作者 | Edgar Kaziakhmedov、Klim Kireev、Grigorii Melnikov、Mikhail Pautov、Aleksandr Petiushko

譯者 | TroyChang

編輯 | Jane

出品 | AI科技大本營（ID：rgznai100）

【導讀】深度學習方法在人臉檢測任務上取得了顯著的成果，但這些進展帶來了與深度卷積神經網路模型安全性相關的新問題，並揭露了基於DCNN的應用程式有潛在風險。即使在數字領域僅做微小的改動輸入，也可能騙過神經網路。有研究已經表明，一些基於深度學習的人臉檢測器不僅在數字領域而且在現實世界中都容易受到對抗性攻擊。

在本文中，華為莫斯科實驗室的作者們研究了著名的級聯CNN人臉檢測系統-MTCNN的安全性，並介紹了一種易於複製且可靠的攻擊方法。作者建議在普通的黑白印表機上列印不同的人臉屬性，並附在醫用口罩或直接附加到人臉上。作者的方法能夠在現實情況下破壞MTCNN檢測器。

論文地址：

https://ar xiv.org/abs/1910.06261

引言

已有研究證明，現代深度學習系統幾乎是完美的人臉檢測器，其效能優於人類在該領域的能力。由於這個事實，當今生活中的應用程式數量急劇增加，他們將在最需要準確性的領域（例如安全性）取代人類。由於這類演算法驅動的抉擇可能會帶來嚴重後果，因此針對惡意行為的可靠性和健壯性就變得至關重要。其中一項任務就是人臉檢測，作為廣泛使用的FaceID的預操作，它可以跟蹤犯罪分子或控制他們進出。

目前有多種深度學習方法可解決此問題，端到端的解決方案如RetinaNet，級聯多個卷積網路的方案如MTCNN。儘管端到端方法在綜合基準測試中顯示出更好的結果，但是效果相當的級聯絡統通常會有更明顯的速度優勢。

不幸的是，有一種稱為對抗攻擊的技術，在某些情況下它可以欺騙幾乎所有基於神經網路的系統。例如，在數字域中發生白盒攻擊的情況下，由於攻擊者可以訪問網路上的拓撲和權重，和數字域，所以攻擊者可以逐畫素更改輸入影像。根據最近的公開論文，現有的解決方案不能完全緩解此問題。儘管從理論的角度來看這些結果很有趣，但是在實踐中，人臉檢測的任務是假定處理影像是從攝像機這樣的真實裝置中獲取的，這種真實裝置是受到保護，攻擊者無法直接訪問輸入。稱為物理域攻擊。儘管存在此類攻擊的示例，但事實證明，它們的再現難度要大得多，因為對抗攻擊往往非常脆弱。環境或照明的微小變化通常會破壞它們。為了解決此問題，文獻4引入了一種稱為“Expectation-over-Transformation（EoT）”的特殊技術。

在本文中，作者介紹了對MTCNN人臉檢測系統實施的攻擊。儘管該系統是眾所周知的並且是公開的，但是沒有公開的對於該人臉檢測器的攻擊方法。可能的原因是該系統的級聯特性，讓它可以抵抗對抗攻擊。由於很難在整個系統上使用傳統方法（類似FGSM），因此作者決定攻擊其第一部分。還值得一提的是，這種攻擊方法使用的是一種公開且眾所周知的技術——對抗攻擊；MTCNN網路已經在網上開放出來，因此該工作不違反任何法律或法規。

程式碼連結：

https://github .com/edosedgar/mtcnnattack

方法

MTCNN的每個子網路都有三個輸出：人臉分類，邊界框迴歸和人臉關鍵點。鑑於此，作者提出了四種可能的攻擊方法：

• 攻擊P-Net的人臉分類層；

• 攻擊P-Net的邊界框迴歸層；

• 攻擊O-Net的輸出層；

• 攻擊整個網路。

與其他方法相比，第一種方法對結構的要求最低。因此，P-Net的人臉分類層會被用於攻擊。有關提出的攻擊管道(pipeline)的詳細資訊，可以參見圖1。在以下小節中，將提供有關攻擊管道(pipeline)的詳細資訊

圖1

• A. Expectation over Transformation

對於對抗性攻擊，要在物理域取得成功，重要的一點是要具有強大的魯棒性。可以通過前面提到的EoT技術完成此任務。在本文的情況中，作者採用了以下方式：在訓練對抗性補丁時，它不會使單個影像上的損失函式最小化，而是使用由多個具有不同頭部位置的影像組成的批大小影像。由於它最大程度地減少了具有不同色塊尺寸和不同亮度的圖片的損失，因此在現實世界中應對這些變換時應該有較強的魯棒性。圖2解釋了該過程。

圖2

• B. 仿射變換

為了在不同的表面上使用矩形補丁，作者採用了一個對映圖。對映圖由八個係數（可以定義）組成。首先，在現實世界中，我們在矩形邊緣標記補丁位置。如果補丁有弧形邊界，則可以使用矩形網格對其進行近似。然後計算投影變換的係數，並應用補丁。如何執行該方法的示例如圖3所示。

圖3

• C. MTCNN分析

一旦應用了補丁，並且擴大了生成的影像，就應該將其調整為各種比例送入P-Net。最初，MTCNN構建的是具有給定比例步長因子的影像金字塔。使用所有尺度的攻擊都是不可行的，因為它要求更多的資源。為了減輕這個問題，作者開發了兩種可能的方法：

• 我們發現尺度對檢測的貢獻最大，因此在擴大和縮小中都使用它；

• 我們找到最有助於檢測的比例尺度，並使用尺寸稍大（最初未在金字塔中顯示）且尺寸略小的比例尺，即我們進行尺寸增強。

圖4

為了找到最有利的尺度，我們讓影像經過P-Net並手動跟蹤為R-Net提供最有意義結果的尺。如圖4所示，圖片大小為24x24。將人臉傳遞給R-Net的影像越多，人臉檢測成功的可能性就越大。一旦以上述方式選擇了三個比例，就能建立金字塔並計算輸出的損失函式。

實驗

要進行實驗，我們需要為MTCNN定義主要的引數。設定金字塔影像最小尺寸的最小尺寸引數（minsize）為21個畫素。每個子網路的閾值分別設定為0.6、0.7和0.7，縮放步長因子為0.709。這些引數均是在實踐中廣泛使用的。

對補丁進行了2000epoch的訓練；更多迭代的訓練並不能帶來任何改善。為了測試生成的模式，我們錄製了兩種設定方法：帶補丁的外科口罩和臉頰上只有兩個補丁。視訊用於計算各種步長比例因子的誤檢概率。為了使實驗在實際意義上更具價值，人物在視訊中的位置有所不同：近攝，中距離和遠距離拍攝。結果在圖5中給出。值得一提的是，所執行的攻擊是具有針對性的，因此無法很好地遷移到訓練樣本中未包括的其他人。

圖5

總結

在本文中，作者：

• 找到了在數字域攻擊MTCNN人臉檢測器的方法；

• 通過EoT技術將該攻擊轉移到物理域；

• 通過在現實世界中進行實驗來驗證這些結果。

獲得的實驗結果表明，最強大的人臉檢測網路仍然需要改進。物理域中的攻擊帶來了嚴重的安全性問題，因此應找到解決該問題的可能方法。在本文中，作者通過找到一種可重現的攻擊方法，邁出了確保人臉檢測系統安全的第一步。未來，作者將在MTCNN檢測管道中考慮使用不同入侵位置的攻擊，並考慮安全性方面的改進。