【综述专栏】虹膜呈现攻击检测综述

在科学研究中，从方法论上来讲，都应“先见森林，再见树木”。当前，人工智能学术研究方兴未艾，技术迅猛发展，可谓万木争荣，日新月异。对于AI从业者来说，在广袤的知识森林中，系统梳理脉络，才能更好地把握趋势。为此，我们精选国内外优秀的综述文章，开辟“综述专栏”，敬请关注。

论文题目： ‍‍

虹膜呈现攻击检测综述

A Survey on Iris Presentation Attack Detection

论文作者：

王财勇（北京建筑大学），

刘星雨（北京建筑大学），

房美玲（弗劳恩霍夫计算机图形研究所），赵光哲（北京建筑大学），何召峰（北京邮电大学），孙哲南（中国科学院自动化研究所）。

收录期刊：自动化学报

论文DIO：10.16383/j.aas.c230109

全文概述

虹膜识别技术因唯一性、稳定性、非接触性、准确性等特性广泛应用于各类现实场景中. 然而, 现有的许多虹膜识别系统在认证过程中仍然容易遭受各种攻击的干扰, 导致安全性方面可能存在风险隐患. 在不同的攻击类型中, 呈现攻击(Presentation attacks, PAs) 由于出现在早期的虹膜图像获取阶段, 且形式变化多端, 因而虹膜呈现攻击检测 (Iris present-ation attack detection, IPAD) 成为虹膜识别技术中首先需要解决的安全问题之一, 得到了学术界和产业界的广泛重视.本综述是目前已知第一篇虹膜呈现攻击检测领域的中文综述, 旨在帮助研究人员快速、全面地了解该领域的相关知识以及发展动态. 总体来说, 本文对虹膜呈现攻击检测的难点、术语和攻击类型、主流方法、公共数据集、比赛及可解释性等方面进行全面归纳. 具体而言, 首先介绍虹膜呈现攻击检测的背景、虹膜识别系统现存的安全漏洞与呈现攻击的目的. 其次, 按照是否使用额外硬件设备将检测方法分为基于硬件与基于软件的方法两大类, 并在基于软件的方法中按照特征提取的方式作出进一步归纳和分析. 此外, 还整理了开源方法、可申请的公开数据集以及概括了历届相关比赛. 最后, 对虹膜呈现攻击检测未来可能的发展方向进行了展望.

虹膜呈现攻击检测的难点

虹膜识别及其安全漏洞，虹膜相对于其他生物特征公认防伪性较好, 但是依然可能会受到不同类型的攻击. 常见的安全漏洞可能会出现在虹膜识别的每一步中，包括: 图像获取, 向传感器呈现用于攻击的真实虹膜或模拟真实虹膜的人工制品, 即本文关注的呈现攻击; 特征提取, 对这一过程的攻击主要是对抗图像, 通过对待认证虹膜图像进行扰动, 干扰基于深度网络的虹膜特征提取, 以逃避虹膜识别; 与数据库进行比对, 数据库中虹膜模板的泄露也是虹膜识别系统的潜在安全漏洞, 虹膜模板经过篡改、窃取或者逆向重建原始图像, 都会对识别系统造成极大的威胁.

呈现攻击的目的，冒充他人身份，这类攻击的成功会导致注册用户的个人信息泄露, 如若涉及社交平台、银行账户等, 则会威胁到注册用户的社交关系、财产安全, 将会极大地降低虹膜识别系统的安全性以及用户对虹膜识别系统的信任度。隐藏自身身份，这类攻击一般发生在一些刑侦、司法场景中,显然这样将会加剧人员排查的难度, 给社会带来不稳定因素. 一旦发生这类情况, 虹膜识别系统就不能作为确认身份的唯一手段, 还需要结合人脸、步态等其他有效的生物特征进行身份识别。

虹膜呈现攻击和虹膜识别的集成，串行集成，串行集成是一种最普遍的集成方式. 虹膜样本首先通过虹膜传感器获取虹膜图像, 然后传递给虹膜呈现攻击检测模型进行真假判别。并行集成，并行集成是一种改良的集成方式. 为提高虹膜识别的效率, 减少虹膜呈现攻击检测造成的延迟,将虹膜传感器获取的同一虹膜样本图像分别传递给虹膜呈现攻击检测模型和虹膜识别模型进行处理,其中检测模型将产生虹膜图像为真实类别的分数,而识别模型将产生虹膜图像与模板匹配的分数

术语和攻击类型

评价指标，呈现攻击误判率，真实呈现误判率，呈现攻击无响应率，真实呈现无响应率，正确分类率，半错误率，错误接受率，错误拒绝率。

呈现攻击类型，使用真实虹膜的攻击主要包括：尸体虹膜、病变虹膜。

人工制品，静态图像、动态图像、美瞳隐形眼镜、义眼

合成虹膜攻击，起初合成生物特征图像的目的是为了增大公共数据集的量级以进行大规模的算法评测, 同时减少人工采集所造成的隐私限制. 然而, 随着合成图像的技术越来越强和虹膜识别的广泛普及, 合成虹膜也被用来进行呈现攻击。由于合成的虹膜大概率不匹配任何现有的身份, 因此这些技术主要用于隐藏身份的攻击, 然而仍有一些方法可以用来进行冒充攻击。

评估协议，同数据集同类型协议、跨数据集同类型协议、同数据集跨类型协议、跨数据集跨类型协议

虹膜呈现攻击检测方法

虹膜呈现攻击的发展历程如上图所示。

基于硬件的虹膜呈现攻击检测方法包括多光谱成像、3D成像瞳孔光照反应、眼动信号等。

基于传统计算机视觉的方法包括基于图像纹理的方法、基于图像质量的方法。

基于深度学习的方法包括传统CNNs、生成对抗网络、域自适应、注意力机制。

多源特征融合的方法

基于软件的方法:近年来有代表性的基于软件的虹膜呈现攻击检测方法如下图

开源方法:虹膜呈现攻击检测方法汇总如下图

开放数据集

虹膜呈现攻击检测开源代码总览如下图，

虹膜呈现攻击检测开放数据集总览如下图

虹膜呈现攻击的可解释性

在生物特征识别系统中, 除了准确性外, 可解释性也是衡量系统是否可以大范围部署和安全使用的一个重要考量. 这里可解释性主要是指某些算法或系统的行为和预测能够被人类所理解. 对于虹膜呈现攻击检测, 学术界和产业界普遍关注呈现攻击样例被检测出的内部机理, 以便调试系统, 对系统做进一步的改造升级, 减少系统偏见和增加公平性、可靠性.

总结与展望

对未知呈现攻击的泛化性，大多数方法针对单一攻击类型, 且用于模型训练的数据集规模相对较小, 因此容易导致过拟合.而在实际应用过程中, 虹膜呈现攻击类型众多, 采集虹膜图像的传感器各不相同, 成像环境如光源和采集对象配合程度不同, 这些都有可能导致训练集和测试集存在域偏移的问题, 降低了模型应用于实际检测的通用性和鲁棒性。

虹膜呈现攻击检测与虹膜识别的集成部署，设计轻量级的且满足实时推理的虹膜呈现攻击检测模型主要是针对基于深度学习的方法而言, 而传统方法普遍没有这方面的问题. 现有的深度学习模型主要关注检测的准确性方面, 而没有特别考虑模型的空间和时间复杂性. 为满足上述要求, 可考虑采用一些轻量级的网络结构如 Mobi-leNet、EfficientNet等, 或者利用模型的压缩、量化、剪枝等策略提升模型的可用性. 但是轻量级的模型可能会降低检测性能, 因此如何对性能和复杂性之间做平衡是虹膜呈现攻击检测方法实际部署时需要首先考虑的问题。

可信度，得益于高度的准确性和便利性, 包括虹膜识别在内的生物特征识别系统在一定程度上取代了传统。密码等身份验证方式, 然而公众对生物特征识别系统的可信性方面仍然保有怀疑和强烈关切, 因此持续的研究势在必行. 可信性一般包括准确性、偏见与公平性、安全性、可解释性以及隐私性。

合成虹膜，当前合成虹膜已经得到了初步研究, 从视觉效果上看, 合成虹膜与真实虹膜之间已经难以用肉眼去分辨, 因此合成虹膜被作为一种呈现攻击工具.在一些场景下, 合成虹膜也被用来替代真实虹膜训练虹膜识别模型, 以缓解对用户隐私等问题的担忧.未来合成虹膜可能的研究方向之一是持续地加强“矛”与“盾”的对抗研究, 一方面研究各种最新的生成方法如扩散模型 (Diffusion model)以生成大规模的、高质量的、多样化的合成虹膜图像以欺骗检测系统, 其中可考虑创建新类型的合成虹膜,如隐形眼镜、尸体虹膜等以及在此基础上的打印合成虹膜、屏显合成虹膜等。从集成部署的角度出发, 在合成攻击虹膜的同时保持身份信息也是重要的. 另一方面, 提出更鲁棒有效的检测算法以更好地检测合成虹膜, 从而提升检测算法的泛化性.