Illustration av en ansikte morphing attack. Originalbilderna till vänster och höger modifierades för att skapa den falska bilden (mitten). Kredit:Fraunhofer HHI
Från att låsa upp smartphones till att påskynda säkerhetskontroller på flygplatser:användningen av automatisk ansiktsigenkänning för personlig identifiering fortsätter att växa. Men denna autentiseringsmetod är sårbar för morphing attacker:brottslingar kan missbruka den genom att sammanfoga två olika ansiktsbilder till en. Ett enda pass med ett fotografi manipulerat på detta sätt kan sedan användas av två olika personer. Tillsammans med sina partners, Fraunhofers forskarlag utvecklar ett system som förhindrar den här typen av attacker med hjälp av maskininlärningsmetoder.
Resenärer som regelbundet besöker USA är vana vid att bli ombedda att titta in i en kamera under passinspektionen. Det elektroniska fotot jämförs omedelbart med det foto som lagras i det biometriska passet. I denna biometriska ansiktsigenkänningsprocess, ett program fångar den digitala informationen från livebilden och jämför den med data från chipbilden för att avgöra om de individuella ansiktsegenskaperna på fotona matchar eller inte. Ansiktsigenkänning kan också användas för att låsa upp smartphones och surfplattor. Denna metod är avsedd att låsa ute obehöriga tredje parter och begränsa åtkomsten till känslig data. Men tekniken är sårbar för riktade attacker, som en mängd olika tester redan har visat. "Brottslingar kan lura system för ansiktsigenkänning – som de som används vid gränskontroller – på ett sådant sätt att två personer kan använda ett och samma pass, säger Lukasz Wandzik, forskare vid Fraunhofer Institute for Production Systems and Design Technology IPK i Berlin. Tillsammans med sina kollegor vid Fraunhofer Institute for Telecommunications, Heinrich Hertz-institutet, HHI och andra partners (se ruta), han utvecklar en process som identifierar de bildanomalier som uppstår under digital bildbehandling i morphingprocesser. "I en morphing attack, två ansiktsbilder smälts samman till en enda syntetisk ansiktsbild som innehåller båda personernas egenskaper, " förklarar Wandzik. Som ett resultat, biometriska ansiktsigenkänningssystem autentiserar båda personernas identitet baserat på detta manipulerade foto i passet.
Dessa attacker kan ske till exempel före eller under processen att ansöka om en ID-handling. I projektet ANANAS (från den tyska akronymen för "Anomaly Detection for Prevention of Attacks on Authentication Systems Based on Facial Images"), partnerna fokuserar på detta problem genom att analysera och undersöka simulerade bilddata. Här tillämpar de moderna bildbehandlings- och maskininlärningsmetoder, i synnerhet djupa neurala nätverk utformade explicit för bearbetning av bilddata. Dessa komplexa nätverk består av ett stort antal nivåer som är länkade med varandra i flerskiktsstrukturer. De är baserade på kopplingar mellan matematiska beräkningsenheter och imiterar den mänskliga hjärnans neurala struktur.
Förhindra identitetsstöld med neurala nätverk
För att testa de processer och system som utvecklas, projektpartnerna börjar med att generera data som används för att träna bildbehandlingsprogrammen att upptäcka manipulationer. Här omvandlas olika ansikten till ett ansikte. "Med hjälp av förvandlade och verkliga ansiktsbilder, vi har tränat djupa neurala nätverk för att avgöra om en given ansiktsbild är autentisk eller produkten av en morphing-algoritm. Nätverken kan känna igen manipulerade bilder baserat på de förändringar som sker under manipulation, speciellt i semantiska områden som ansiktsegenskaper eller reflektioner i ögonen, " förklarar professor Peter Eisert, chef för avdelningen Vision &Imaging Technologies på Fraunhofer HHI.
LRP-algoritmer gör AI-förutsägelser förklarliga
De neurala nätverken fattar mycket tillförlitliga beslut om huruvida en bild är äkta eller inte, med en noggrannhetsgrad på över 90 procent i testdatabaserna som skapats i projektet. "Men det verkliga problemet är mycket mer att vi inte vet hur det neurala nätverket fattar beslutet, " säger Eisert. Alltså, utöver beslutets riktighet, Fraunhofer HHI-forskarna är också intresserade av grunden för beslutet. För att svara på denna fråga analyserar de regionerna i ansiktsbilden som är relevanta för beslutet med hjälp av LRP-algoritmer (Layer-Wise Relevance Propagation) som de själva utvecklat. Detta hjälper till att identifiera misstänkta områden i en ansiktsbild och att identifiera och klassificera artefakter som skapats under en morphingprocess. Inledande referenstester bekräftar att algoritmerna kan användas för att framgångsrikt identifiera morferade bilder. LRP-programvaran märker de ansiktsområden som är relevanta för beslutet i enlighet med detta. Ögonen ger ofta bevis på bildmanipulation.
Forskarna använder också denna information för att designa mer robusta neurala nätverk för att upptäcka det bredaste möjliga utbudet av attackmetoder. "Brottslingar kan ta till mer och mer sofistikerade attackmetoder, till exempel AI-metoder som genererar helt artificiella ansiktsbilder. Genom att optimera våra neurala nätverk försöker vi ligga steget före de skyldiga och identifiera framtida attacker, säger IT-professorn.
Det finns redan ett programvarupaket för demonstration som inkluderar anomalidetektering och utvärderingsprocedurer. Den innehåller ett antal olika detektormoduler från de enskilda projektpartnerna som har slagits samman. De sammankopplade modulerna använder olika detektionsmetoder för att hitta manipulationer, genererar ett övergripande resultat i slutet av processen. Målet är att integrera mjukvaran i befintliga ansiktsigenkänningssystem vid gränskontroller eller att förbättra systemen till att inkludera morphing-komponenter och därmed utesluta förfalskning genom motsvarande attacker av denna typ.