Cojear conjuntos de datos de visión por computadora contra el uso no autorizado

Investigadores de China han desarrollado un método para proteger con derechos de autor conjuntos de datos de imágenes utilizados para el entrenamiento de visión por computadora, al "marcar" de manera efectiva las imágenes en los datos y luego descifrar las imágenes "limpias" a través de una plataforma basada en la nube solo para usuarios autorizados.

Las pruebas realizadas en el sistema muestran que entrenar un modelo de aprendizaje automático con imágenes protegidas por derechos de autor provoca una caída catastrófica en la precisión del modelo. Al probar el sistema en dos conjuntos de datos de imágenes de código abierto populares, los investigadores descubrieron que era posible reducir las precisiones del 86.21 % y 74.00 % para los conjuntos de datos limpios al 38.23 % y 16.20 % al intentar entrenar modelos con datos no descifrados.

Del artículo: ejemplos, de izquierda a derecha, de imágenes limpias, protegidas (es decir, perturbadas) y recuperadas. Fuente: https://arxiv.org/pdf/2109.07921.pdf

Potencialmente, esto permite una amplia distribución pública de conjuntos de datos costosos y de alta calidad y (presumiblemente), incluso un entrenamiento de "demostración" semi-lisiado de los conjuntos de datos para demostrar la funcionalidad aproximada.

Autenticación de conjuntos de datos basada en la nube

El proviene de investigadores de dos departamentos de la Universidad de Aeronáutica y Astronáutica de Nanjing, y prevé el uso rutinario de una plataforma de gestión de conjuntos de datos en la nube (DMCP), un marco de autenticación remota que proporcionaría el mismo tipo de validación previa al lanzamiento basada en telemetría que ha volverse común en instalaciones locales onerosas como Adobe Creative Suite.

El flujo y el marco para el método propuesto.

La imagen protegida se genera a través de perturbaciones del espacio de características, un método de ataque adversario desarrollado en la Universidad Duke de Carolina del Norte en 2019.

Las perturbaciones del espacio de características realizan un 'ataque de activación' en el que las características de una imagen se empujan hacia el espacio de características de una imagen antagónica. En este caso, el ataque obliga a un sistema de reconocimiento de aprendizaje automático a clasificar a un perro como un avión. Fuente: https://openaccess.thecvf.com

A continuación, la imagen no modificada se incrusta en la imagen distorsionada mediante el emparejamiento de bloques y la transformación de bloques, como se propone en el 2016 Ocultación reversible de datos en imágenes cifradas mediante transformación reversible de imágenes.

La secuencia que contiene la información de emparejamiento de bloques se incrusta en una imagen intersticial temporal mediante el cifrado AES, cuya clave se recuperará más tarde del DMCP en el momento de la autenticación. El Bit menos significativo Luego se usa un algoritmo esteganográfico para incrustar la clave. Los autores se refieren a este proceso como Transformación de Imagen Reversible Modificada (mRIT).

La rutina mRIT se invierte esencialmente en el momento del descifrado, con la imagen 'limpia' restaurada para su uso en sesiones de entrenamiento.

Pruebas

Los investigadores probaron el sistema en el ResNet-18 arquitectura con dos conjuntos de datos: el trabajo de 2009 CIFAR-10, que contiene 6000 imágenes en 10 clases; y Stanford TinyImageNet, un subconjunto de datos para el desafío de clasificación de ImageNet que contiene un conjunto de datos de entrenamiento de 100,000 10,000 imágenes, junto con un conjunto de datos de validación de 10,000 XNUMX imágenes y un conjunto de prueba de XNUMX XNUMX imágenes.

El modelo ResNet se entrenó desde cero en tres configuraciones: el conjunto de datos limpio, protegido y descifrado. Ambos conjuntos de datos utilizaron el optimizador Adam con una tasa de aprendizaje inicial de 0.01, un tamaño de lote de 128 y una época de entrenamiento de 80.

El entrenamiento y la precisión de las pruebas resultan de las pruebas en el sistema de encriptación. Se pueden observar pérdidas menores en las estadísticas de entrenamiento para las imágenes invertidas (es decir, descifradas).

Aunque el documento concluye que 'el rendimiento del modelo en el conjunto de datos recuperado no se ve afectado', los resultados muestran pérdidas menores en la precisión de los datos recuperados frente a los datos originales, del 86.21 % al 85.86 % para CIFAR-10, y del 74.00 % a los datos originales. 73.20% en TinyImageNet.

Sin embargo, dada la forma en que incluso los cambios de siembra menores (así como hardware GPU) puede afectar el rendimiento del entrenamiento, esto parece ser una compensación mínima y efectiva para la protección de IP contra la precisión.

Paisaje de protección modelo

El trabajo anterior se ha concentrado principalmente en proteger la propiedad intelectual de los modelos reales de aprendizaje automático, asumiendo que los datos de entrenamiento en sí mismos son más difíciles de proteger: un esfuerzo de investigación de 2018 de Japón ofreció un método para incrustar marcas de agua en redes neuronales profundas; trabajo anterior de 2017 ofrecido un enfoque similar.

Un reporte de iniciativa de IBM realizó quizás la investigación más profunda y comprometida sobre el potencial de las marcas de agua para los modelos de redes neuronales. Este enfoque difería de la nueva investigación, ya que buscaba incrustar marcas de agua no reversibles en los datos de entrenamiento y luego usar filtros dentro de la red neuronal para "descontar" las perturbaciones en los datos.

El esquema de IBM para una red neuronal para 'ignorar' las marcas de agua dependía de la protección de las partes de la arquitectura que fueron diseñadas para reconocer y descartar las secciones de los datos con marcas de agua. Fuente: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

vector de piratería

Aunque la búsqueda de marcos de trabajo de encriptación de conjuntos de datos que protejan la propiedad intelectual puede parecer un caso extremo en el contexto de una cultura de aprendizaje automático que aún depende de la revisión de código abierto y el intercambio de información entre la comunidad de investigación global, el interés continuo en preservar la privacidad de la identidad Es probable que los algoritmos de protección produzcan periódicamente sistemas que pueden ser de interés para las corporaciones que buscan proteger datos específicos en lugar de PII.

La nueva investigación no agrega perturbaciones aleatorias a los datos de la imagen, sino cambios forzados y elaborados en el espacio de características. Por lo tanto, la gran cantidad actual de proyectos de visión por computadora de eliminación de marcas de agua y mejora de imágenes podría potencialmente 'restaurar' las imágenes a una calidad más alta percibida por humanos sin eliminar realmente las perturbaciones de características que causan la clasificación errónea.

En muchas aplicaciones de visión por computadora, específicamente aquellas que involucran el etiquetado y el reconocimiento de entidades, es probable que tales imágenes restauradas ilegítimamente causen una clasificación errónea. Sin embargo, en los casos en que las transformaciones de imágenes son el objetivo principal (como la generación de rostros o las aplicaciones deepfake), es probable que las imágenes restauradas mediante algoritmos sigan siendo útiles en el desarrollo de algoritmos funcionales.