3、通用攻击缓解策略
3.1 活性检测
活性检测已成为VCS中一种普遍的防御策略,主要设计用来确定语音命令是否来自真实的人类。这种方法背后的基本前提是,大多数恶意命令都是机器生成的。这些命令通常通过扬声器播放或直接通过音频文件(如WAV文件)输入到VCS API中。与这些人工产生的命令不同,真正的人类用户不会以这种方式生成语音命令。因此,通过识别人类语音的特征,活性检测旨在过滤掉这些非人类、机器生成的输入,从而增强VCS的安全性。
3.1.1 被动检测
在VCS的活性检测中,被动检测在区分人类语音命令和由扬声器生成的命令中起着至关重要的作用。这是通过使用两种主要技术分析声音特征来实现的:
检测说话者特征:从扬声器发出的语音命令通常带有独特的信号失真,这是扬声器硬件固有的电路噪声的结果。这些失真与人类语音中发现的模式有显著差异,可以使用专门为此目的训练的分类器来识别。此外,智能设备中使用的磁力计可以检测到扬声器在发声时由电子元件产生的电磁场,这进一步有助于确定语音命令的来源。
检测人类语音特征:人类语音是通过一个复杂的生理过程产生的,涉及嘴巴、声道、声带和肺的协调动作。来自肺部的气流通过声门,引起声带振动,然后在嘴巴和声道中的共振放大,形成最终的声音信号。识别这一过程中固有的特征,如呼吸气流模式、口部动作和骨骼振动,为确定语音命令是否由人类生成提供了基础。这些特征可以使用麦克风、摄像头或其他专用传感器进行监测。在实际应用中,可能需要集成额外的设备或传感器来提高此类验证的准确性和可靠性。
这些被动检测方法在增强VCS安全性方面发挥着重要作用,确保语音命令确实是人类发出的,而不是通过电子设备人工生成或重放的。
3.1.2 主动交互
VCS中的主动交互防御方案涉及以类似于CAPTCHA的方式与用户互动,以确定语音命令的真实性。这种方案的一种普遍形式是挑战-响应机制。在接收到语音命令后,VCS会向用户发出挑战,要求在预定的时间内做出适当的响应。如果在该窗口内未能正确响应,则假定命令是机器生成的,因此拒绝执行命令。虽然这种方法在一定程度上有效抵御语音攻击,但它为用户引入了额外的步骤,可能会影响VCS的可用性。
3.2 音频转换
在VCS的预处理层中,将音频转换作为防御措施,在将其传递给后续层次进行进一步处理之前。这种有效性源于转换过程能够破坏这些攻击旨在利用或欺骗的特定模式和结构。因此,转换后的音频失去了攻击者预期的特性,使其失效。与此相反,良性音频通常对这些转换表现出更大的弹性,并且只受到最小的影响,保持了其完整性,同时减轻了潜在威胁。
- 音频编码:对传入音频进行编码已被证明可以有效地降低恶意音频攻击的成功率。使用像高级音频编码(AAC)、MP3 、Speex 、Opus 、自适应多速率(AMR)和集成多重编解码器等编解码器可以为抵御恶意音频提供相当程度的防御。
- 音频过滤:声音合成和对抗性攻击在很大程度上依赖于精确的算法扰动。使用中值滤波器、量化和其他降噪算法等方法过滤这些恶意音频输入,有效地破坏了这些扰动,从而保护VCS免受此类攻击。
- 音频下采样:实验表明,将音频下采样到较低速率,然后再上采样回适合VCS输入的速率,可以有效地减轻攻击影响。良性音频相对不受影响,而恶意音频则失去了精心添加的扰动,因此未能实现对目标VCS的预期效果。
4、挑战与未来方向
4.1 挑战
硬件增强:VCS中物理层攻击的有效性通常取决于利用麦克风等硬件的漏洞。然而,这些漏洞并不是所有麦克风类型都普遍存在的。一个显著的例子是iPhone 6 Plus,由于其独特的麦克风设计,已被证明能有效抵抗声音合成攻击。硬件易感性的这种可变性为在物理层执行一致的攻击带来了重大挑战。
模型知识:随着VCS技术的发展,商业模型变得越来越普遍。这些模型通常是专有的,并且不是开源的,这是公司为了保护其知识产权并防止竞争对手复制而采取的策略。这种秘密性迫使攻击者在一个黑盒环境中操作,大大降低了对抗性攻击的成功率。此外,在对抗性攻击领域,创建能够在不同模型上产生类似攻击结果的通用对抗性扰动仍然是一个重大障碍。
噪声干扰:噪声干扰是现实世界VCS应用中攻击者和防御者的一个关键因素。对于攻击者来说,环境噪声可以降低恶意音频的有效性和范围。相反,对于防御者来说,噪声可能会干扰如活性检测系统等防御机制的准确性。因此,双方都必须在其策略中考虑噪声的影响,这为VCS的安全格局增加了另一层复杂性。
4.2 未来方向
VCS安全研究中确定的挑战为未来的工作打开了途径。为了在实际场景中增强攻击和防御的鲁棒性,关注以下方向:
关注黑盒攻击场景:随着VCS中封闭源模型的兴起,现实世界场景中的攻击者应该专注于执行成功的黑盒攻击。这可能涉及为黑盒模型专门制作对抗性扰动,或设计可从已知的白盒模型转移到未知的黑盒模型的可转移对抗性扰动。
针对结合ASR和SV功能的攻击:现代VCS,如苹果的Siri,通常集成了自动语音识别(ASR)和说话人验证(SV)功能。因此,攻击者需要开发能够同时破坏ASR和SV系统的恶意音频。
优化防御方案:未来的防御策略应该在最小化额外硬件需求和系统复杂性的同时,追求高效率,利用现有设备硬件进行防御。
建立统一的评估标准:为VCS中的攻击和防御机制开发统一的评估标准至关重要。这一标准将提供可靠和一致的评估指标,类似于通用漏洞评分系统(CVSS),帮助VCS设计者准确评估安全格局。
5、相关延伸
5.1 CAPTCHA(完全自动化公共透明测试以区分给定输入是否来自人类)
一种广泛应用于互联网安全的技术,旨在区分用户是计算机还是人。它通过展示一系列任务或谜题来实现这一目的,这些任务对人类来说容易解决,但对机器则较难。
语言控制系统采用音频基CAPTCHA:通过播放一个声音片段,用户需要输入与之相关的文字或数字。
5.2 智能语音控制器通用安全技术要求
《智能语音控制器通用安全技术要求》2024年11月1日正式实施,从6个方面进行信息安全要求:语音监听安全要求、传输安全要求、认证安全要求、操作系统安全要求、数据安全要求。
