Contáctenos

DRM para conjuntos de datos de visión artificial

Inteligencia Artificial

DRM para conjuntos de datos de visión artificial

mm
Publicado
Actualizado

La historia sugiere que, con el tiempo, la era "abierta" de la investigación sobre visión por computadora, donde la reproducibilidad y la revisión por pares favorable son centrales para el desarrollo de una nueva iniciativa, debe dar paso a una nueva era de protección de la propiedad intelectual, donde los mecanismos cerrados y las plataformas amuralladas impiden que los competidores socaven los altos costos de desarrollo de conjuntos de datos, o utilicen un proyecto costoso como un mero trampolín para desarrollar su propia versión (quizás superior).

En la actualidad, la creciente tendencia hacia el proteccionismo se ve respaldada principalmente por el cerco de marcos centrales propietarios detrás del acceso API, donde los usuarios envían tokens o solicitudes dispersos, y donde los procesos de transformación que hacen que las respuestas del marco sean valiosas quedan completamente ocultos.

En otros casos, el propio modelo final puede ser lanzado, pero sin la información central que lo hace valioso, como los pesos preentrenados que puede haber costado varios millones Generar; o carecer de un conjunto de datos propietario, o de detalles exactos de cómo se produjo un subconjunto a partir de una gama de conjuntos de datos abiertos. En el caso del modelo de lenguaje natural transformador GPT-3 de OpenAI, ambas medidas de protección se utilizan actualmente, dejando a los imitadores del modelo, como GPT Neo, para improvisar una aproximación del producto lo mejor que puedan.

Conjuntos de datos de imágenes con protección contra copias

Sin embargo, crece el interés en métodos que permitan a un marco de aprendizaje automático "protegido" recuperar cierto nivel de portabilidad, garantizando que solo los usuarios autorizados (por ejemplo, los de pago) puedan usar el sistema de forma rentable. Esto suele implicar cifrar el conjunto de datos mediante programación, de modo que el marco de IA lo lea "limpio" durante el entrenamiento, pero que esté comprometido o sea inutilizable en cualquier otro contexto.

Tal sistema acaba de ser propuesto por investigadores de la Universidad de Ciencia y Tecnología de China en Anhui y la Universidad de Fudan en Shanghai. Noble Protección de conjuntos de datos de imágenes invertibles, ofrece una canalización que agrega automáticamente perturbación de ejemplo adversario a un conjunto de datos de imágenes, de modo que no se pueda utilizar de forma útil para la formación en caso de piratería, pero donde la protección se filtra por completo mediante un sistema autorizado que contiene un token secreto.

Del artículo: una imagen de origen 'valiosa' se vuelve imposible de entrenar con técnicas de ejemplo antagónicas, y las perturbaciones se eliminan de forma sistemática y completamente automática para un usuario 'autorizado'. Fuente: https://arxiv.org/pdf/2112.14420.pdf

Del artículo: una imagen fuente "valiosa" se vuelve efectivamente imposible de entrenar con técnicas de ejemplo adversarias, y las perturbaciones se eliminan de manera sistemática y completamente automática para un usuario "autorizado". Fuente: https://arxiv.org/pdf/2112.14420.pdf

El mecanismo que habilita la protección se denomina generador de ejemplos antagónicos reversibles (RAEG) y equivale efectivamente a la encriptación en el sitio real. usabilidad de las imágenes con fines de clasificación, utilizando ocultación reversible de datos (RDH). Los autores afirman:

El método genera primero la imagen adversarial mediante métodos de EA existentes, luego integra la perturbación adversarial en ella y genera la imagen estego utilizando RDH. Gracias a su reversibilidad, es posible recuperar la perturbación adversarial y la imagen original.

Las imágenes originales del conjunto de datos se introducen en una red neuronal invertible (INN) en forma de U para producir imágenes afectadas por adversarios que están diseñadas para engañar a los sistemas de clasificación. Esto significa que la extracción de características típicas se verá socavada, lo que dificultará la clasificación de rasgos como el género y otras características basadas en el rostro (aunque la arquitectura admite una variedad de dominios, en lugar de solo material basado en el rostro).

Una prueba de inversión de RAEG, donde se realizan diferentes tipos de ataque a las imágenes antes de la reconstrucción. Los métodos de ataque incluyen Gaussian Blur y artefactos JPEG.

Una prueba de inversión de RAEG, donde se realizan diferentes tipos de ataque a las imágenes antes de la reconstrucción. Los métodos de ataque incluyen Gaussian Blur y artefactos JPEG.

Por lo tanto, si se intenta utilizar el conjunto de datos "corruptos" o "encriptados" en un marco diseñado para la generación de rostros basada en GAN, o para fines de reconocimiento facial, el modelo resultante será menos efectivo de lo que hubiera sido si se hubiera entrenado con imágenes no perturbadas.

Bloqueo de las imágenes

Sin embargo, esto es solo un efecto secundario de la aplicabilidad general de los métodos de perturbación populares. De hecho, en el caso de uso previsto, los datos se verán afectados, excepto en caso de acceso autorizado a la arquitectura de destino, ya que la clave central para obtener datos limpios es un token secreto dentro de la arquitectura de destino.

Este cifrado tiene un precio: los investigadores caracterizan la pérdida de calidad de la imagen original como una "ligera distorsión" y afirman 'El método propuesto puede restaurar casi perfectamente la imagen original, mientras que los métodos anteriores sólo pueden restaurar una versión borrosa.'

Los métodos anteriores en cuestión son de noviembre de 2018. La IA no autorizada no puede reconocerme: ejemplo adversario reversible, una colaboración entre dos universidades chinas y el Centro RIKEN para el Proyecto de Inteligencia Avanzada (AIP); y Ataque Adversario Reversible basado en Transformación de Imagen Reversible papel 2019 también del sector de la investigación académica china.

Los investigadores del nuevo artículo afirman haber realizado mejoras notables en la usabilidad de las imágenes restauradas, en comparación con estos enfoques anteriores, observando que el primer enfoque es demasiado sensible a la interferencia intermediaria y demasiado fácil de eludir, mientras que el segundo provoca una degradación excesiva. de las imágenes originales en el tiempo de entrenamiento (autorizado), socavando la aplicabilidad del sistema.

Arquitectura, datos y pruebas

El nuevo sistema consta de un generador, una capa de ataque que aplica perturbaciones, clasificadores de objetivos preentrenados y un elemento discriminador.

La arquitectura de RAEG. En el medio a la izquierda, vemos el token secreto 'Iprt', que permitirá eliminar la perturbación de la imagen en el momento del entrenamiento, identificando las características perturbadas integradas en las imágenes de origen y descontándolas.

La arquitectura de RAEG. Izquierda-media, vemos el token secreto 'Iprt', que permitirá eliminar la perturbación de la imagen en el momento del entrenamiento, al identificar las características perturbadas integradas en las imágenes de origen y descontarlas.

A continuación se muestran los resultados de una comparación de prueba con los dos enfoques anteriores, utilizando tres conjuntos de datos: CelebA-100; Caltech-101; y Mini-ImageNet.

Los tres conjuntos de datos se entrenaron como redes de clasificación de objetivos, con un tamaño de lote de 32, en un NVIDIA RTX 3090 en el transcurso de una semana, durante 50 épocas.

Los autores afirman que RAEG es el primer trabajo que ofrece una red neuronal invertible que puede generar activamente ejemplos contradictorios.

 

Publicado por primera vez el 4 de enero de 2022.

 

Temas relacionados:
mm

Escritor sobre aprendizaje automático, especialista en síntesis de imágenes humanas. Exdirector de contenido de investigación en Metaphysic.ai.
sitio personal: martinanderson.ai
Contacto: [email protected]
Gorjeo: @manders_ai