件的挑战应答机制需要对用户反馈的连贯性做判断，否则很容易被预录制动作的视频绕过。2.1.4基硬件的人脸识别PAD技术优缺点方法优点缺点基于传感器特性通用性好计算量适中，硬件成本高眨眼检测可防御照片攻击计算量较大，无

16、法防御视频攻击和面具攻击挑战应答通用性尚可，可防御照片（含屏幕攻击）计算量大，需要用户配合2.2基于软件的防御基于软件的方法通过软件算法来检测捕获到的人脸样本是否属于真实人脸。该方法具有精度高、成本低、不依赖于硬件等特点。基于软件的PAD主要分为静态方法和动态方法两类。2.2.1基于软件的静态方法静态方法是指通过检测单张图片来判断是否属于真实人脸。静态方法与时间无关，但是也可以检测视频。检测视频的时候通过独立检测每一帧，综合大部分帧的结果得到最终结果。相对于动态方法，静态方法计算量更小、速度更快。静态方法主要包括三种类型：基于纹理的方法、基于频率的方法和混合算法。.基于纹理基于纹理的方法分析人脸图像样本中的微观纹理图案。该方法可以有效检测照片和真人图像。其原理是检测照片的纹理特征，例如颜料的存在（由于打印缺陷）、镜面反射和阴影（由于显示器的反光、像素排列的条纹等）