Защита наборов данных компьютерного зрения от несанкционированного использования

Исследователи из Китая разработали метод защиты авторских прав наборов данных изображений, используемых для обучения компьютерному зрению, путем эффективного нанесения водяных знаков на изображения в данных, а затем расшифровки «чистых» изображений через облачную платформу только для авторизованных пользователей.

Тесты системы показывают, что обучение модели машинного обучения на изображениях, защищенных авторскими правами, приводит к катастрофическому падению точности модели. Тестируя систему на двух популярных наборах данных изображений с открытым исходным кодом, исследователи обнаружили, что при попытке обучить модели на нерасшифрованных данных можно снизить точность с 86.21% и 74.00% для чистых наборов данных до 38.23% и 16.20%.

С бумаги – примеры слева направо чистых, защищенных (т.е. искаженных) и восстановленных изображений. Источник: https://arxiv.org/pdf/2109.07921.pdf

Это потенциально позволяет широко распространять высококачественные, дорогие наборы данных и (предположительно) даже частично искаженное «демонстрационное» обучение наборов данных, чтобы продемонстрировать приблизительную функциональность.

Облачная аутентификация набора данных

Ассоциация бумаги исходит от исследователей из двух отделов Нанкинского университета аэронавтики и астронавтики и предусматривает рутинное использование облачной платформы управления наборами данных (DMCP) — удаленной среды аутентификации, которая будет обеспечивать такую ​​же проверку на основе телеметрии перед запуском, как стали обычным явлением в обременительных локальных установках, таких как Adobe Creative Suite.

Поток и основа для предлагаемого метода.

Защищенный образ создается с помощью характерные пространственные возмущения, метод состязательной атаки, разработанный в Университете Дьюка в Северной Каролине в 2019 году.

Возмущения в пространстве признаков выполняют «Атаку активации», когда элементы одного изображения перемещаются в пространство признаков враждебного изображения. В данном случае атака заставляет систему распознавания машинного обучения классифицировать собаку как самолет. Источник: https://openaccess.thecvf.com

Затем немодифицированное изображение встраивается в искаженное изображение с помощью спаривания блоков и преобразования блоков, как это было предложено в 2016 г. бумаги Обратимое сокрытие данных в зашифрованных изображениях с помощью обратимого преобразования изображения.

Затем последовательность, содержащая информацию о сопряжении блоков, встраивается во временное межстраничное изображение с использованием шифрования AES, ключ к которому позже будет извлечен из DMCP во время аутентификации. Наименее значимый бит Затем для встраивания ключа используется стеганографический алгоритм. Авторы называют этот процесс модифицированной обратимой трансформацией изображения (mRIT).

Процедура mRIT во время расшифровки по существу переворачивается, и «чистое» изображение восстанавливается для использования в учебных занятиях.

Тестирование

Исследователи протестировали систему на RESNET-18 архитектура с двумя наборами данных: работа 2009 г. СИФАР-10, который содержит 6000 изображений по 10 классам; и Стэнфордский TinyImageNet, подмножество данных для задачи классификации ImageNet, которое содержит обучающий набор данных из 100,000 10,000 изображений, а также набор данных проверки из 10,000 XNUMX изображений и тестовый набор из XNUMX XNUMX изображений.

Модель ResNet обучалась с нуля на трех конфигурациях: чистый, защищенный и расшифрованный набор данных. В обоих наборах данных использовался оптимизатор Adam с начальной скоростью обучения 0.01, размером пакета 128 и периодом обучения 80.

Точность обучения и тестирования является результатом тестов системы шифрования. Незначительные потери наблюдаются в обучающей статистике для перевернутых (т.е. расшифрованных) изображений.

Хотя в документе делается вывод, что «производительность модели на восстановленном наборе данных не влияет», результаты показывают незначительные потери точности восстановленных данных по сравнению с исходными данными: от 86.21% до 85.86% для CIFAR-10 и от 74.00% до 73.20% на TinyImageNet.

Однако, учитывая то, что даже незначительные изменения посева (а также аппаратное обеспечение графического процессора) может повлиять на эффективность обучения, это кажется минимальным и эффективным компромиссом для IP-защиты от точности.

Ландшафт защиты модели

Предыдущая работа была сосредоточена в основном на защите IP-адресов реальных моделей машинного обучения, исходя из предположения, что сами обучающие данные защитить труднее: исследовательская работа 2018 года в Японии предложила метод вставлять водяные знаки в глубоких нейронных сетях; предлагались более ранние работы от 2017 года аналогичный подход.

По оценкам 2018 года, инициатива из IBM провела, пожалуй, самое глубокое и серьезное исследование потенциала водяных знаков для моделей нейронных сетей. Этот подход отличался от нового исследования тем, что он стремился встроить необратимые водяные знаки в обучающие данные, а затем использовать фильтры внутри нейронной сети для «дисконтирования» возмущений в данных.

Схема IBM для нейронной сети, чтобы «игнорировать» водяные знаки, зависела от защиты частей архитектуры, которые были разработаны, чтобы распознавать и отбрасывать разделы данных с водяными знаками. Источник: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf.

Вектор пиратства

Несмотря на то, что поиск фреймворков для шифрования наборов данных, защищающих IP-адреса, может показаться крайним случаем в контексте культуры машинного обучения, которая по-прежнему зависит от обзора открытого исходного кода и обмена информацией между глобальным исследовательским сообществом, постоянный интерес к сохранению конфиденциальности алгоритмы защиты, похоже, периодически создают системы, которые могут представлять интерес для корпораций, стремящихся защитить определенные данные, а не PII.

Новое исследование не добавляет случайных возмущений к данным изображения, а скорее искусственно создает принудительные сдвиги в пространстве признаков. Поэтому текущее множество проектов компьютерного зрения по удалению водяных знаков и улучшению изображений потенциально могут «восстановить» изображения до более высокого качества, воспринимаемого человеком, без фактического устранения искажений характеристик, которые вызывают неправильную классификацию.

Во многих приложениях компьютерного зрения, особенно в тех, которые связаны с маркировкой и распознаванием объектов, такие незаконно восстановленные изображения, вероятно, по-прежнему будут вызывать неправильную классификацию. Однако в тех случаях, когда преобразование изображений является основной целью (например, генерация лиц или приложения для дипфейков), алгоритмически восстановленные изображения, вероятно, все еще могут быть полезны при разработке функциональных алгоритмов.