заглушки DRM для наборов данных компьютерного зрения — Unite.AI
Свяжитесь с нами:
   Artificial Intelligence  
DRM для наборов данных компьютерного зрения
 mm
 обновленный on   
 
История показывает, что в конечном итоге «открытая» эпоха исследований в области компьютерного зрения, когда воспроизводимость и благоприятная экспертная оценка играют центральную роль в разработке новой инициативы, должна уступить место новой эре защиты интеллектуальной собственности, когда закрытые механизмы и закрытые платформы не позволяют конкурентам подрывая высокие затраты на разработку набора данных или от использования дорогостоящего проекта как простого шага к разработке собственной (возможно, более совершенной) версии.
В настоящее время растущая тенденция к протекционизму в основном поддерживается за счет ограждения проприетарных центральных фреймворков за доступом через API, куда пользователи отправляют разреженные токены или запросы и где трансформационные процессы, которые делают ответы фреймворка ценными, полностью скрыты.
В других случаях окончательная модель может быть выпущена сама по себе, но без центральной информации, которая делает ее ценной, такой как предварительно обученные веса, которые может стоить несколько миллионов генерировать; или отсутствие собственного набора данных, или точных сведений о том, как подмножество было создано из ряда открытых наборов данных. В случае преобразующей модели естественного языка OpenAI GPT-3 в настоящее время используются обе меры защиты, оставляя имитаторы модели, такие как GPT Нео, чтобы собрать воедино приближение продукта, насколько это возможно.
Защита от копирования наборов данных изображений
Однако растет интерес к методам, с помощью которых «защищенная» среда машинного обучения может восстановить некоторый уровень переносимости, гарантируя, что только авторизованные пользователи (например, платные пользователи) смогут с выгодой использовать рассматриваемую систему. Обычно это предполагает шифрование набора данных каким-либо программным способом, чтобы он был «чистым» прочитан платформой ИИ во время обучения, но был скомпрометирован или каким-либо образом непригоден для использования в любом другом контексте.
Такая система только что была предложена исследователями из Университета науки и технологий Китая в Аньхое и Университета Фудань в Шанхае. Название Инвертируемая защита набора данных изображений, бумаги предлагает конвейер, который автоматически добавляет состязательный пример возмущение к набору данных изображения, чтобы его нельзя было с пользой использовать для обучения в случае пиратства, но когда защита полностью отфильтровывается авторизованной системой, содержащей секретный токен.
Из статьи: «ценное» исходное изображение становится фактически необучаемым с помощью методов состязательных примеров, при этом возмущения удаляются систематически и полностью автоматически для «авторизованного» пользователя. Источник: https://arxiv.org/pdf/2112.14420.pdf
Из статьи: «ценное» исходное изображение становится фактически необучаемым с помощью методов состязательных примеров, при этом возмущения удаляются систематически и полностью автоматически для «авторизованного» пользователя. Источник: https://arxiv.org/pdf/2112.14420.pdf
Механизм, обеспечивающий защиту, называется обратимым генератором состязательных примеров (RAEG) и фактически сводится к шифрованию на фактическом уровне. юзабилити изображений для целей классификации, используя обратимое сокрытие данных (РДХ). Авторы заявляют:
«Метод сначала генерирует изображение противника с использованием существующих методов AE, затем встраивает возмущение противника в изображение противника и генерирует стеганографическое изображение с использованием RDH. Благодаря свойству обратимости встречное возмущение и исходное изображение могут быть восстановлены».
Исходные изображения из набора данных передаются в U-образную инвертируемую нейронную сеть (INN) для создания изображений, затронутых злоумышленниками, которые созданы для обмана систем классификации. Это означает, что извлечение типичных признаков будет затруднено, что затруднит классификацию таких признаков, как пол и другие черты лица (хотя архитектура поддерживает ряд доменов, а не только материал, основанный на лице).
Инверсионный тест RAEG, при котором перед реконструкцией над изображениями выполняются различные виды атак. Методы атаки включают размытие по Гауссу и артефакты JPEG.
Инверсионный тест RAEG, при котором перед реконструкцией над изображениями выполняются различные виды атак. Методы атаки включают размытие по Гауссу и артефакты JPEG.
Таким образом, при попытке использовать «поврежденный» или «зашифрованный» набор данных в среде, предназначенной для генерации лиц на основе GAN, или для целей распознавания лиц, результирующая модель будет менее эффективной, чем если бы она была обучена на ненавязчивые образы.
Блокировка изображений
Однако это всего лишь побочный эффект общей применимости популярных методов возмущений. На самом деле, в предполагаемом варианте использования данные будут повреждены, за исключением случаев авторизованного доступа к целевой платформе, поскольку центральным «ключом» к чистым данным является секретный токен в целевой архитектуре.
Это шифрование имеет свою цену; исследователи характеризуют потерю исходного качества изображения как «небольшое искажение» и констатируют «[Предложенный] метод может почти идеально восстановить исходное изображение, в то время как предыдущие методы могут восстановить только размытую версию».
Предыдущие рассматриваемые методы относятся к ноябрю 2018 г. бумаги Несанкционированный ИИ не может меня распознать: пример обратимого состязания, сотрудничество между двумя китайскими университетами и RIKEN Center for Advanced Intelligence Project (AIP); и Обратимая состязательная атака, основанная на обратимом преобразовании изображения, чтобы 2019 бумага также из китайского сектора академических исследований.
Исследователи нового документа утверждают, что добились заметных улучшений в удобстве использования восстановленных изображений по сравнению с этими предыдущими подходами, отмечая, что первый подход слишком чувствителен к промежуточному вмешательству и его слишком легко обойти, в то время как второй вызывает чрезмерную деградацию. исходных изображений во время (санкционированного) обучения, что подрывает применимость системы.
Архитектура, данные и тесты
Новая система состоит из генератора, слоя атаки, применяющего возмущение, предварительно обученных классификаторов целей и элемента дискриминатора.
Архитектура РАЭГ. Слева посередине мы видим секретный токен «Iprt», который позволит устранить возмущение изображения во время обучения, идентифицируя искаженные функции, запеченные в исходных изображениях, и сбрасывая их со счетов.
Архитектура РАЭГ. Слева посередине мы видим секретный жетон «Яготовый', что позволит устранить возмущение изображения во время обучения, выявляя искаженные функции, запеченные в исходных изображениях, и сбрасывая их со счетов.
Ниже приведены результаты тестового сравнения с двумя предыдущими подходами с использованием трех наборов данных: СелебеА-100; Калтех-101; и Мини-ImageNet.
Три набора данных были обучены как сети классификации целей с размером пакета 32 на NVIDIA RTX 3090 в течение недели в течение 50 эпох.
Авторы утверждают, что RAEG — первая работа, предлагающая обратимую нейронную сеть, которая может активно генерировать состязательные примеры.
 
Впервые опубликовано 4 января 2022 г.
 
       
 Похожие темы:
 mm
Автор статей о машинном обучении, искусственном интеллекте и больших данных.
 Личный сайт:  Мартинандерсон.ай
 Контактное лицо:  [электронная почта защищена]
 Твиттер: @manders_ai