DRM pour les ensembles de données de vision par ordinateur

L’histoire suggère qu’à terme, l’ère « ouverte » de la recherche en vision par ordinateur, où la reproductibilité et l’évaluation par les pairs favorable sont au cœur du développement d’une nouvelle initiative, doit céder la place à une nouvelle ère de protection de la propriété intellectuelle – où des mécanismes fermés et des plateformes cloisonnées empêchent les concurrents de saper les coûts élevés de développement des ensembles de données, ou d’utiliser un projet coûteux comme un simple tremplin pour développer leur propre version (peut-être supérieure).

Actuellement, la tendance croissante au protectionnisme est principalement soutenue par le fait de clôturer des cadres centraux propriétaires derrière l'accès aux API, où les utilisateurs envoient des jetons ou des requêtes éparses, et où les processus de transformation qui rendent les réponses du cadre précieuses sont entièrement cachés.

Dans d'autres cas, le modèle final lui-même peut être publié, mais sans les informations centrales qui le rendent précieux, telles que les poids pré-formés qui peut avoir coûté plusieurs millions à générer ; ou absence d'ensemble de données propriétaire, ou de détails précis sur la manière dont un sous-ensemble a été produit à partir d'un ensemble de données ouvertes. Dans le cas du modèle de langage naturel transformatif GPT-3 d'OpenAI, ces deux mesures de protection sont actuellement utilisées, laissant de côté les imitateurs du modèle, tels que GPT Néo, pour bricoler au mieux une approximation du produit.

Jeux de données d'images protégés contre la copie

Cependant, l'intérêt grandit pour les méthodes permettant à un framework d'apprentissage automatique « protégé » de retrouver une certaine portabilité, en garantissant que seuls les utilisateurs autorisés (par exemple, les utilisateurs payants) puissent exploiter le système de manière rentable. Cela implique généralement de chiffrer l'ensemble de données par programmation, de sorte qu'il soit lu « propre » par le framework d'IA lors de l'entraînement, mais qu'il soit compromis ou inutilisable dans tout autre contexte.

Un tel système vient d'être proposé par des chercheurs de l'Université des sciences et technologies de Chine à Anhui, et de l'Université Fudan à Shanghai. Titré Protection inversible des ensembles de données d'images, le papier offre un pipeline qui ajoute automatiquement contradictoire exemple perturbation à un jeu de données d'images, de sorte qu'il ne peut pas être utilisé utilement pour l'entraînement en cas de piratage, mais où la protection est entièrement filtrée par un système autorisé contenant un jeton secret.

D'après le document : une image source « précieuse » est rendue effectivement impossible à former avec des techniques d'exemples contradictoires, les perturbations étant supprimées systématiquement et entièrement automatiquement pour un utilisateur « autorisé ». Source : https://arxiv.org/pdf/2112.14420.pdf

Le mécanisme qui permet la protection est appelé générateur d'exemples contradictoires réversibles (RAEG) et équivaut en fait à un chiffrement sur le convivialité des images à des fins de classification, en utilisant masquage réversible des données (RDH). Les auteurs déclarent :

La méthode génère d'abord l'image antagoniste à l'aide des méthodes d'analyse automatique existantes, puis intègre la perturbation antagoniste dans l'image antagoniste et génère l'image stégosaure à l'aide de RDH. Grâce à sa réversibilité, la perturbation antagoniste et l'image d'origine peuvent être récupérées.

Les images originales de l'ensemble de données sont introduites dans un réseau neuronal inversible (INN) en forme de U afin de produire des images affectées de manière contradictoire qui sont conçues pour tromper les systèmes de classification. Cela signifie que l'extraction de caractéristiques typiques sera compromise, ce qui rendra difficile la classification de traits tels que le sexe et d'autres caractéristiques basées sur le visage (bien que l'architecture prenne en charge une gamme de domaines, plutôt que simplement du matériel basé sur le visage).

Un test d'inversion de RAEG, où différentes sortes d'attaques sont effectuées sur les images avant la reconstruction. Les méthodes d'attaque incluent le flou gaussien et les artefacts JPEG.

Ainsi, si l'on tente d'utiliser l'ensemble de données « corrompu » ou « crypté » dans un cadre conçu pour la génération de visages basée sur GAN, ou à des fins de reconnaissance faciale, le modèle résultant sera moins efficace qu'il ne l'aurait été s'il avait été formé sur des images non perturbées.

Verrouillage des images

Cependant, il ne s'agit là que d'un effet secondaire de l'applicabilité générale des méthodes de perturbation courantes. En effet, dans le cas d'utilisation envisagé, les données seront endommagées, sauf en cas d'accès autorisé au framework cible, puisque la clé centrale des données nettoyées est un jeton secret au sein de l'architecture cible.

Ce cryptage a un prix ; les chercheurs qualifient la perte de qualité d'image originale de « légère distorsion » et affirment « [La] méthode proposée peut restaurer presque parfaitement l’image originale, tandis que les méthodes précédentes ne peuvent restaurer qu’une version floue. »

Les méthodes précédentes en question datent de novembre 2018 papier Une IA non autorisée ne peut pas me reconnaître : exemple de confrontation réversible, une collaboration entre deux universités chinoises et le RIKEN Center for Advanced Intelligence Project (AIP) ; et Attaque adverse réversible basée sur la transformation d'image réversible papier 2019 également du secteur de la recherche universitaire chinoise.

Les chercheurs du nouvel article affirment avoir apporté des améliorations notables à l'utilisabilité des images restaurées, par rapport à ces approches antérieures, observant que la première approche est trop sensible aux interférences intermédiaires et trop facile à contourner, tandis que la seconde provoque une dégradation excessive. des images originales au moment de la formation (autorisée), compromettant l'applicabilité du système.

Architecture, données et tests

Le nouveau système se compose d'un générateur, d'une couche d'attaque qui applique une perturbation, de classificateurs de cible pré-entraînés et d'un élément discriminateur.

L'architecture de RAEG. Au milieu à gauche, on voit le jeton secret 'I_prt', qui permettra la déperturbation de l'image au moment de la formation, en identifiant les caractéristiques perturbées intégrées aux images source et en les actualisant.

Vous trouverez ci-dessous les résultats d'un test de comparaison avec les deux approches précédentes, en utilisant trois ensembles de données : CelebA-100; Caltech-101 ; et Mini-ImageNet.

Les trois ensembles de données ont été formés en tant que réseaux de classification cible, avec une taille de lot de 32, sur un NVIDIA RTX 3090 au cours d'une semaine, pendant 50 époques.

Les auteurs affirment que RAEG est le premier travail à proposer un réseau neuronal inversible capable de générer activement des exemples contradictoires.

Première publication le 4 janvier 2022.