Bloqueando conjuntos de dados de visão computacional contra uso não autorizado

Pesquisadores da China desenvolveram um método para proteger por direitos autorais conjuntos de dados de imagens usados ​​para treinamento de visão computacional, efetivamente "colocando marcas d'água" nas imagens nos dados e, em seguida, descriptografando as imagens "limpas" por meio de uma plataforma baseada em nuvem apenas para usuários autorizados.

Os testes no sistema mostram que treinar um modelo de aprendizado de máquina nas imagens protegidas por direitos autorais causa uma queda catastrófica na precisão do modelo. Testando o sistema em dois conjuntos de dados de imagens de código aberto populares, os pesquisadores descobriram que era possível reduzir as precisões de 86.21% e 74.00% para os conjuntos de dados limpos para 38.23% e 16.20% ao tentar treinar modelos nos dados não descriptografados.

Do papel – exemplos, da esquerda para a direita, de imagens limpas, protegidas (isto é, perturbadas) e recuperadas. Fonte: https://arxiv.org/pdf/2109.07921.pdf

Isso permite, potencialmente, ampla distribuição pública de conjuntos de dados caros e de alta qualidade e (presumivelmente), até mesmo treinamento de "demonstração" semi-incapacitado dos conjuntos de dados para demonstrar a funcionalidade aproximada.

Autenticação de conjunto de dados baseada em nuvem

O processo de papel vem de pesquisadores de dois departamentos da Universidade de Aeronáutica e Astronáutica de Nanjing e prevê o uso rotineiro de uma Dataset Management Cloud Platform (DMCP), uma estrutura de autenticação remota que forneceria o mesmo tipo de validação pré-lançamento baseada em telemetria tornam-se comuns em instalações locais onerosas, como o Adobe Creative Suite.

O fluxo e estrutura para o método proposto.

A imagem protegida é gerada através perturbações do espaço característico, um método de ataque adversário desenvolvido na Universidade Duke da Carolina do Norte em 2019.

Perturbações no espaço de características realizam um "Ataque de Ativação", em que as características de uma imagem são empurradas em direção ao espaço de características de uma imagem adversária. Nesse caso, o ataque força um sistema de reconhecimento de aprendizado de máquina a classificar um cachorro como um avião. Fonte: https://openaccess.thecvf.com

Em seguida, a imagem não modificada é incorporada à imagem distorcida por meio de emparelhamento de blocos e transformação de blocos, conforme proposto em 2016 papel Ocultação reversível de dados em imagens criptografadas por transformação reversível de imagem.

A sequência contendo as informações de emparelhamento de blocos é então incorporada em uma imagem intersticial temporária usando criptografia AES, cuja chave será posteriormente recuperada do DMCP no momento da autenticação. O Bit menos significativo algoritmo esteganográfico é então usado para incorporar a chave. Os autores referem-se a este processo como Transformação de Imagem Reversível Modificada (mRIT).

A rotina do mRIT é essencialmente revertida no momento da descriptografia, com a imagem "limpa" restaurada para uso em sessões de treinamento.

Testes

Os pesquisadores testaram o sistema no ResNet-18 arquitetura com dois conjuntos de dados: o trabalho de 2009 CIFAR-10, que contém 6000 imagens em 10 classes; e Stanford's TinyImageNet, um subconjunto dos dados para o desafio de classificação ImageNet que contém um conjunto de dados de treinamento de 100,000 imagens, juntamente com um conjunto de dados de validação de 10,000 imagens e um conjunto de teste de 10,000 imagens.

O modelo ResNet foi treinado do zero em três configurações: o conjunto de dados limpo, protegido e descriptografado. Ambos os conjuntos de dados usaram o otimizador Adam com uma taxa de aprendizado inicial de 0.01, um tamanho de lote de 128 e uma época de treinamento de 80.

Resultados de precisão de treinamento e teste de testes no sistema de criptografia. Pequenas perdas são observáveis ​​nas estatísticas de treinamento para as imagens invertidas (ou seja, descriptografadas).

Embora o artigo conclua que "o desempenho do modelo no conjunto de dados recuperados não é afetado", os resultados mostram pequenas perdas de precisão em dados recuperados em comparação aos dados originais, de 86.21% a 85.86% para CIFAR-10 e de 74.00% a 73.20% no TinyImageNet.

No entanto, dada a maneira como até mesmo pequenas mudanças de semeadura (bem como hardware de GPU) pode afetar o desempenho do treinamento, isso parece ser uma compensação mínima e eficaz para proteção de IP contra precisão.

Cenário de proteção do modelo

O trabalho anterior concentrou-se principalmente em modelos reais de aprendizado de máquina com proteção de IP, supondo que os próprios dados de treinamento são mais difíceis de proteger: um esforço de pesquisa de 2018 do Japão ofereceu um método para incorporar marcas d'água em redes neurais profundas; trabalhos anteriores de 2017 oferecidos uma abordagem semelhante.

A 2018 iniciativa da IBM realizou talvez a investigação mais profunda e comprometida sobre o potencial da marca d'água para modelos de redes neurais. Essa abordagem diferia da nova pesquisa, pois buscava incorporar marcas d'água irreversíveis em dados de treinamento e, em seguida, usar filtros dentro da rede neural para "descontar" as perturbações nos dados.

O esquema da IBM para uma rede neural para "ignorar" marcas d'água dependia da proteção das partes da arquitetura que foram projetadas para reconhecer e descartar as seções com marca d'água dos dados. Fonte: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

vetor de pirataria

Embora a busca por estruturas de criptografia de conjunto de dados que protejam IP possa parecer um caso extremo no contexto de uma cultura de aprendizado de máquina que ainda depende da revisão de código aberto e do compartilhamento de informações entre a comunidade global de pesquisa, o interesse contínuo na preservação da identidade de privacidade os algoritmos de proteção parecem produzir periodicamente sistemas que podem ser de interesse para corporações que procuram proteger dados específicos em vez de PII.

A nova pesquisa não adiciona perturbações aleatórias aos dados da imagem, mas sim mudanças forçadas e artificiais no espaço de características. Portanto, a atual série de projetos de visão computacional para remoção de marcas d'água e aprimoramento de imagens poderia potencialmente "restaurar" as imagens para uma qualidade superior percebida por humanos, sem, de fato, remover as perturbações de características que causam erros de classificação.

Em muitas aplicações de visão computacional, especificamente aquelas que envolvem rotulagem e reconhecimento de entidade, essas imagens restauradas ilegitimamente provavelmente ainda causariam erros de classificação. No entanto, nos casos em que as transformações de imagem são o objetivo principal (como geração de face ou aplicativos deepfake), as imagens restauradas por algoritmos provavelmente ainda podem ser úteis no desenvolvimento de algoritmos funcionais.