人臉識別智能算法安全檢測技術初探

公安部檢測中心  白鑫  劉軍  張翔  劉冬妮

在人臉識別智能安全領域，對抗、深度偽造技術的快速發展已經引起了社會的廣泛關注。通過這些技術可以輕松地生成虛假的數字內容，從而對人臉識別系統進行攻擊，這嚴重威脅了社會安全和公眾隱私。為了應對這些威脅，對抗、深度偽造技術逐漸成為了計算機視覺領域中的難點與研究熱點。本文首先闡述了對抗、深度偽造技術的研究背景和技術原理，然后對現有的攻擊檢測方案進行系統總結，最后分析探討了現有檢測技術面臨的挑戰和潛在研究方向，并對未來技術發展進行展望。

1 背景

近年來，以深度學習算法為代表的人工智能技術飛速發展，并在以人臉識別為代表的多個領域取得了巨大突破，其技術不斷運用于居民的日常生活中，包括電子身份認證、門禁人臉認證等，為大家的日常生活帶來了很多便利。但是人臉識別^[1]運用也是一把雙刃劍，基于人工智能生成對抗網絡（GAN）和自編碼器（Auto-Encoder）等算法的對抗、深度偽造技術，通過生成虛假數字內容來攻擊人工智能系統，給日常生活和社會穩定帶來巨大隱患，引起了大家的廣泛關注。

人臉對抗樣本技術是指通過對真實的人臉數據添加一些人類難以感知到的或者不影響人類主觀感知判斷的擾動^[2]，從而對人工智能人臉識別、檢測算法產生影響，導致以深度學習算法為核心的識別、檢測等系統判斷出錯。

人臉深度偽造技術是一種基于深度學習的人工智能技術，通過自編碼器等深度生成模型，將人臉、聲音等原始數據進行學習和模擬，從而生成逼真的虛假數據。其中，以DeepFake為代表的人臉深度偽造技術是最為常見的深度偽造技術之一，可以生成高質量的虛假人臉圖像和視頻，并可以對這些圖像和視頻進行多種編輯，如更改表情、口型、頭部姿態等，使得偽造的內容更加逼真，引發了廣泛的社會關注和討論。

盡管對抗、深度偽造技術在一定程度上可以為人類帶來許多便利和娛樂，例如在影視制作、游戲開發等領域中的應用，但它也給人類社會帶來了前所未有的安全威脅和挑戰。例如，利用深度偽造技術，不良分子可以制作虛假的視頻、聲音等，從而誤導公眾或實施詐騙、惡意攻擊等違法犯罪行為，對公眾隱私、生命財產安全和社會穩定帶來威脅。

2 人臉對抗樣本生成與檢測

2.1 人臉對抗樣本生成技術

人臉對抗樣本生成技術是指通過特殊的算法和模型，以一種欺騙性的方式生成人臉圖片，使得這些圖片可以騙過計算機視覺系統。對抗樣本是通過對原始數據進行微小修改或添加擾動的方式，使得計算機視覺系統對這些數據的分類結果產生錯誤。人臉對抗樣本生成技術可以生成一些看起來與真實人臉非常相似的圖片，但是這些圖片經過一定的修改和擾動后，可以被計算機視覺系統誤判為其他類別的圖片，例如將一個人的面部圖像誤判為其他人的面部圖像，或者將一個正常的面部圖像誤判為病態的面部圖像。

人臉對抗樣本生成技術的應用場景包括對人臉識別系統的攻擊和測試，以及對計算機視覺系統的安全性進行評估。此外，人臉對抗樣本生成技術也可以應用于虛擬現實、人機交互和藝術創作等領域。

人臉對抗樣本生成技術的實現方式主要有以下幾種:

（1）基于生成對抗網絡 (GAN)的方法：這個方法使用一對相互競爭的神經網絡，一個生成器和一個判別器，經過多次迭代訓練，得到具有欺騙性的對抗樣本。生成器生成假的人臉圖像，判別器則嘗試區分真實圖像和生成圖像，生成器通過學習判別器的反饋來不斷改進生成圖像的質量，以達到更好的欺騙效果。

（2）基于遷移學習的方法：這種方法使用訓練好的深度神經網絡，如VGG、Inception等在原有模型的基礎上添加對抗性損失函數，并對圖像進行微小修改，逐步迭代優化生成對抗樣本。

人臉對抗樣本生成技術也存在一些問題和挑戰，如生成的對抗樣本存在視覺差異，容易被人眼識別出來，同時也可能存在無法生成對抗樣本的情況。此外，對抗樣本攻擊可能會導致人臉識別系統的誤判率大幅提高，對系統的安全性帶來威脅。因此，如何應對對抗樣本攻擊提高人臉識別系統的魯棒性，是未來研究的重點之一。

2.2 人臉對抗樣本檢測技術

由于人臉對抗樣本生成技術的存在，可能會對人臉識別系統的魯棒性和安全性造成威脅。因此。研究人員和安全專家們也在致力于開發相應的對抗樣本檢測方法來應對此類攻擊。

人臉對抗樣本的檢測方法主要可以分為以下幾類：

（1）基于特征的檢測方法：這種方法主要通過分析樣本的特征來檢測對抗樣本。例如，利用模型中的中間層特征進行分析，探測出對抗樣本與真實樣本之間的差異。然后將這些特征用于訓練一個分類器，通過分類器來判斷輸入的樣本是否是對抗樣本。

（2）基于可解釋性的檢測方法：這種方法利用對抗樣本的生成過程，通過對生成過程的解釋，來檢測對抗樣本。例如，可以通過分析生成器的梯度信息，或者探測生成器的噪音輸入來識別對抗樣本。

（3）基于統計的檢測方法：這種方法通過對樣本集合進行統計分析，來判斷是否存在對抗樣本。例如，通過計算樣本集的均值、方差等統計量，檢測是否存在離群點，以此判斷是否存在對抗樣本。

（4）基于敵對訓練的檢測方法：這種方法是在訓練階段使用對抗樣本進行訓練，以提高模型的魯棒性。在測試階段，對使用敵對訓練的模型進行評估，以判斷是否存在對抗樣本。

3 人臉深度偽造生成與檢測

3.1 人臉深度偽造生成技術

人臉深度偽造技術^[3]可以實現包含人臉替換（Face Swap）和面部重演（Face Reenactment）等多種功能。人臉替換是當前最流行的視覺深度偽造方法之一，可以通過將視頻中目標人物的臉替換成另一個人的臉來生成假視頻，這種技術被廣泛應用于深度偽造工具中。面部重演技術可以根據源人臉圖像的身份信息和驅動信息（如嘴型、表情和姿態）來合成新的說話人圖像或視頻^[4]。深度偽造人臉表情的操作攻擊是指攻擊者使用面部重演技術，操縱受害者的表情或嘴型，來偽造受害者在真實場景下的虛假面部表情。例如，通過改變奧巴馬的表情和動作，攻擊者可以制作虛假演講視頻。目前，Face2Face等技術是比較流行的深度偽造人臉表情修改方法，可以實現不同情緒和表情的修改，面部重演模型整體流程如圖1所示^[5]。

3.2 人臉深度偽造檢測技術

深度偽造表情操作攻擊檢測技術主要包括數據預處理、算法模型設計、模型訓練等步驟。首先需要將待檢測的圖像或視頻數據進行預處理^[6]，并根據先驗知識或圖像處理的手段進行進一步設計。然后設計相應算法提取出鑒別真假的特征，并構建與檢測目標相匹配的深度神經網絡模型^[7]。最后將待檢測的視頻或圖像輸入到訓練好的算法模型中進行性能測試，進而驗證所設計的深度偽造檢測模型的有效性。在此過程中，決定檢測性能的關鍵是如何選擇有效區分真假表情的相關特征^[8]，圖2展示了檢測算法的具體流程。

不同的表情操作攻擊檢測方法體現在檢測算法流程中的側重點不同，可以將目前的檢測方案分為三類。

3.2.1基于數據驅動的深度偽造表情攻擊檢測技術

優秀的網絡設計能更加有效地提取真偽表情之間的細微特征和差異信息^[9]。部分技術手段沒有把重點聚焦于某一個特殊的偽造算法上，而是把神經網絡訓練成通用的分類器^[10]，如圖3所示，該技術讓神經網絡來決定聚焦于輸入數據的哪些特性，從而判斷真偽。

3.2.2基于信息不一致的深度偽造表情攻擊檢測技術

研究發現不同人在說話時，面部表情和頭部運動存在明顯的模式差異。而在目前現有的偽造方式中都對這種模式造成了破壞，即視頻中的人臉區域發生了篡改，導致人物說話時面部表情和頭部運動的模式與人物身份不相符。可以通過基于聽覺和視覺情感特征不一致的檢測方法，即同時從音頻和視頻中提取情感特征，以此來檢測輸入視頻真偽。 

3.2.3基于GAN圖像特征的深度偽造表情攻擊檢測技術

研究發現GAN生成技術改變了圖像的像素和色度空間統計特征，可以通過學習特征共生矩陣來區分生成圖像的差異。Wang (2019) 等人提出FakeSpotter^[11]，利用神經元監控的方法來進行分類，基于神經元監控的圖像真偽分類方法，通過覆蓋神經元并觀察真偽圖像經過人臉識別器中的神經元激活變化情況，利用SVM學習神經元激活的差異，從而區分真偽圖像。在假的人臉或表情中，神經元覆蓋的行為表現出相似性。

4 結語

總的來說，人臉對抗、深度偽造樣本的檢測方法還處于不斷發展和完善中，未來需要結合多種方法，不斷提高對抗樣本檢測的準確性和魯棒性，通過對大量數據集以及服務器資源進行訓練，來獲得更加高效的數據驅動算法。

大多數已有的檢測算法通常是在單一的測試場景下進行的，現實世界中常常面臨多種噪聲干擾，圖像失真等復雜情況。且部分檢測方法容易依賴特定的數據集和生成算法，泛化能力弱。需要我們探索盡可能多的偽造類型，尋找共性特征，探索不同數據預處理對檢測算法性能的影響，進而進一步增強模型的魯棒性和泛化性以應對人臉識別系統面臨的各種安全挑戰。

參考文獻

[1]梁杰. 面向人臉識別的對抗樣本攻擊模型研究與應用[D]. 貴州大學,2022 .

[2]潘文雯，王新宇，宋明黎，陳純.對抗樣本生成技術綜述[J]. 軟件學報, 2020. 31(1): 67-81.

[3]李旭嶸，紀守領等.深度偽造與檢測技術綜述[J]. 軟件學報, 2021. 32(2): 496-518.

[4]藺琛皓，沈超，鄧靜怡等.虛假數字人臉內容生成與檢測技術[J]. 計算機學報, 2023. 46(3): 469-498.

[5]趙超.AI換臉技術的法律風險評估—從APP“ZAO”談起[J]. 江蘇工程職業技術學院學報, 2020. 20(01): 103-108.

[6]黃懌豪.深度偽造圖像的精細化與檢測研究[D], 華東師范大學,2022 .

[7]Simonyan K, Zisserman A. Very deep convolutional networks for large-scale image recognition[J]. ar Xiv preprint ar Xiv: 2014,1409.1556.

[8]Thies J, Zollhofer M, Stamminger M, Theobalt C, Niebner M. Face2face: Real-time face capture and reenactment of rgb videos[C]Proceedings of the IEEE conference on computer vision and pattern recognition. 2016,2387-2395.

[9]Schmidhuber J. Deep learning in neural networks:An overview[J].Neural Networks, 2015, 61:85-117.

[10]Nilsson NJ. Principles of artificial intelligence.Berlin, Germany:Springer Science&Business Media.1982.

[11]李嶸,紀守領,吳春明等.深度偽造與檢測技術綜述[J].軟件學報,2020,32(2):496-518.