Ανακοπή των Δεδομένων Οπτικής Υπολογιστή Ενάντια στη Μη Αυτορικευμένη Χρήση

Ερευνητές από την Κίνα έχουν αναπτύξει μια μέθοδο για να προστατεύσουν με δικαίωμα πνευματικής ιδιοκτησίας τα σύνολα δεδομένων εικόνων που χρησιμοποιούνται για την εκπαίδευση της οπτικής υπολογιστή, αποτελεσματικά «βαπτίζοντας» τις εικόνες στα δεδομένα και στη συνέχεια αποκρυπτογραφώντας τις «καθαρές» εικόνες μέσω μιας cloud-πλατφόρμας μόνο για τους εξουσιοδοτημένους χρήστες.

Οι δοκιμές στο σύστημα δείχνουν ότι η εκπαίδευση ενός μοντέλου μηχανικής μάθησης στις προστατευμένες εικόνες προκαλεί μια καταστροφική πτώση στην ακρίβεια του μοντέλου. Δοκιμάζοντας το σύστημα σε δύο δημοφιλείς ανοιχτές πηγές συνόλων εικόνων, οι ερευνητές βρήκαν ότι ήταν δυνατό να μειώσουν τις ακριβείς από 86,21% και 74,00% για τα καθαρά σύνολα δεδομένων xuống σε 38,23% και 16,20% όταν προσπάθησαν να εκπαιδεύσουν μοντέλα στις μη αποκρυπτογραφημένες δεδομένα.

Από το έγγραφο – παραδείγματα, από αριστερά προς τα δεξιά, καθαρών, προστατευμένων (δηλ. perturbed) και ανακτημένων εικόνων. Source: https://arxiv.org/pdf/2109.07921.pdf

Αυτό потенτικά επιτρέπει την ευρεία δημόσια διανομή υψηλής ποιότητας, ακριβών συνόλων δεδομένων, και (πредположительно), ακόμη και ημι-καταστραμμένη «demo» εκπαίδευση των συνόλων δεδομένων για να δείξει την προσεγγιστική λειτουργικότητα.

Cloud-Based Dataset Authentication

Το έγγραφο προέρχεται από ερευνητές σε δύο τμήματα στο Πανεπιστήμιο Αεροναυπηγικής και Αστροναυτικής της Ναντζίνγκ, και προβλέπει τη ρουτίνα χρήση μιας Πλατφόρμας Διαχείρισης Συνόλων Δεδομένων (DMCP), một απομακρυσμένο πλαίσιο αυθεντικοποίησης που θα παρέχει το ίδιο είδος τηλεμετρικής προ-εκκίνησης επικύρωσης όπως έχει γίνει κοινό σε βαρείς τοπικές εγκαταστάσεις όπως το Adobe Creative Suite.

Η ροή και το πλαίσιο για την προτεινόμενη μέθοδο.

Η προστατευμένη εικόνα παράγεται μέσω perturbations του χώρου χαρακτηριστικών, μια μέθοδος επίθεσης ανταγωνιστή που αναπτύχθηκε στο Πανεπιστήμιο Duke της Βόρειας Καρολίνας το 2019.

Οι perturbations του χώρου χαρακτηριστικών πραγματοποιούν μια ‘Επίθεση Ενεργοποίησης’ όπου τα χαρακτηριστικά μιας εικόνας推ονται προς τον χώρο χαρακτηριστικών μιας ανταγωνιστικής εικόνας. Σε αυτή την περίπτωση, η επίθεση αναγκάζει ένα σύστημα αναγνώρισης μηχανικής μάθησης να ταξινομήσει ένα σκύλο ως αεροπλάνο. Source: https://openaccess.thecvf.com

Στη συνέχεια, η αμετάβλητη εικόνα ενσωματώνεται στην παραμορφωμένη εικόνα μέσω ζεύγους μπλοκ και μετασχηματισμού μπλοκ, όπως προτάθηκε στο έγγραφο Reversible Data Hiding in Encrypted Images by Reversible Image Transformation του 2016.

Η ακολουθία που περιέχει τις πληροφορίες ζεύγους μπλοκ ενσωματώνεται σε μια προσωρινή εικόνα διαμεσολαβητή χρησιμοποιώντας κρυπτογράφηση AES, το κλειδί του οποίου θα ανακτηθεί αργότερα από το DMCP κατά τον χρόνο αυθεντικοποίησης. Η αλγόριθμος Steganography του Least Significant Bit χρησιμοποιείται στη συνέχεια για να ενσωματώσει το κλειδί. Οι συγγραφείς αναφέρονται σε αυτή τη διαδικασία ως Modified Reversible Image Transformation (mRIT).

Η διαδικασία mRIT είναι ουσιαστικά αντίστροφη κατά τον χρόνο αποκρυπτογράφησης, με την «καθαρή» εικόνα που αποκαθίσταται για χρήση σε συνεδρίες εκπαίδευσης.

Δοκιμές

Οι ερευνητές δοκιμάζουν το σύστημα στο ResNet-18 με δύο σύνολα δεδομένων: το 2009 CIFAR-10, το οποίο περιέχει 6000 εικόνες σε 10 κατηγορίες, και το TinyImageNet του Stanford, ένα υποσύνολο των δεδομένων για την πρόκληση ταξινόμησης ImageNet που περιέχει ένα σύνολο εκπαίδευσης 100.000 εικόνων, μαζί με ένα σύνολο επικύρωσης 10.000 εικόνων και ένα σύνολο δοκιμών 10.000 εικόνων.

Το μοντέλο ResNet εκπαιδεύτηκε από το μηδέν σε τρεις ρυθμίσεις: το καθαρό, το προστατευμένο και το αποκρυπτογραφημένο σύνολο δεδομένων. Και τα δύο σύνολα δεδομένων χρησιμοποιούν τον βελτιστοποιητή Adam με αρχική ταχύτητα μάθησης 0,01, μέγεθος δείγματος 128 και εποχή εκπαίδευσης 80.

Αποτελέσματα εκπαίδευσης και δοκιμής από τις δοκιμές στο σύστημα κρυπτογράφησης. Μικρές απώλειες είναι ορατές στα στατιστικά εκπαίδευσης για τις αναστροφές (δηλ. αποκρυπτογραφημένες) εικόνων.

Αν και το έγγραφο καταλήγει στο συμπέρασμα ότι «η απόδοση του μοντέλου στο ανακτημένο σύνολο δεδομένων δεν επηρεάζεται», τα αποτελέσματα δείχνουν μικρές απώλειες για την ακρίβεια στα ανακτημένα δεδομένα σε σχέση με τα πρωτότυπα δεδομένα, από 86,21% σε 85,86% για το CIFAR-10 και 74,00% σε 73,20% για το TinyImageNet.

Ωστόσο, δεδομένης της τρόπος που ακόμη και μικρές αλλαγές (όπως και το υλικό GPU) μπορούν να επηρεάσουν την απόδοση εκπαίδευσης, αυτό φαίνεται να είναι ένα ελάχιστο και αποτελεσματικό αντάλλαγμα για την προστασία της πνευματικής ιδιοκτησίας έναντι της ακρίβειας.

Τοπίο Προστασίας Μοντέλου

Προηγούμενη εργασία έχει επικεντρωθεί κυρίως στην προστασία των ιδιοκτησιακών μοντέλων μηχανικής μάθησης, με την υπόθεση ότι τα ίδια τα δεδομένα εκπαίδευσης είναι πιο δύσκολο να προστατευτούν: μια έρευνα του 2018 από την Ιαπωνία πρόσφερε μια μέθοδο για να ενσωματώσει νερόσημα σε βαθιά νευρωνικά δίκτυα, ενώ προηγούμενη εργασία από το 2017 πρόσφερε μια παρόμοια προσέγγιση.

Μια προσπάθεια του 2018 από την IBM έκανε ίσως την πιο βαθιά και πιο δεσμευμένη έρευνα για το δυναμικό της ενσωμάτωσης νερόσημων σε μοντέλα νευρωνικών δικτύων. Αυτή η προσέγγιση διέφερε από την καινούρια έρευνα, στο ότι ζητούσε να ενσωματώσει μη αναστρέψιμα νερόσημα στα δεδομένα εκπαίδευσης και στη συνέχεια να χρησιμοποιήσει φίλτρα μέσα στο νευρωνικό δίκτυο για να «διαγράψει» τις perturbations στα δεδομένα.

Το σχήμα της IBM για ένα νευρωνικό δίκτυο να ‘αγνοήσει’ νερόσημα βασίζεται στην προστασία των τμημάτων της αρχιτεκτονικής που σχεδιάστηκαν για να αναγνωρίσουν και να απορρίψουν τα τμήματα δεδομένων με νερόσημα. Source: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Δίαυλος Πειρατείας

Αν και η διώξη της προστασίας συνόλων δεδομένων με κρυπτογράφηση μπορεί να φαίνεται σαν μια περίπτωση σε σχέση με τον πολιτισμό της μηχανικής μάθησης που εξακολουθεί να εξαρτάται από την ανοιχτή αναθεώρηση και τη διανομή πληροφοριών μεταξύ της διεθνούς ερευνητικής κοινότητας, η συνεχής ενδιαφέρον για αλγόριθμους προστασίας ταυτότητας που διατηρούν την ιδιωτικότητα φαίνεται να παράγει περιοδικά συστήματα που μπορεί να είναι ενδιαφέροντα για εταιρείες που αναζητούν να προστατεύσουν συγκεκριμένα δεδομένα αντί για προσωπικά δεδομένα.

Η καινούρια έρευνα δεν προσθέτει τυχαίες perturbations στα δεδομένα εικόνας, αλλά αντίθετα, εξαναγκασμένες μετατοπίσεις στο χώρο χαρακτηριστικών. Έτσι, η τρέχουσα σειρά προγραμμάτων αφαίρεσης νερόσημων και βελτίωσης εικόνας μπορεί потенτικά να «ανακτήσει» τις εικόνες σε μια ανθρωπίνως αντιληπτή υψηλότερη ποιότητα χωρίς να αφαιρέσει τις perturbations του χώρου χαρακτηριστικών που προκαλούν λανθασμένη ταξινόμηση.

Σε πολλές εφαρμογές της οπτικής υπολογιστή, ιδιαίτερα αυτές που αφορούν την ετικέτα και την αναγνώριση οντοτήτων, τέτοιες ανακτημένες εικόνες θα προκαλούσαν πιθανώς ακόμη λανθασμένη ταξινόμηση. Ωστόσο, σε περιπτώσεις όπου οι μετασχηματισμοί εικόνας είναι το κεντρικό αντικείμενο (όπως η γεννήτρια προσώπου ή οι εφαρμογές deepfake), οι αλγοριθμικά ανακτημένες εικόνες θα μπορούσαν πιθανώς να είναι ακόμη χρήσιμες στην ανάπτυξη λειτουργικών αλγορίθμων.