面部生物識別欺騙的變形攻擊檢測需要更多的概括，數據集

深層蛋糕可能會受到更多的新聞報導，但是面對變形可能是使用生物識別技術來驗證旅客身份的邊境控制系統的緊迫安全問題，歐洲生物識別技術協會的參與者是最新的研討會。

這EAB數字面部操縱和檢測的研討會也重點介紹將音頻與視頻匹配在面對面的一代道德和社會含義數字面部操縱和深擊。其他演示主題包括檢測合成面，對抗性攻擊和逼真的面部編輯。

三個演講專門集中在身份文檔中的面部變形的威脅以及如何檢測它的情況下。

現實世界中的問題

博洛尼亞大學和伊姆爾斯大學的Annalisa Franco將變形描述為適用於面部地標或生成對抗網絡（GAN）的翹曲和質地混合的組合。

她描述了AI如何用於生成雙重身份面部圖像，可以將其註冊到護照芯片上，以允許兩個人通過同一ID文檔進行生物識別檢查。這被確定為最多的嚴重威脅到生物識別安全系統，例如邊境控制。

已經觀察到現實生活中的例子，從2018年開始。斯洛文尼亞警方在2021年報告說，他們觀察到40多個變形案例，這是專業服務提供的一部分，可以向阿爾巴尼亞人發放斯洛文尼亞護照，以便他們前往加拿大。

佛朗哥分享了兩種面對變形的方法的例子，並討論了它們的有效性和局限性。

儘管存在這些局限性，如提出的兩個不同的評估指標所表明的那樣，ABC門等面部識別系統容易受到變形攻擊的影響。如果可以將變形的圖像與任何探測圖像匹配，而另一個考慮將其他探測器視為“完全交配的形式匹配率”（FMMPMR）或兩個受試者的所有探測圖像的成功，則這些技術之一考慮了攻擊成功。

佛朗哥提出了一種新的指標，稱為變形攻擊潛力（MAP），該指標基於犯罪分子的觀點，並被認為是探針圖像和多個面部識別系統的可變數量。

使用該度量標準的測試表明，超過四分之一的變形圖像都帶有所有探針圖像的所有四個面部識別系統，而85％的變形圖像中至少在單個探針圖像上愚弄了一個系統。

克里斯托夫·布希（Christophe Busch）NTNU並審查了變形攻擊檢測，並指出了一些違反直覺的發現，即更準確的面部識別系統往往比不太準確的攻擊更容易受到變形攻擊的影響。 Busch解釋說，使某些系統更加準確的卓越寬容也使它們容易受到這種特殊攻擊的影響。

根據Busch的說法，通過局部二進制模式通過圖像描述符進行紋理分析的形態攻擊檢測顯示出希望，但用LBP的概括很困難。光響應非均勻性可以揭示由兩個不同的攝像機捕獲的圖像，從而揭示了直方圖中的變形。

幸運的是，捕捉變形攻擊通常不涉及對單個圖像的分析，而是對兩個圖像進行比較。這允許從特徵角度和距離的差異中進行差異變形攻擊檢測。

佛朗哥（Franco）和兩名研究人員在2018年建議的另一種差異圖像方法還提出了通過反轉變形過程然後確認相似性得分來“脫身”的可能性。

Busch說，在ISO/IEC 30107-3中列出的攻擊檢測指標可用於變形攻擊，但進行評估非常複雜。

歐盟和美國NIST都在致力於變形攻擊檢測評估。

Twente大學的Luuk Spreeuwers進一步描述了檢測方法的實際評估，他指出了在圖像上變形的各種痕跡。

Spreeuwers警告說，這些結果無法推廣，因此在學術論文中報告的相等的錯誤檢測系統的同樣錯誤率往往約為2％，但由於它們是基於單個變形方法和一個單個數據庫，因此它們是基於單個變形方法和單個數據庫。他說，需要跨數據庫測試才能深入了解其實際有效性。

因此，需要使用不同方法變形的圖像的數據庫。但是，在合併數據集上訓練和測試的系統提供了35％的EER。

Spreeuwers的團隊從4個現有數據集中構建了一個數據集，以創建用於算法培訓和測試的數據庫。然後，他們使用了一種基於紋理的方法，正如據報導，使用用於特徵提取的SVM分類器。

研究人員發現，可以通過注射少量高斯噪聲或降尺度然後升級圖像來挫敗變形檢測。兩種方法都會干擾變形生成過程留下的跡線。

Spreeuwers指出，還應根據相似性選擇“變形產生的對象”，因為這是罪犯所做的。

像布希一樣，Spreeuwers結束了，將聽眾引導到最先進的攻擊檢測狀態（索坦）由歐盟運行的項目設置一個數據庫，用於測試變形攻擊檢測系統。