在第二集 让人脸识别失效的对抗样本生成(二)中,我们使用本地人脸识别服务来测试Fawkes生成的对抗样本,发现识别率达到了100%,这离我们的期望很远。
今天我们改变测试的方法,使用非名人照片,在超过千个人脸数据库中搜索试试。
我们使用Labeled Faces in the Wild Home(LFW)数据集,这个数据集有13000张人脸,我们还从CASIA-FaceV5这个亚洲人脸数据集中抽出10个人,每人五张照片作为非名人照片来进行测试。
LFW是以人名为文件夹,每一个人有一张以上的照片。
我们把LFW数据集中的A和Z开头的照片都取出来,生成对抗样本。
用原照片和生成的对抗样本进行比较:
可以看到有的照片改动比较大,有的照片改变比较小。
CASIA-FaceV5这个亚洲人脸数据集中抽出的10个人,也生成对抗样本:
从下图可以看到,这张照片改动比较小
使用整个lfw数据集中 Z开头的对抗样本在lfw人脸库中搜索,部分结果如下:
./lfw_z/Zinedine_Zidane_0001_min_cloaked.png,Andy_Benes_0001./lfw_z/Zinedine_Zidane_0001_min_cloaked.png,Alex_Cabrera_0001./lfw_z/Zinedine_Zidane_0001_min_cloaked.png,Zinedine_Zidane_0002./lfw_z/Zinedine_Zidane_0001_min_cloaked.png,Zinedine_Zidane_0003./lfw_z/Zinedine_Zidane_0001_min_cloaked.png,Zinedine_Zidane_0001./lfw_z/Zinedine_Zidane_0001_min_cloaked.png,Zinedine_Zidane_0004./lfw_z/Zinedine_Zidane_0001_min_cloaked.png,Zinedine_Zidane_0005./lfw_z/Zinedine_Zidane_0001_min_cloaked.png,Zinedine_Zidane_0006
可以看到,对抗样本依然可以被搜索出来。
./lfw_z/Zhang_Yimou_0001_min_cloaked.png,Howard_Dean_0008./lfw_z/Zhang_Yimou_0001_min_cloaked.png,Zhang_Yimou_0001./lfw_z/Zhang_Yimou_0001_min_cloaked.png,Adolfo_Rodriguez_Saa_0002./lfw_z/Zhang_Yimou_0001_min_cloaked.png,Zhu_Rongji_0004./lfw_z/Zhang_Yimou_0001_min_cloaked.png,Andrei_Konchalovsky_0001./lfw_z/Zhang_Yimou_0001_min_cloaked.png,Hisao_Oguchi_0002
张导演的这几张也有一张被识别了出来,其他的识别出错。
再用我们准备的50张非名人照片的对抗样本,部分结果如下:
./asia_low/049_0_low_cloaked.png,449_0./asia_low/049_0_low_cloaked.png,399_0./asia_low/049_0_low_cloaked.png,000_0./asia_low/049_0_low_cloaked.png,299_0./asia_low/049_0_low_cloaked.png,049_0./asia_low/049_0_low_cloaked.png,149_0./asia_low/049_0_low_cloaked.png,349_0./asia_low/049_0_low_cloaked.png,249_0./asia_low/099_0_low_cloaked.png,unknown_person./asia_low/199_0_low_cloaked.png,199_0./asia_low/149_0_low_cloaked.png,000_0./asia_low/149_0_low_cloaked.png,049_0./asia_low/149_0_low_cloaked.png,149_0./asia_low/149_0_low_cloaked.png,349_0./asia_low/149_0_low_cloaked.png,249_0./asia_low/299_0_low_cloaked.png,299_0./asia_low/299_0_low_cloaked.png,049_0./asia_low/299_0_low_cloaked.png,149_0./asia_low/299_0_low_cloaked.png,349_0./asia_low/249_0_low_cloaked.png,349_0./asia_low/249_0_low_cloaked.png,249_0
可以看到基本上都会被搜索到。
./asia_low/049_0.png,099_0./asia_low/049_0.png,199_0./asia_low/049_0.png,449_0./asia_low/049_0.png,399_0./asia_low/049_0.png,000_0./asia_low/049_0.png,299_0./asia_low/049_0.png,049_0./asia_low/049_0.png,149_0./asia_low/049_0.png,349_0./asia_low/049_0.png,249_0./asia_low/049_0_low_cloaked.png,099_0./asia_low/049_0_low_cloaked.png,199_0./asia_low/049_0_low_cloaked.png,449_0./asia_low/049_0_low_cloaked.png,399_0./asia_low/049_0_low_cloaked.png,000_0./asia_low/049_0_low_cloaked.png,299_0./asia_low/049_0_low_cloaked.png,049_0./asia_low/049_0_low_cloaked.png,149_0./asia_low/049_0_low_cloaked.png,349_0./asia_low/049_0_low_cloaked.png,249_0
原照片加入搜索,发现对抗样本并没有比原照片难搜索出来。
这下有点难办了,本来人脸的1:N的搜索准确率就不高,作者竟然是在1千张以上的照片上进行搜索操作,这下也没看出来效果,难道是我姿势不对?还是等作者出本地服务吧。
感觉有点浪费时间了,我还会继续关注这个课题,我的目标是在aipwn.org上出一个生成照片对抗样本的服务,能躲过人脸识别的照片样本。
其实我已经有一些方案了,这篇论文容我去看看它的开源代码后再写文章来汇报,或许那个时候服务已经好了。
另外可以在真实场景中使用的,用于抵抗社交媒体压缩照片的框架可以参考这篇文章——让人脸识别算法失灵,还能抵抗微信微博照片压缩!武大&Adobe提出抗压缩对抗新框架,成功率最高超90%。
我是P小二,明天再见。
往期回顾:
DeepFake系列——TweepFake:DeepFake推文检测
