攻防最前线：深度文档图像伪造新方法DocFake

【编者：本篇介绍深圳大学陈昌盛和黄继武等老师的成果，这个工作非常有趣，面向实际应用环境，提出了一种文档图像的伪造攻击方法，也许我们可以把这个方法叫做DocFake。】

由于全球新冠肺炎疫情的流行，电子商务和电子政务的应用中对在线文档认证的需求日益剧增。用户需要将文档（证书、成绩单、合同、证件等）的照片上传到各类网站以通过认证。然而，人们利用一些图像编辑工具或基于深度学习的技术，可对文档内容进行篡改。最近有研究表明，自然图像中的字符和单词可以用卷积神经网络进行端到端的编辑。据我们所知，目前还没有关于基于深度学习的文本内容生成方案对文档图像安全的评估工作，但深度学习技术在文本图像编辑方面的发展已经对文档图像的安全构成了新威胁。本文建立了一个基于深度学习的文档图像篡改网络，并攻击现有的文档图像认证系统，攻击方法如图1所示。

图1. 基于深度网络的文档篡改网络与翻拍攻击

文档伪造攻击分为伪造（通过本文提出的深度网络ForgeNet）和翻拍两个步骤。在伪造过程中，由成像设备获取的文档图像作为ForgeNet的输入。它被分为三个区域，即文本区域、图像区域和背景区域（不包括在前两类中的区域）。背景区域由反半色调模块（IHNet）处理，用以去除打印图像中的半色调点。图像区域中的原始照片被目标照片所取代，所得图像被输入到打印和扫描预补偿模块（PCNet）和IHNet。值得注意的是，PCNet引入颜色失真，并在编辑过的区域引入半色调图案，这样就可以补偿编辑过的区域和背景区域之间的差异。文本区域随后被输入到文本编辑模块（TENet）、PCNet和IHNet。经伪造网络处理后，这三个区域被拼接在一起，形成一个完整的文档图像。最后，伪造的文档图像由相机或扫描仪进行翻拍，完成伪造和翻拍攻击。

实验中作者选择具有复杂背景的身份证作为目标文档，通过单样本和一些数据增强策略训练文本编辑模块（TENet）。如图2所示，TENet只用单样本进行微调就取得了良好的伪造性能。作者将由ForgeNet伪造得到的10张身份证图像进行翻拍后（翻拍操作可以进一步隐藏篡改痕迹），上传到百度AI、腾讯AI和旷视Face++ AI这三个文档图像认证平台进行攻击，以此验证平台对此类伪造和翻拍的身份证图像的取证性能。在旷视Face++ AI上的验证结果如表1所示。结果表明，测试的10张伪造和篡改的身份图像均攻击成功。同时，所有测试的图像也都成功通过了其他两个认证平台的认证（包括针对编辑、翻拍的检测等）。这说明即使是主流且先进的文档认证平台也难以区分伪造和翻拍的文档图像，充分证明了本工作所提出的攻击方法的成功。如图3所示，此方法可被应用于篡改各种文档图像的内容，达到以假乱真的视觉效果。

图2. 身份证图片篡改的效果展示

表1. 旷视MEGVII Face++ AI对篡改身份证图片的识别效果

图3. 本方法在各类文档图像中的篡改效果，蓝框中的是篡改区域

论文已被图像处理领域顶级期刊IEEE Transactions on Image Processing录用，论文作者为深圳大学赵麟、陈昌盛和黄继武，相关信息如下：

L. Zhao, C. Chen and J. Huang, “Deep Learning-based Forgery Attack on Document Images”, IEEE Transactions on Image Processing, Accepted Aug. 2021

供稿：深圳大学 陈昌盛

编辑：复旦大学 钱振兴

声明：本文来自隐者联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。