1手指静脉识别系统的主静脉攻击分析休伊Nguyen1,Trung-Nghia Le1,3,4,Junichi Yamagishi1,and Isao Echizen1,21日本东京国立信息学研究所2日本东京大学3越南国立大学胡志明市分校4越南国立大学胡志明市分校{nhhuy,jyamagis,iechizen} @ nii.ac.jp摘要手指静脉识别(FVR)系统已经被商业化地用于客户验证,特别是在ATM中。因此,必须测量它们对各种攻击方法的鲁棒性,特别是当使用手工制作的FVR系统而没有任何对策方法时。在本文中,我们是文献中第一个介绍主静脉攻击的人,在该攻击中,我们制作了一个静脉外观的图像,以便它可以通过FVR系统与尽可能多的身份进行错误匹配我们提出了两种方法来生成主静脉用于攻击这些系统。第一种方法使用了隐变量进化算法的自适应算法,并提出了生成模型(β-VAE和WGAN-GP模型的多阶段组合第二章采用对抗性机器学习攻击方法对强代理CNN识别系统进行攻击。这两种方法可以很容易地结合起来,以提高他们的攻击能力。实验结果表明,所提出的方法单独和共同取得的错误接受率高达73.29%和88.79%,分别对三浦我们还指出,Miura的系统很容易受到由WGAN-GP模型生成的非静脉样本的影响,错误接受率高达94.21%。研究结果对此类系统的鲁棒性提出了警告,并建议应将静脉攻击视为一种重要的安全措施。1. 介绍手指静脉认证(使用FVR系统[24])于1997年在日本首次商业化实施,并因其在ATM中用于认证用户而得到广泛认可[28]。它的使用使用户不必记住和定期更改密码以维护安全。由于它们的便利性,生物特征认证方法(包括手指静脉认证方法)已被广泛使用。因此,必须评估其稳健性并识别潜在危害。演示攻击是一种攻击生物识别系统的常见方式[17]。除了呈现捕获的受害者的生物特征外,攻击者还可以使用狼样本[27],它可以匹配多个身份的注册模型。主指纹[2]和主面孔[21,25,20]是使用生成模型生成的狼样本的示例。事实上,并非所有FVR系统都有正确部署的对策方法,从而允许主静脉攻击危及它们。除了呈现攻击之外,攻击者还可以通过其他几种方式危害生物识别系统[23],如图所示。1.此外,在理论上,可以从合成主静脉(清楚地显示静脉中心线的图像)制作物理对象(称为呈现攻击工具或PAI),并使用它来执行呈现攻击(图1中的攻击1)。1)[26]。也可以使用卷积神经网络(CNN)[22]将合成的主静脉转换为捕获的静脉样本,并使用它来执行逻辑攻击(图2中的攻击2)。①的人。 由于这些原因,我们专注于逻辑-具有清晰静脉图像的cal发作(图4中的发作4)。(1)在这项工作中。 我们制作一个主静脉图像,然后将其作为探针注入,以攻击基于Miura等人构建的FVR系统。的设计[18,19]。主静脉图像是探针静脉外观图像,其可以被FVR系统错误地接受为与多个身份的登记模型。虽然非静脉图像可能具有更好的攻击能力,但它们很难推广到其他系统和其他攻击场景。 有两种可能的解决方案来制作这样的主静脉:使用潜变量进化(LVE)算法[2]和使用对抗机器学习(AdvML)攻击[11]。LVE算法是生成主生物特征样本的常用方法[2,21,25,20]:预先训练的生成模型与进化算法一起使用。生成主指纹的原始工作使用传统的生成对抗网络(GAN)模型[5],而生成主面部的工作[21,25,20]使用在大型面部数据库上训练的高级GAN模型[12]。对于原始的变分自动编码器(VAE)[13]和β- VAE[8,3]生成模型,在以下两者之间存在权衡:19001901×删除或修改数据库修改生物特征参考0.8274接受/拒绝传感器呈现攻击修改/注入生物特征样本特征提取器电子匹配器修改分数决策者图1. FVR系统概述及其可能的攻击,受到Ratha等人的启发。[23]。本文主要研究通过注入主静脉探针图像的攻击4。图像质量和学习解缠表示的能力传统的VAE和GAN[1,5]模型在生成大图像(在我们的例子中为320 - 240像素)时遇到了麻烦,而高级模型则需要大量数据。LVE算法能否取得好的结果取决于生成模型的解纠缠能力此外,与现代静脉捕获设备的兼容性取决于模型生成高分辨率静脉图像的能力。使用对抗性示例的AdvML攻击可以用于改变CNN的输出[11]。假设使用主静脉攻击的攻击者不知道注册模型的身份。因此,攻击者尝试生成可以匹配尽可能多的注册模型的主静脉。最先进的基于CNN的FVR系统在训练和测试之间使用不同的方法。例如,对于在训练中使用加性角度裕度损失[4]的系统[14],任务是使用提供的标签最小化 在评估中,余弦相似性用于计算探头和模型静脉的两个嵌入特征之间的距离。因此,传统的对抗性攻击在这种情况下无法应用。此外,对抗性攻击是基于机器学习的识别系统所独有的。它们不太可能很好地推广到手工制作的识别系统。这项工作旨在解决上述两个问题,然后将这两个新提出的解决方案结合起来,生成可以攻击手工制作和基于深度学习的静脉识别系统的大静脉图像。 对于LVE算法所使用的生成模型,我们提出了一种将β-VAE模型和Wasserstein GAN与梯度惩罚(WGAN-GP)模型相结合的方法[5]。该组合模型可以有效地学习解纠缠潜在表示,表示是LVE算法的基本要素,能够生成比单一模型质量更高的图像。使用此设置,我们可以成功地攻击一个手工制作的系统,错误接受率(FAR)约为70%。然而,这种基于LVE的方法不能在基于CNN的FVR系统上工作,导致基于对抗性攻击的方法的失败。与传统的对抗性攻击方法不同,我们建议使用klabels作为目标。由于目标系统在推理模式中使用两个嵌入特征之间的余弦距离,因此我们攻击了其训练配置,该配置使用了一个先进的可加角裕度损失函数。为了使攻击更一般,我们结合这两种方法。通过对由基于LVE的方法生成的主静脉执行对抗性攻击,制作的主静脉可以欺骗手工制作和基于CNN的识别系统,其FAR(对于手工制作的系统高达88.79%)高于由单一方法创建的主静脉的FAR。总之,这项工作的贡献有四个方面:• 我们指出,一个手工制作的静脉识别系统,没有任何对策的方法可以很容易地妥协,由WGAN-GP模型生成的非静脉外观的我们也是第一个在文学,erature调查合成静脉看图像执行主静脉攻击。• 我们介绍了一种将β-VAE模型和WGAN-GP模型相结合的方法,以生成具有更好解缠的大型优质静脉图像然后将从该组合中提取的训练后的β-VAE解码器用于LVE算法。• 我们提出了一个k-标签有针对性的对抗攻击用于攻击基于CNN的FVR系统。这个基于CNN的目标系统是使用先进24修改/注入探头71数据捕捉器83特征提取器5匹配器6模型DB9决策者1902培训00010损失函数(附加角裕度),优于手工制作的系统。• 我们描述了一个非常成功的攻击,结合了一个潜在的基于LVE的攻击与对抗性攻击的手工制作的FVR系统。我们表明,对主静脉攻击的鲁棒性是FVR系统的一个重要措施2. 相关工作2.1. 手指静脉识别系统一个典型的静脉识别系统通常有四个模块(可视化图。1):数据捕获器、特征提取器、匹配器和决策器[23]。可以在特征提取之前应用预处理操作。在Miura等人的原始工作中。[18,19],最大曲率方法和重复线跟踪方法用于特征提取器模块,互相关方法用于匹配器模块。最大曲率方法被设计为对不同的静脉宽度和不均匀的亮度具有鲁棒性。我们将其用于基线手工FVR系统,我们称之为除了如上所述的完全手工制作的系统之外,机器学习方法已经用于构建特征提取器和/或匹配器[24]。例如,Kuzu等人 [14]使用DenseNet-161模型[10]的修改版本来构建特征提取器,并使用余弦距离作为匹配的度量。修改后的DenseNet- 161模型使用所提供的地面实况标签上的附加角裕度损失[4]进行训练。在测试时,利用该方法计算了探针和手指静脉模型的嵌入特征。这种系统的概述如图所示。2.为了构建一个概念上可攻击的基于CNN的模型进行评估,我们使用这种CNN作为额外的特征提取器,测试图2.基于CNN的FVR系统的训练和测试阶段的图示训练阶段使用具有地面真实标签的附加角裕度损失,而测试阶段使用两个嵌入特征之间的余弦距离。最大曲率特征提取器我们将附加的基于CNN的特征提取器与基于余弦相似性的匹配器组合以形成新的匹配器。在我们的实验中,我们使用两个修改版本的ResNet- 18 [7]和一个修改版本的MobileNetV 3-Large [9](代表小型网络)和ResNeXt-50 [29](代表大型网络)作为额外的CNN特征提取器。2.2. 对生物识别系统的如果一个样本在生物识别系统中被错误地认为与来自 多 个 身 份 的 模 型 相 匹 配 , 则 该 样 本 被 认 为 是“狼”[27]。狼的样本可以是生物特征的,也可以是非生物特征的。使用狼样本的狼攻击最初用于针对指纹识别系统[23]。主生物特征攻击是“狼攻击”的一种特殊情况,其中狼样本看起来类似于生物特征。非生物特征的狼样本没有任何约束,因此可以是任何外观。因此,非生物特征的狼样本更容易制作,并且可能比主生物特征样本具有更好的攻击能力。然而,集成到生物识别系统中的欺骗检测器或质量此外,由于大多数非生物特征的狼样本主要集中在特定系统中的特定缺陷上,因此它们可能无法很好地推广因此,本文选择研究一种主指静脉攻击.使用主生物特征样本的主生物特征攻击最近已被用于攻击部分指纹识别系统[2]和面部识别系统[21,25,20]。潜变量进化算法[2]用于通过将进化算法与预训练的生成模型相结合来协方差矩阵自适应进化策略(CMA-ES)[6]由于其针对非线性和非凸函数的新颖设计而成为进化算法的流行选择对于低分辨率生物特征(如部分指纹)生成器来说,使用传统的生成模型(如WGAN-GP [5])就足够了。对于像人脸这样的高分辨率生物特征,它需要像StyleGAN这样更复杂的生成模型在这项工作中,静脉图像不需要像面部图像那样非常高的分辨率,但是像部分指纹这样的低分辨率图像是不够的。因此,我们不能简单地使用WGAN-GP作为生成模型。3. 提出方法我们首先讨论了本文中使用的攻击策略。然后,我们介绍了两种生成主静脉的方法我们假设目标FVR系统不使用任何欺骗检测器或质量评估器。19033.1. 攻击策略分析如图所示,在FVR系统上有几个位置可以进行攻击。1. 我们的目标在有限的资源下,尽量扩大主静脉钉的范围和有效性关键是要确保制作的主脉可以在各种条件下用于攻击各种系统。采集的手指静脉图像依赖于传感器,由于噪声和缺乏预处理,静脉的结构不清楚。如果我们生成粗糙的主静脉来执行攻击2,则生成模型不能有效地学习静脉表示。生成的主静脉也不能很好地与其他数据捕获设备一起工作。用于执行攻击4的静脉图像更精确,更适合训练生成模型,执行攻击和分析。可以使用CNN [22]将主静脉转换为相应的捕获图像以执行攻击2。此外,攻击者可以在给定手指静脉图像的情况下制作相应的PAI [26],该PAI可用于执行呈现攻击(攻击1)。综上所述,从理论上讲,如果我们能够进行攻击4,就。Miura数据库编码器解码器/发生器评分……Discri-房minator或匹配器CMA-ES图3.提出的基于LVE的方法。当运行LVE算法时,仅使用虚线多边形中的模块。匹配)。对于部分匹配,探针是完整探针的随机裁剪图像这类似于a. 原始图像b. WGAN-GP(LVE1)c.β-VAE(LVE(二)d. 我们的方法(LVE3)Bontrager等人的工作中的场景。[2]的文件。在表演之前-在输入静脉图像上进行随机裁剪,系统使用算法来计算掩模以首先提取仅静脉区域。 为了简单起见,我们假设提供了该区域。实际上,由于该算法,非静脉外观的主静脉图像可能不会被适当地裁剪,从而降低了它们的攻击能力。 对于基于CNN的系统,网络只能执行完全匹配。因此,为了确保可推广性,我们专注于生成完整的主静脉图像。此外,完整的主静脉图像可以被裁剪,用于在Miura的系统中进行部分匹配图4.原始图像和使用WGAN-GP方法,β-VAE方法和我们提出的方法生成的图像(在放大的数字版本中查看最佳)。更多样品见补充材料。WGAN-GP方法未能生成静脉图像,而β-VAE方法生成模糊图像。我们提出的方法比其他两种方法生成更清晰的图像。最小化等式1.一、β-VAE3.2. 基于LVE方法的L(θ,θ; x,z,C)= Eqθ(z|x)[log p θ(x|z)]− γ|DKL(q)(z|x)<$p θ(z))− C|、(一)3.2.1方法Bontrager等人的工作。[2]使用WGAN-GP [5]生成部分指纹(以下简称LVE1)。然而,WGAN-GP很难训练,特别是在训练数据有限的情况下。β-VAE更容易训练,并且可以学习更好的非纠缠表示(以下简称LVE 2)。然而,它生成的图像质量很低因此,我们在我们提出的生成器中融合了它们的优势,并使用LVE算法[2,21]来生成主静脉(以下称为LVE3)。我们提出的LVE 3方法的概述如图所示。3.为了实现具有更好学习的解纠缠表示和高分辨率输出的更好的生成模型,我们首先通过以下方式训练β-VAE模型[8,3]1904∥L其中,θ和θ分别是编码器qθ和解码器pθ的分布参数,并且DKL()表示Kullback-Leibler散度。然后,我们通过使用WGAN-GP优化(最小化等式2)来微调解码器。2)的情况。使用该鉴别器提高了生成图像的质量。为了确保稳定性,我们在最小化GAN时冻结了q θ和p θ的大部分参数,除了p θ的最后三个卷积层。使用WGAN-GP方法、β-VAE方法和我们提出的方法生成的手指静脉图像如图所示。4在本文和图。1、补充材料。WGAN-GP方法无法生成逼真的静脉图像,而我们的方法生成了1905x不⊙∗比β-VAE更清晰的图像。LGAN=ExP[D(x)]−ExP[D(x)]80gr(2)哪里+λEx<$$>P[(<$$>x<$D(x<$)<$2−1)2],60• xθ=p θ(x|z)=p θ(x|q(z|X))。• Pr和Pg分别是真实数据分布和生成数据• Px{\displaystyle P x{\displaystyle P}是沿着从Pr和Pg采样的点对之间的直线均匀采样的。LVE算法在Alg. 1在柔软的-402000 200400 600 800 1000迭代次数原始材料。为了简单起见,我们使用CMA-ES [6]进行进化算法。当运行LVE算法时,仅使用β-VAE的解码器p θ。它起到生成器的作用,生成静脉图像。3.2.2初步分析运行LVE算法时计算的错误接受率(FAR -未经授权或非法用户被验证的比率)如图所示。5.在Miura系统上使用LVE 3方法生成的大静脉如图所示。6.b.令人惊讶的是,即使没有LVE算法的帮助,LVE1方法(使用WGAN-GP)生成的随机非静脉手指静脉也可以轻松地欺骗Miura的系统,其FAR高于90%。其基于互相关的匹配器模块无法正确处理这些狼样本。这一发现对三浦系统的可靠性提出图5.在Miura和基于ResNeXt-50的系统上运行LVE算法时的FAR。当迭代次数增加时,只有Miura系统的FAR3.3. 利用对抗性机器学习方法进行攻击我们建议使用由等式描述的l∞投影梯度下降攻击[16]的修改版本3. 我们使用一个滤波器K,用于控制扰动的形状;掩模M,用于将扰动的区域限制到包含静脉的区域;以及软标签向量y,用于控制攻击的目标身份。由于合成的静脉位于具有相似形状和位置的手指上,因此可以通过手工或使用间隙填充算法来容易地近似和预先制作掩模Mxt+1=剪辑x,(xt+α(K)M)磨碎的除了上述不规则情况外,建议的LVE3其中,=x(三)L(θ,x,y),在Miura的系统上,用β-VAE法测定的FAR值分别为70%和50%,优于LVE 2法。这一结果证实了我们的多级组合的β-VAE和WGAN-GP的发电机的有效性。虽然它们看起来并不完美,但是由LVE 3方法生成的指静脉比由LVE 1和LVE 2方法生成的指静脉更自然,减少了被欺骗检测器检测到或被质量评估器拒绝的可能性。对于基于CNN的识别系统,LVE1和LVE3方法无法在具有接近零FAR的基于ResNeXt-50的系统上工作。这种失败可能是由于基于ResNeXt- 50的系统是在精心设计的损失函数上训练的大型网络[4],从而防止在 其 嵌入 空 间 中形成密集簇( 在Nguyen 等 人 中讨论)。的工作[20])。因此,我们研究了另一种攻击基于CNN的系统的方法,如下一节所述。其中x是输入图像,y是目标软标签向量,θ是目标模型参数的集合,K是滤波器核,M是指静脉掩码,是卷积算子,并且是逐元素乘法算子。与传统的对抗性定向攻击不同,我们针对多个标签而不是单个标签。我们称之为K标签定向攻击.更详细地说,我们选择总共N个标签中的1
下载后可阅读完整内容,剩余1页未读,立即下载
