Handicaper les jeux de données de vision par ordinateur contre une utilisation non autorisée

Les chercheurs de Chine ont développé une méthode pour protéger par droit d’auteur les jeux de données d’images utilisés pour la formation de la vision par ordinateur, en « marquant d’eau » les images dans les données, puis en déchiffrent les images « propres » via une plate-forme basée sur le cloud pour les utilisateurs autorisés uniquement.

Les tests sur le système montrent qu’une formation d’un modèle d’apprentissage automatique sur les images protégées par droit d’auteur entraîne une chute catastrophique de la précision du modèle. En testant le système sur deux jeux de données d’images open source populaires, les chercheurs ont constaté qu’il était possible de faire chuter les précisions de 86,21 % et 74,00 % pour les jeux de données propres à 38,23 % et 16,20 % lors de la formation de modèles sur les données non déchiffrées.

Exemples, de gauche à droite, d’images propres, protégées (c’est-à-dire perturbées) et récupérées. Source : https://arxiv.org/pdf/2109.07921.pdf

Cela permet potentiellement une large diffusion publique de jeux de données de haute qualité et coûteux, et (présumément), même une formation de démonstration « semi-cripple » des jeux de données afin de démontrer une fonctionnalité approximative.

Authentification des jeux de données basée sur le cloud

Le document provient de chercheurs de deux départements de l’Université aéronautique et astronautique de Nanjing, et envisage l’utilisation routinière d’une plate-forme de gestion de jeux de données basée sur le cloud (DMCP), un cadre d’authentification à distance qui fournirait le même type de validation préalable basée sur la télémétrie que celui qui est devenu courant dans les installations locales lourdes telles qu’Adobe Creative Suite.

Le flux et le cadre de la méthode proposée.

L’image protégée est générée par le biais de perturbations de l’espace de fonction, une méthode d’attaque adverse développée à l’Université Duke de Caroline du Nord en 2019.

Les perturbations de l’espace de fonction effectuent une « attaque d’activation » où les fonctionnalités d’une image sont poussées vers l’espace de fonction d’une image adverse. Dans ce cas, l’attaque force un système de reconnaissance d’apprentissage automatique à classer un chien comme un avion. Source : https://openaccess.thecvf.com

Ensuite, l’image non modifiée est intégrée dans l’image distordue via l’appariement de blocs et la transformation de blocs, comme proposé dans le document de 2016 Reversible Data Hiding in Encrypted Images by Reversible Image Transformation.

La séquence contenant les informations d’appariement de blocs est ensuite intégrée dans une image interstitielle temporaire à l’aide du chiffrement AES, dont la clé sera récupérée plus tard à partir du DMCP au moment de l’authentification. L’algorithme stéganographique Least Significant Bit est ensuite utilisé pour intégrer la clé. Les auteurs font référence à ce processus sous le nom de Transformation d’image réversible modifiée (mRIT).

La routine mRIT est essentiellement inversée au moment du déchiffrement, avec l’image « propre » restaurée pour une utilisation dans les sessions de formation.

Tests

Les chercheurs ont testé le système sur l’architecture ResNet-18 avec deux jeux de données : le travail de 2009 CIFAR-10, qui contient 6000 images dans 10 classes ; et TinyImageNet de Stanford, un sous-ensemble des données pour le défi de classification ImageNet qui contient un jeu de données de formation de 100 000 images, ainsi qu’un jeu de données de validation de 10 000 images et un jeu de données de test de 10 000 images.

Le modèle ResNet a été formé à partir de zéro sur trois configurations : le jeu de données propre, protégé et déchiffré. Les deux jeux de données ont utilisé l’optimiseur Adam avec un taux d’apprentissage initial de 0,01, une taille de lot de 128 et une époque de formation de 80.

Résultats de précision de formation et de test des tests sur le système de chiffrement. Des pertes mineures sont observables dans les statistiques de formation pour les images inversées (c’est-à-dire déchiffrées).

Bien que le document conclue que « la performance du modèle sur le jeu de données récupéré n’est pas affectée », les résultats montrent des pertes mineures pour la précision sur les données récupérées par rapport aux données originales, de 86,21 % à 85,86 % pour CIFAR-10, et de 74,00 % à 73,20 % sur TinyImageNet.

Cependant, étant donné la façon dont même des changements mineurs dans les graines (ainsi que le matériel GPU) peuvent affecter les performances de formation, cela semble être un compromis minimal et efficace pour la protection de la propriété intellectuelle par rapport à la précision.

Paysage de protection des modèles

Les travaux antérieurs se sont concentrés principalement sur la protection de la propriété intellectuelle des modèles d’apprentissage automatique eux-mêmes, en supposant que les données de formation elles-mêmes sont plus difficiles à protéger : un effort de recherche de 2018 au Japon a proposé une méthode pour intégrer des filigranes dans les réseaux de neurones profonds ; des travaux antérieurs de 2017 ont proposé une approche similaire.

Une initiative de 2018 d’IBM a peut-être mené l’enquête la plus approfondie et la plus engagée sur le potentiel du filigrane pour les modèles de réseaux de neurones. Cette approche diffère de la nouvelle recherche, dans la mesure où elle visait à intégrer des filigranes non réversibles dans les données de formation, puis à utiliser des filtres à l’intérieur du réseau de neurones pour « discount » les perturbations dans les données.

Le schéma d’IBM pour qu’un réseau de neurones « ignore » les filigranes reposait sur la protection des parties de l’architecture conçues pour reconnaître et éliminer les sections filigranées des données. Source : https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Vector de piratage

Même si la poursuite de cadres de chiffrement de jeux de données pour la protection de la propriété intellectuelle peut sembler un cas de bord dans le contexte d’une culture d’apprentissage automatique qui dépend encore de la revue open source et du partage d’informations au sein de la communauté de recherche mondiale, l’intérêt continu pour les algorithmes de protection de l’identité qui préservent la confidentialité semble susceptible de produire périodiquement des systèmes qui pourraient être d’intérêt pour les entreprises cherchant à protéger des données spécifiques plutôt que des informations personnelles.

La nouvelle recherche n’ajoute pas de perturbations aléatoires aux données d’images, mais plutôt des déplacements forcés et conçus dans l’espace de fonction. Par conséquent, l’actuel ensemble de projets de suppression de filigrane et d’amélioration d’images de vision par ordinateur pourrait potentiellement « restaurer » les images à une qualité perçue par l’homme plus élevée sans supprimer réellement les perturbations de fonction qui provoquent une mauvaise classification.

Dans de nombreuses applications de vision par ordinateur, en particulier celles impliquant l’étiquetage et la reconnaissance d’entités, de telles images restaurées illégitimement provoqueraient probablement toujours une mauvaise classification. Cependant, dans les cas où les transformations d’images sont l’objectif principal (comme la génération de visages ou les applications de deepfake), les images restaurées algorithmiquement pourraient probablement encore être utiles dans le développement d’algorithmes fonctionnels.