Connect with us

Sztuczna inteligencja

Ułanianie komputerowych zbiorów danych przed nieautoryzowanym użyciem

mm
Published
Updated

Badacze z Chin opracowali metodę ochrony praw autorskich zbiorów danych obrazowych używanych do szkolenia komputerowego widzenia, poprzez efektywne “znakowanie wodne” obrazów w danych, a następnie odszyfrowywanie “czystych” obrazów za pomocą platformy opartej na chmurze tylko dla uprawnionych użytkowników.

Testy systemu wykazały, że szkolenie modelu uczenia maszynowego na chronionych obrazach powoduje katastrofalny spadek dokładności modelu. Testowanie systemu na dwóch popularnych otwartych zbiorach danych obrazowych wykazało, że możliwe jest obniżenie dokładności z 86,21% i 74,00% dla czystych zbiorów danych do 38,23% i 16,20%, gdy próbuje się szkolić modele na nieodszyfrowanych danych.

Z pracy – przykłady czystych, chronionych (tj. zmienionych) i odzyskanych obrazów. Źródło: https://arxiv.org/pdf/2109.07921.pdf

Z pracy – przykłady, od lewej do prawej, czystych, chronionych (tj. zmienionych) i odzyskanych obrazów. Źródło: https://arxiv.org/pdf/2109.07921.pdf

To potencjalnie pozwala na szerokie rozpowszechnianie wysokiej jakości, drogich zbiorów danych i (prawdopodobnie) nawet pół-unicestwionych “demo” szkoleń danych w celu demonstracji przybliżonej funkcjonalności.

Chmura do uwierzytelniania zbiorów danych

Praca praca pochodzi od badaczy z dwóch wydziałów Uniwersytetu Aeronautyki i Astronautyki w Nanjing, i zakłada rutynowe korzystanie z Dataset Management Cloud Platform (DMCP), zdalnej ramy uwierzytelniania, która zapewniłaby taki sam rodzaj telemetrycznej pre-launchowej walidacji, jaki stał się powszechny w uciążliwych lokalnych instalacjach, takich jak Adobe Creative Suite.

Przepływ i ramy proponowanej metody.

Przepływ i ramy proponowanej metody.

Chroniony obraz jest generowany za pomocą perturbacji przestrzeni cech, metody ataku adversarialnego opracowanej w 2019 roku na Uniwersytecie Duke’a w Karolinie Północnej.

Perturbacje przestrzeni cech wykonują 'Atak aktywacyjny', gdzie cechy jednego obrazu są przesuwane w kierunku przestrzeni cech obrazu adversarialnego. W tym przypadku atak zmusza system rozpoznawania uczenia maszynowego do klasyfikacji psa jako samolotu. Źródło: https://openaccess.thecvf.com

Perturbacje przestrzeni cech wykonują ‘Atak aktywacyjny’, gdzie cechy jednego obrazu są przesuwane w kierunku przestrzeni cech obrazu adversarialnego. W tym przypadku atak zmusza system rozpoznawania uczenia maszynowego do klasyfikacji psa jako samolotu. Źródło: https://openaccess.thecvf.com

Następnie, niezmodyfikowany obraz jest osadzony w zmienionym obrazie za pomocą parowania bloków i transformacji bloków, zgodnie z propozycją z pracy z 2016 roku Reversible Data Hiding in Encrypted Images by Reversible Image Transformation.

Sekwencja zawierająca informacje o parowaniu bloków jest następnie osadzona w tymczasowym obrazie pośrednim za pomocą szyfrowania AES, klucz do którego zostanie później pobrany z DMCP w czasie uwierzytelniania. Następnie używany jest algorytm steganografii Least Significant Bit do osadzenia klucza. Autorzy nazywają ten proces Modified Reversible Image Transformation (mRIT).

Rutyna mRIT jest podstawowo odwrócona w czasie odszyfrowywania, a “czysty” obraz jest przywrócony do użycia w sesjach szkoleniowych.

Testowanie

Badacze przetestowali system na architekturze ResNet-18 z dwoma zbiorami danych: pracą z 2009 roku CIFAR-10, która zawiera 6000 obrazów w 10 klasach; oraz TinyImageNet ze Stanfordu, podzbiorem danych dla wyzwania klasyfikacji ImageNet, który zawiera zbiór treningowy 100 000 obrazów, wraz z zbiorem walidacyjnym 10 000 obrazów i zbiorem testowym 10 000 obrazów.

Model ResNet został wyszkolony od zera w trzech konfiguracjach: czystym, chronionym i odszyfrowanym zbiorze danych. Oba zbiory danych używały optymalizatora Adam z początkową szybkością uczenia 0,01, rozmiarem partii 128 i epoką treningową 80.

Wyniki treningu i testowania systemu szyfrowania. Można zaobserwować niewielkie straty w statystykach treningowych dla odwróconych (tj. odszyfrowanych) obrazów.

Wyniki treningu i testowania systemu szyfrowania. Można zaobserwować niewielkie straty w statystykach treningowych dla odwróconych (tj. odszyfrowanych) obrazów.

Chociaż praca kończy się stwierdzeniem, że “wydajność modelu na odzyskanym zbiorze danych nie jest dotknięta”, wyniki pokazują niewielkie straty dokładności na odzyskanych danych w porównaniu z oryginalnymi danymi, z 86,21% do 85,86% dla CIFAR-10 i 74,00% do 73,20% na TinyImageNet.

Jednakże, biorąc pod uwagę sposób, w jaki nawet niewielkie zmiany (także sprzętu GPU) mogą wpływać na wyniki treningu, wydaje się to minimalnym i skutecznym kompromisem pomiędzy ochroną własności intelektualnej a dokładnością.

Krajobraz ochrony modelu

Poprzednie prace koncentrowały się głównie na ochronie własności intelektualnej samych modeli uczenia maszynowego, przy założeniu, że same dane treningowe są trudniejsze do ochrony: wysiłek badawczy z 2018 roku z Japonii zaproponował metodę osadzania znaków wodnych w głębokich sieciach neuronowych; wcześniejsza praca z 2017 roku zaproponowała podobne podejście.

Inicjatywa z 2018 roku inicjatywa z IBM była być może najgłębszym i najbardziej zaangażowanym badaniem potencjału znakowania wodnego dla modeli sieci neuronowych. Podejście to różniło się od nowych badań, ponieważ próbowało osadzać nieodwracalne znaki wodne w danych treningowych, a następnie używać filtrów wewnątrz sieci neuronowej, aby “zniwelować” perturbacje w danych.

Schemat IBM dla sieci neuronowej, aby 'ignorować' znaki wodne, opierał się na ochronie części architektury, które zostały zaprojektowane do rozpoznawania i odrzucania znakowanych sekcji danych. Źródło: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Schemat IBM dla sieci neuronowej, aby ‘ignorować’ znaki wodne, opierał się na ochronie części architektury, które zostały zaprojektowane do rozpoznawania i odrzucania znakowanych sekcji danych. Źródło: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Wektor piractwa

Chociaż pogoń za ramami szyfrowania zbiorów danych może wydawać się przypadkiem brzegowym w kontekście kultury uczenia maszynowego, która nadal opiera się na przeglądzie otwartym i wymianie informacji wśród globalnej społeczności badawczej, trwające zainteresowanie algorytmami ochrony tożsamości zachowującymi prywatność wydaje się, że okresowo będzie produkowało systemy, które mogą być interesujące dla korporacji szukających ochrony określonych danych, a nie tylko informacji osobowych.

Nowe badania nie dodają losowych perturbacji do danych obrazowych, ale raczej wymuszone przesunięcia w przestrzeni cech. Dlatego też obecna seria projektów usuwania znaków wodnych i poprawy jakości obrazu może potencjalnie “przywrócić” obrazy do postrzeganej przez człowieka wyższej jakości, bez actualnego usuwania perturbacji cech, które powodują błędy klasyfikacji.

W wielu aplikacjach komputerowego widzenia, szczególnie tych, które obejmują etykietowanie i rozpoznawanie obiektów, takie nielegalnie przywrócone obrazy prawdopodobnie nadal powodowałyby błędy klasyfikacji. Jednak w przypadkach, w których transformacje obrazu są podstawowym celem (takim jak generowanie twarzy lub aplikacje deepfake), algorytmicznie przywrócone obrazy mogłyby być nadal użyteczne w rozwoju funkcjonalnych algorytmów.

Related Topics:
mm

Pisarz na temat uczenia maszynowego, specjalista ds. syntezowania obrazów ludzi. Były kierownik treści badawczych w Metaphysic.ai.