Connect with us

Künstliche Intelligenz

Behinderte Computer-Vision-Datensätze gegen unbefugte Verwendung

mm
Published
Updated

Forscher aus China haben eine Methode entwickelt, um Bild-Datensätze für die Computer-Vision-Schulung urheberrechtlich zu schützen, indem sie die Bilder in den Daten effektiv “wasserzeichen” und dann die “sauberen” Bilder über eine Cloud-Plattform für autorisierte Benutzer entschlüsseln.

Tests auf dem System zeigen, dass die Schulung eines Machine-Learning-Modells auf den urheberrechtlich geschützten Bildern zu einem katastrophalen Rückgang der Modellgenauigkeit führt. Bei Tests auf zwei beliebten Open-Source-Bild-Datensätzen fanden die Forscher heraus, dass es möglich war, die Genauigkeiten von 86,21 % und 74,00 % für die sauberen Datensätze auf 38,23 % und 16,20 % zu senken, wenn man versuchte, Modelle auf den nicht entschlüsselten Daten zu schulen.

Aus dem Paper – Beispiele für saubere, geschützte (d. h. gestörte) und wiederhergestellte Bilder. Quelle: https://arxiv.org/pdf/2109.07921.pdf

Aus dem Paper – Beispiele, von links nach rechts, für saubere, geschützte (d. h. gestörte) und wiederhergestellte Bilder. Quelle: https://arxiv.org/pdf/2109.07921.pdf

Dies ermöglicht möglicherweise die weite öffentliche Verbreitung hochwertiger, teurer Datensätze und (vermutlich) sogar semi-versehrter “Demo”-Schulung der Datensätze, um die ungefähre Funktionalität zu demonstrieren.

Cloud-basierte Datensatz-Authentifizierung

Das Paper stammt von Forschern aus zwei Abteilungen der Nanjing University of Aeronautics and Astronautics und sieht den routinemäßigen Einsatz einer Dataset Management Cloud Platform (DMCP) vor, einer Remote-Authentifizierungs-Framework, die die gleiche Art von Telemetrie-basierten Vor-Start-Validierung wie bei Adobe Creative Suite bieten würde.

Der Fluss und die Framework für die vorgeschlagene Methode.

Der Fluss und die Framework für die vorgeschlagene Methode.

Das geschützte Bild wird durch Feature-Raum-Störungen generiert, einer Methode des adversarialen Angriffs, die 2019 an der Duke University in North Carolina entwickelt wurde.

Feature-Raum-Störungen führen einen 'Activation-Angriff' durch, bei dem die Merkmale eines Bildes in Richtung des Merkmalsraums eines adversarialen Bildes verschoben werden. In diesem Fall zwingt der Angriff ein maschinelles Lern-System, einen Hund als Flugzeug zu klassifizieren. Quelle: https://openaccess.thecvf.com

Feature-Raum-Störungen führen einen ‘Activation-Angriff’ durch, bei dem die Merkmale eines Bildes in Richtung des Merkmalsraums eines adversarialen Bildes verschoben werden. In diesem Fall zwingt der Angriff ein maschinelles Lern-System, einen Hund als Flugzeug zu klassifizieren. Quelle: https://openaccess.thecvf.com

Als nächstes wird das unveränderte Bild in das gestörte Bild über Block-Paare und Block-Transformationen eingebettet, wie in dem 2016 veröffentlichten Paper Reversible Data Hiding in Encrypted Images by Reversible Image Transformation vorgeschlagen.

Die Sequenz, die die Block-Paar-Informationen enthält, wird dann in ein temporäres Zwischenbild über AES-Verschlüsselung eingebettet, wobei der Schlüssel später bei der Authentifizierung von der DMCP abgerufen wird. Der Least Significant Bit-Steganographie-Algorithmus wird dann verwendet, um den Schlüssel einzubetten. Die Autoren bezeichnen diesen Prozess als Modified Reversible Image Transformation (mRIT).

Der mRIT-Routinen wird im Wesentlichen bei der Entschlüsselung umgekehrt, wobei das “saubere” Bild für die Verwendung in Schulungssitzungen wiederhergestellt wird.

Test

Die Forscher testeten das System auf der ResNet-18-Architektur mit zwei Datensätzen: der 2009 veröffentlichten Arbeit CIFAR-10, die 6000 Bilder über 10 Klassen enthält; und dem TinyImageNet von Stanford, einem Teil des Datensatzes für die ImageNet-Klassifizierungs-Herausforderung, der einen Trainings-Datensatz von 100.000 Bildern, einen Validierungs-Datensatz von 10.000 Bildern und einen Test-Datensatz von 10.000 Bildern enthält.

Das ResNet-Modell wurde von Null auf drei Konfigurationen trainiert: den sauberen, geschützten und entschlüsselten Datensatz. Beide Datensätze verwendeten den Adam-Optimizer mit einer Anfangslernrate von 0,01, einer Batch-Größe von 128 und einer Trainings-Epoche von 80.

Trainings- und Test-Genauigkeits-Ergebnisse aus Tests auf dem Verschlüsselungssystem. Geringe Verluste sind in den Trainings-Statistiken für die umgekehrten (d. h. entschlüsselten) Bilder erkennbar.

Trainings- und Test-Genauigkeits-Ergebnisse aus Tests auf dem Verschlüsselungssystem. Geringe Verluste sind in den Trainings-Statistiken für die umgekehrten (d. h. entschlüsselten) Bilder erkennbar.

Obwohl das Paper zu dem Schluss kommt, dass “die Leistung des Modells auf dem wiederhergestellten Datensatz nicht beeinträchtigt ist”, zeigen die Ergebnisse geringe Verluste für die Genauigkeit auf wiederhergestellten Daten im Vergleich zu den ursprünglichen Daten, von 86,21 % auf 85,86 % für CIFAR-10 und von 74,00 % auf 73,20 % für TinyImageNet.

Allerdings scheint dies, angesichts der Tatsache, dass sogar geringe Änderungen der Samen (sowie GPU-Hardware) die Trainingsleistung beeinflussen können, ein minimaler und effektiver Kompromiss für den Schutz des geistigen Eigentums gegenüber der Genauigkeit zu sein.

Modell-Schutz-Landschaft

Frühere Arbeiten haben sich hauptsächlich auf den Schutz der tatsächlichen Machine-Learning-Modelle konzentriert, unter der Annahme, dass die Trainingsdaten selbst schwieriger zu schützen sind: Eine Forschungsarbeit aus Japan aus dem Jahr 2018 bot eine Methode an, um Wasserzeichen in tiefen neuronalen Netzen zu integrieren; frühere Arbeiten aus dem Jahr 2017 boten einen ähnlichen Ansatz.

Eine Initiative von IBM aus dem Jahr 2018 untersuchte möglicherweise am tiefsten und am meisten das Potenzial des Wasserzeichens für neuronale Netze. Dieser Ansatz unterschied sich von der neuen Forschung, da er versuchte, nicht umkehrbare Wasserzeichen in die Trainingsdaten zu integrieren und dann Filter innerhalb des neuronalen Netzes zu verwenden, um die Störungen in den Daten zu “diskontieren”.

IBMs Schema für ein neuronales Netz, um Wasserzeichen zu “ignorieren”, hing von dem Schutz der Teile der Architektur ab, die dafür ausgelegt waren, die wasserzeichneten Abschnitte der Daten zu erkennen und zu verwerfen. Quelle: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Piraterie-Vektor

Obwohl die Verfolgung von IP-schützenden Datensatz-Verschlüsselungs-Frameworks wie ein Randfall im Kontext einer Machine-Learning-Kultur erscheinen mag, die noch immer auf Open-Source-Review und dem Austausch von Informationen unter der globalen Forschungsgemeinschaft angewiesen ist, scheint das anhaltende Interesse an privacy-preserving Identitäts-Schutz-Algorithmen periodisch Systeme hervorzubringen, die für Unternehmen, die spezifische Daten und nicht PII schützen möchten, von Interesse sein könnten.

Die neue Forschung fügt keine zufälligen Störungen zu den Bild-Daten hinzu, sondern vielmehr handgefertigte, erzwungene Verschiebungen im Merkmalsraum. Daher könnten die aktuellen Wasserzeichen-Entfernung- und Bild-Verbesserungs-Computer-Vision-Projekte möglicherweise die Bilder auf eine für den Menschen wahrnehmbare höhere Qualität “wiederherstellen”, ohne die Merkmals-Störungen, die zu Fehlklassifizierungen führen, tatsächlich zu entfernen.

In vielen Anwendungen der Computer-Vision, insbesondere solchen, die das Labeling und die Erkennung von Entitäten beinhalten, würden solche illegitim wiederhergestellten Bilder wahrscheinlich immer noch zu Fehlklassifizierungen führen. Allerdings könnten in Fällen, in denen Bild-Transformationen das Kernziel sind (wie z. B. Gesichtsgenerierung oder Deepfake-Anwendungen), algorithmisch wiederhergestellte Bilder möglicherweise immer noch nützlich für die Entwicklung von funktionalen Algorithmen sein.

Related Topics:
mm

Autor über maschinelles Lernen, Domänen-Spezialist in der menschlichen Bildsynthese. Ehemaliger Leiter der Forschungsinhalte bei Metaphysic.ai.