Журнал "Information Security/ Информационная безопасность" #6, 2018

жения). Это возможно, когда нарушитель имеет ограничен- ный доступ к системе, так как зачастую входные данные алгоритм распознавания полу- чает, например, с камер видео- наблюдения, к которым про- тивник не имеет прямого доступа, что делает многие спуфинг-атаки практически нереализуемыми. Чтобы преодолеть разрыв между теоретическими результатами и реальными условиями, в последнее время создается много тесто- вых устройств. Одним из ярких примеров являются очки [1], разработанные с изображением на оправе, позволяющим идентифициро- вать владельца в качестве другого человека (рис. 1). Еще одним исследованием аналогичной тематики является возможность изме- нения изображения дорожных знаков для обхода распозна- вания с помощью глубоких нейронных сетей (Deep Neural Networks) (рис. 2.) [4]. Атака заключается в использовании черных и белых наклеек с тем, чтобы нейронная сеть распознавала знак "Стоп" как знак ограничения скорости. В марте 2018 г. китайская команда из Фуданьского уни- верситета предложила так называемый метод невидимой маски, при использовании кото- рого нарушитель, не внося видимых изменений в свою внешность, будет идентифици- роваться системами распозна- вания как совершенно другой человек [5]. Это достигается с помощью инфракрасного (ИК) излучения, которое не может быть замечено глазами чело- века, но все еще может быть зарегистрировано большин- ством уличных камер, устройств наблюдения и даже смартфонами. Учитывая кро- шечные размеры освещающих ИК-светодиодов, их можно легко встроить в кепку, спря- тать в зонтике и, возможно, даже волосах или парике. Как только устройства будут включены, инфракрасные точки будут проецироваться на стратегические точки на лице злоумышленника, тонко изме- няя его черты лица, чтобы вызвать ошибочную классифи- кацию в системе распознава- ния. Данный подход является прорывом в атаках на системы распознавания и демонстриру- ет, что биометрические методы идентификации нуждаются в более серьезной защите. Следует отметить, что отно- сительная простота критериев принятия решения, используе- мых в системах биометриче- ской идентификации, предо- ставляет нарушителям широ- кий спектр возможностей построения векторов атак. Зачастую нарушитель может изменять различные парамет- ры изображения, добиваясь некорректной классификации. Алгоритм идентификации по лицу Рассмотрим один из широко используемых алгоритмов иден- тификации людей по лицам – алгоритм Eigenfaces [6], в осно- ве которого лежит классический метод главных компонент [7]. В данном алгоритме каждое изображение представляется в виде разложения по некоторым базовым изображениям (так называемым собственным лицам), содержащим основную информацию об исходном (рис. 3). Можно предложить способ реализации атаки, который заключается в применении варианта градиентного метода для направленного изменения весов атакующего изображения в разложении по указанным базовым изображениям [8]. Как показывают исследования, вно- симые при этом искажения для большинства сторонних наблю- дателей оказываются незамет- ными. Примеры успешных реализа- ций атаки представлены на рис. 4 и 5. Широко зарекомендовал себя также метод распознавания, основанный на использовании локальных бинарных шаблонов (LBP), поскольку он инвариан- тен к изменению освещения изображаемого объекта. • 29 КОНТРОЛЬ ДОСТУПА www.itsec.ru Рис. 1. Примеры использования оправы очков для олицетворения других людей Рис. 2. Пример изменения знака "Стоп" так, чтобы он был распознан как знак ограничения скорости Рис. 4. Пример атаки, когда атакующий и атакуе- мый являются людьми разного пола Рис. 3. Среднее лицо и собственные лица Относительная простота критериев принятия решения, используемых в системах биометрической идентификации, предоставляет нарушителям широкий спектр возможностей построения векторов атак. Зачастую нарушитель может изменять различные параметры изображения, добиваясь некорректной классификации.