Главная » Архив журнала » 2023 год » Журнал ПЛАС №6 (302) » DeepFake – реальная угроза для систем биометрии. Конкретизируем риски
21 июня 2023, 13:44
Количество просмотров 2024

DeepFake – реальная угроза для систем биометрии. Конкретизируем риски

Вопросом, в какой мере DeepFake является реальной проблемой, задается независимый эксперт Павел Есаков, продолжая серию публикаций, посвященных ключевым вехам развития и современным вопросам биометрической аутентификации.
DeepFake – реальная угроза для систем биометрии. Конкретизируем риски
Фото: предоставлено автором / ПЛАС

Предыдущий материал

Исторический экскурс

Интерес к DeepFake возник сравнительно недавно, а собственно термин стал общепринятым после опубликованной в конце 2017 года статьи пользователя ресурса Reddit с сообщением о разработке алгоритма машинного обучения, который позволил подменять в видеороликах лица порноактеров лицами широко известных лиц. Традиционные технологии манипуляции с лицом требовали большого количества ручного труда в сочетании с инструментами редактирования фото и видеоизображений. Однако появление Generative Adversarial Networks (GAN) позволило отказаться от ручных манипуляций с видеоизображением, а использование мобильных приложений (например, ZAO и FaceApp) предоставило возможность создавать фейковый контент практически любому пользователю.

standard_Sw-face-swap_.webp
Замена лица на произведении искусства с помощью нейросети. Изображение: Stephen Wolfram

Чем опасен DeepFake?

Очевидно, что появление большого количества изображений, подвергнутых манипуляции, привело к необходимости создания инструментов для обнаружения вмешательства в фото/видеоконтент.

Поскольку подделка фото/видеоматериалов существовала и до появления технологии DeepFake, известны и традиционные методы обнаружения подделок, которые обычно базируются на:

  • «отпечатке» самой камеры;
  • характеристике сенсора камеры, объектива;
  • использовании цветовых фильтров, программного обеспечения камеры;
  • «отпечатке» используемого для редактирования программного обеспечения;
  • изменения скорости съемки для видеоизображений.

Поскольку банки в основном используют для биометрической аутентификации/идентификации лицевую биометрию, интерес представляют методы манипуляции с изображением лица (и их обнаружением), которые принято разделять на следующие группы:

  • полный синтез лица;
  • подмена лица (DeepFake);
  • подмена атрибутов лица;
  • подмена выражения лица.

Заметим, что использование классических технологий в современных условиях затрудняется тем обстоятельством, что при публикации фото/видеоконтента в интернете происходят процессы изменения размеров изображения, а также применения различных технологий сжатия как при публикации материалов, так и в процессе хранения и передачи.

standard_GAN_deepfake_white_girl.webp
Лицо девушки, сгенерированное GAN. Изображение: Inga klang

Можно ли считать, что DeepFake представляют собой существенную угрозу для лицевой биометрии? Скорее да, чем нет. Развитие GAN идет настолько быстро, что если раньше создание поддельного фото (и тем более видео) требовало большого количества исходных материалов и было возможно только на мощных графических процессорах, то сегодня «оживить» фотографию можно с помощью программного решения на мобильном телефоне. А ведь многие системы обнаружения атак на предъявление и требуют подмигнуть, посмотреть вверх-вниз и т. д.!

Развитие GAN идет настолько быстро, что сегодня «оживить» фотографию можно с помощью программного решения на мобильном телефоне

Также финансовые учреждения, которые для открытия счета не требуют физического визита в банк (а последних становится все больше), могут впоследствии обнаружить мошенников, успешно использовавших технологию DeepFake для создания синтетических личностей или людей, которые не имеют никакого отношения к открытым счетам, кроме использования фотографий законопослушных клиентов.

А тот факт, что в интернете имеются предложения «DeepFake-As-A-Service», говорит о стремлении к монетизации технологии создания подделок. Ведь предложение появляется там, где есть спрос.

Иные угрозы

Чем же еще опасен феномен DeepFake? Начнем с того, что аккредитованные на тестирования систем обнаружения атак на биометрическое предъявление (Presentation Attack Detection — PAD) лаборатории не используют в качестве инструмента атаки DeepFake изображения — это не предусмотрено стандартом. Более того, стандарт ISO 30107 не требует проверки ситуации, где вместо предъявления физических артефактов камере в биометрическую систему будет поступать сигнал с виртуальной камеры. Заметим, что практически все статические методы обнаружения атак на биометрическое предъявление используют различия, возникающие при съемке живого субъекта или его изображения (фото на бумаге или планшете). Видеосигнал, поступающий с виртуальной камеры, исключает такие различия и может достаточно легко обмануть систему PAD. Надо также принимать во внимание, что если генерация DeepFake ведется с заведомо большим разрешением, чем у биометрического сенсора, то даже демонстрация подделки на экране планшета/смартфона скорее всего пройдет без обнаружения атаки.

Таким образом, борьба с DeepFake в финансовом мире волей-неволей переходит в практическую плоскость. Большинство публикаций о решениях и методах по обнаружению DeepFake сообщают о достаточно хороших, близких к 100% вероятностях обнаружения подделок при использования публично доступных датасетов DeepFake для всех перечисленных выше групп манипуляций с изображением лица.

Как правило, основным механизмом является обнаружения «отпечатка» GAN, использованной при создании подделки. Правда, неясно, как будут работать такие решения, если удалить или замаскировать шумом «отпечаток» GAN. При этом надо учитывать, что большинство исследований проводилось в «тепличных» условиях — исследователи использовали либо публично доступный датасет, либо свой собственный. На этом датасете велось обучение системы, и он же использовался для последующего тестирования. Кроме того, все исследователи использовали разные показатели точности определения поддельного контента, что затрудняло сопоставление полученных результатов.

Борьба с DeepFake в финансовом мире волей-неволей переходит сегодня в практическую плоскость

Что показал DeepFake Detection Challenge — DFDC 2019

Практическим ответом на вопрос, насколько успешно возможно выявление подделок, созданных с использованием технологии DeepFake, стал объявленный в 2019 конкурс DeepFake Detection Challenge — DFDC 2019.

Для проведения этого конкурса был собран новый датасет с большим разнообразием видео высокого качества для исследования проблемы обнаружения DeepFake. Участники DFDC использовали данный датасет для обучения и тестирования своих моделей и могли получить результаты тестирования своих моделей на доске лидеров, опубликованной на сайте конкурса. Для создания видео было приглашено более 3500 участников, каждый из которых дал согласие на участие в проекте. Особое внимание было уделено разнообразию рас, цветов кожи, половой принадлежности, возраста, национальности и другим характеристикам.

Организаторы конкурса изменяли видеоматериалы с использованием различных моделей генерации DeepFake, средств улучшения изображения, изменяли частоту кадров, использовали размытие изображений и оверлеи. Задача состояла в том, чтобы представить в достаточном количестве разнообразные методы, с которыми мы сталкиваемся при использовании онлайн видеосюжетов. Для того, чтобы конкурс соответствовал нуждам разработчиков, организаторы сотрудничали с экспертами из известных университетов (Корнельский технологический, МИТ, Беркли, Олбани, Неапольский университет и Оксфорд), получая их отзывы и рекомендации.

Точность работы механизмов детектирования для лучших моделей достигает 82,56%. Но при тестировании моделей с использованием датасета «черного ящика» ситуация с ранжированием существенно поменялась. Наилучший показатель продемонстрировала модель, представленная Селимом Сефербековым (Selim Seferbekov). Точность детектирования составила 65,18% для набора данных из «черного ящика». При использовании публичного датасета модель заняла лишь четвертое место. Аналогично, другие модели-победители (со второго по пятое место) заняли при тестировании с использованием публичного датасета более низкие места (37-е, 6-е, 10-е и 17-е соответственно). Это обстоятельство подчеркивает важность общего подхода с учетом неучтенных видео при создании моделей.

17756f77-194e-4785-a8c4-4f6ccc9867a7.webp
Так видит процесс «смены лица» нейросеть BlueWillow

Все победители использовали предварительно обученные сети EfficientNet, которые дополнительно проходили обучение только на тренировочных данных конкурса DFDC. Большинство выбрало вариант B7 сети EfficientNet. Что отличало участников, так это то, как они использовали эти модели: сколько сетей было использовано, как комбинировались предсказания, полученные на базе ансамбля. Речь идет о решении, которое использует работу нескольких нейронных сетей, а результат работы формируется с использованием суммирования с разными весами выходных данных используемых сетей.

Конкурс показывает, что ассемблированный подход, хорошо зарекомендовавший себя в других приложениях ИИ, полезен и для детектирования DeepFake. Ни одно из лучших решений не использует методов проведения цифровых расследований, таких как использование отпечатка шумов сенсора или других методов, характерных для процесса создания изображения. Предположительно, это связано с тем, что или методы пиксельного анализа не являются полезными для этой задачи, или их использование не распространено среди участников конкурса.

Ассемблированный подход, хорошо зарекомендовавший себя в других приложениях ИИ, полезен и для детектирования DeepFake

Выводы

Из всего вышесказанного можно сделать вывод, что в настоящий момент преимущество на стороне средств нападения, и средствам защиты необходимо приложить усилия, с тем, чтобы выправить ситуацию.

Читайте также:
Технологический рейтинг продолжается! Анализируем банки Узбекистана
Технологический рейтинг продолжается! Анализируем банки Узбекистана

Какие решения наименее удачны для обнаружения DeepFake? Очевидно, что нейронную сеть невозможно заставить работать на мобильном телефоне, и кажется очевидным преимущество решения, полностью реализованного на сервере. К тому же нет никаких проблем с интеграцией. Но если у решения отсутствует фронтальная часть, которая затрудняет или делает невозможным обход биометрического сенсора (камеры), то это существенно упрощает работу злоумышленника. Очевидно, что использование биометрии в классическом интернет-банке (на основе браузера) также существенно расширяет поверхность атаки, поскольку здесь можно легко заменить камеру или подключить виртуальную.

Можно ли считать, что, решив проблему обнаружения DeepFake, мы получим полностью безопасное биометрическое решение? Увы, есть еще одна угроза — состязательные атаки, но это тема для отдельной статьи.

Рубрика:
{}Биометрия
Теги:
#ПАВЕЛ ЕСАКОВ
#БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ
#DEEPFAKE
#АНАЛИТИКА
#СЕРИЯ СТАТЕЙ

PLUSworld в соцсетях:
telegram
vk
dzen
youtube

ТАКЖЕ ПО ТЕМЕ

Иностранцы смогут покупать сим-карты только по биометрии
Незамеченный стандарт 12-летней давности. Почему на него стоит обратить внимание
Правительство предлагает включить в законопроект ответственности за утечку данных и биометрию
Американская компания Darwinium добавила новую поведенческую идентификацию
Иностранцы смогут покупать сим-карты только по биометрии
Незамеченный стандарт 12-летней давности. Почему на него стоит обратить внимание
Правительство предлагает включить в законопроект ответственности за утечку данных и биометрию
Американская компания Darwinium добавила новую поведенческую идентификацию