22、面部图像变形攻击与识别评估

面部图像变形攻击与识别评估

1. 研究目的与攻击设计

本次研究旨在评估以下三个方面：一是创建具有欺骗性的变形面部图像的可行性；二是人类检测变形图像的能力；三是商业识别系统在面对图像变形时的鲁棒性。

攻击设计步骤如下：
1. 选择不同主体的两张图像：挑选有一定外貌相似性，但使用建议阈值（针对两个软件开发工具包，即SDK）时面部图像不会误匹配的两个人的图像。之所以使用不匹配的图像，是因为若图像匹配则无需进行变形操作。
2. 将这两张图像进行变形处理，生成新的图像。变形后的图像用于评估人类检测变形的能力，以及估计自动面部识别在图像变形情况下的准确性。

2. 图像变形过程

在电影和动画中，变形是一种通过无缝过渡将一个图像转变为另一个图像的特效，常用来描绘一个人变成另一个人的场景。本次研究使用免费的GNU图像处理程序v2.8（GIMP）和GIMP动画包v2.6（GAP）来对两张面部图像进行变形处理，目标是生成一张与其中一个主体（文件申请人）非常相似，但同时包含另一个主体面部特征的面部图像。即便两个主体面部不太相似，也能实现这一目标。

具体步骤如下：
1. 将两张面部图像作为单独的图层输入到同一图像中，并通过叠加眼睛手动对齐（如图1所示）。
2. 使用GAP变形工具在两张面部图像上手动标记一组重要的面部点，如眼角、眉毛、鼻尖、下巴和额头等（如图2所示）。
3. 使用GAP变形功能自动生成一系列展示从一个面部过渡到另一个面部的帧（如图3所示）。
4. 从申请人照片开始扫描帧，直到当前帧与犯罪主体的匹配分数大于或等于匹配阈值，以此选择最终帧。为了在无人值守门禁的面部验证场景下最大化注册阶段的接受概率，优先