Forebyggelse af manipulation i automatisk ansigtsgenkendelse

Fra oplåsning af smartphones til at fremskynde lufthavnssikkerhedstjek:Brugen af ​​automatisk ansigtsgenkendelse til personlig identifikation fortsætter med at vokse. Men denne autentificeringsmetode er sårbar over for morphing-angreb:kriminelle kan misbruge den ved at smelte to forskellige ansigtsbilleder sammen til ét. Et enkelt pas med et fotografi manipuleret på denne måde kan derefter bruges af to forskellige personer. Sammen med deres partnere, Fraunhofers forskerhold er ved at udvikle et system, der forhindrer denne type angreb ved hjælp af maskinlæringsmetoder.

Rejsende, der regelmæssigt besøger USA, er vant til at blive bedt om at se ind i et kamera under pasinspektion. Det elektroniske foto sammenlignes øjeblikkeligt med det foto, der er gemt i det biometriske pas. I denne biometriske ansigtsgenkendelsesproces, et program fanger de digitale data fra det levende billede og sammenligner dem med dataene fra chipbilledet for at afgøre, om de individuelle ansigtskarakteristika på billederne stemmer overens. Ansigtsgenkendelse kan også bruges til at låse smartphones og tablets op. Denne metode er beregnet til at spærre uautoriserede tredjeparter og begrænse adgangen til følsomme data. Men teknologien er sårbar over for målrettede angreb, som en række tests allerede har vist. "Kriminelle er i stand til at narre ansigtsgenkendelsessystemer - som dem der bruges ved grænsekontrol - på en sådan måde, at to personer kan bruge et og samme pas, " siger Lukasz Wandzik, videnskabsmand ved Fraunhofer Institute for Production Systems and Design Technology IPK i Berlin. Sammen med sine kolleger ved Fraunhofer Institute for Telecommunications, Heinrich Hertz Instituttet, HHI og andre partnere (se boks), han udvikler en proces, der identificerer de billedanomalier, der opstår under digital billedbehandling i morphing-processer. "I et morphing-angreb, to ansigtsbilleder smeltes sammen til et enkelt syntetisk ansigtsbillede, der indeholder karakteristika for begge personer, " forklarer Wandzik. Som et resultat, biometriske ansigtsgenkendelsessystemer autentificerer begge personers identitet baseret på dette manipulerede foto i passet.

Disse angreb kan for eksempel finde sted før eller under processen med at ansøge om et ID-dokument. I projekt ANANAS (fra det tyske akronym for "Anomaly Detection for Prevention of Attacks on Authentication Systems Based on Facial Images"), partnerne fokuserer på dette problem ved at analysere og undersøge simulerede billeddata. Her anvender de moderne billedbehandling og maskinlæringsmetoder, især dybe neurale netværk designet eksplicit til behandling af billeddata. Disse komplekse netværk består af et stort antal niveauer, som er forbundet med hinanden i flerlagsstrukturer. De er baseret på forbindelser mellem matematiske beregningsenheder og efterligner den menneskelige hjernes neurale struktur.

Forebyggelse af identitetstyveri med neurale netværk

For at teste de processer og systemer, der udvikles, projektpartnerne starter med at generere de data, der bruges til at træne billedbehandlingsprogrammerne til at detektere manipulationer. Her omdannes forskellige ansigter til ét ansigt. "Ved at bruge morfede og rigtige ansigtsbilleder, vi har trænet dybe neurale netværk til at afgøre, om et givet ansigtsbillede er autentisk eller et produkt af en morphing-algoritme. Netværkene kan genkende manipulerede billeder baseret på de ændringer, der sker under manipulation, især i semantiske områder såsom ansigtskarakteristika eller refleksioner i øjnene, " forklarer professor Peter Eisert, leder af afdelingen Vision &Imaging Technologies hos Fraunhofer HHI.

LRP-algoritmer gør AI-forudsigelser forklarelige

De neurale netværk træffer meget pålidelige beslutninger om, hvorvidt et billede er ægte eller ej. med en nøjagtighed på over 90 procent i de testdatabaser, der er oprettet i projektet. "Men det virkelige problem er meget mere, at vi ikke ved, hvordan det neurale netværk træffer beslutningen, " siger Eisert. Således, ud over beslutningens rigtighed, Fraunhofer HHI-forskerne er også interesserede i grundlaget for beslutningen. For at besvare dette spørgsmål analyserer de de områder i ansigtsbilledet, som er relevante for beslutningen, ved hjælp af LRP-algoritmer (Layer-Wise Relevance Propagation), som de selv har udviklet. Dette hjælper med at identificere mistænkelige områder i et ansigtsbillede og til at identificere og klassificere artefakter skabt under en morphingproces. Indledende referencetest bekræfter, at algoritmerne kan bruges til at identificere morfede billeder. LRP-softwaren mærker de ansigtsområder, der er relevante for beslutningen, i overensstemmelse hermed. Øjnene giver ofte tegn på billedmanipulation.

Forskerne bruger også denne information til at designe mere robuste neurale netværk for at opdage det bredest mulige udvalg af angrebsmetoder. "Kriminelle kan ty til mere og mere sofistikerede angrebsmetoder, for eksempel AI-metoder, der genererer helt kunstige ansigtsbilleder. Ved at optimere vores neurale netværk forsøger vi at være et skridt foran de skyldige og identificere fremtidige angreb, siger IT-professoren.

Der er allerede en demonstrationssoftwarepakke, der inkluderer procedurer til påvisning og evaluering af anomalier. Den indeholder en række forskellige detektormoduler fra de enkelte projektpartnere, der er smeltet sammen. De indbyrdes forbundne moduler anvender forskellige detektionsmetoder til at finde manipulationer, skabe et samlet resultat ved slutningen af ​​processen. Målet er at integrere softwaren i eksisterende ansigtsgenkendelsessystemer ved grænsekontrolpunkter eller at forbedre systemerne til at inkludere morphing-komponenter og dermed udelukke forfalskning gennem tilsvarende angreb af denne type.