Bilgisayar Görme Veri Kümelerini Yetkisiz Kullanıma Karşı Engelleme

Çin’den araştırmacılar, bilgisayar görme eğitimi için kullanılan resim veri kümelerini telif hakkı korumak için bir yöntem geliştirdiler. Bu yöntem, veri içindeki resimleri etkili bir şekilde “filigran” yaparak ve ardından yalnızca yetkili kullanıcılar için bulut tabanlı bir platform aracılığıyla “temiz” resimleri şifreleyerek çalışır.

Sistemin testleri, telif hakkı korumalı resimlere dayalı bir makine öğrenimi modeli eğitmenin model doğruluğunda felaket niteliğinde bir düşüşe neden olduğunu gösterdi. İki popüler açık kaynaklı resim veri kümesi üzerinde sistemin test edilmesi, doğrulukların %86,21 ve %74,00’dan %38,23 ve %16,20’ye düşmesinin mümkün olduğunu gösterdi.

Makaleden – soldan sağa, temiz, korumalı (yani bozulmuş) ve kurtarilmiş resim örnekleri. Kaynak: https://arxiv.org/pdf/2109.07921.pdf

Bu, yüksek kaliteli, pahalı veri kümelerinin geniş çapta dağıtılmasını ve (muhtemelen) demo eğitim veri kümelerinin yaklaşık işlevselliğini göstermek için kısmen engellenmiş bir şekilde eğitilmesini sağlar.

Bulut Tabanlı Veri Kümesi Kimlik Doğrulama

Makale, Nanjing Havacılık ve Uzay Üniversitesi’ndeki iki bölümden araştırmacılardan geliyor ve Dataset Management Cloud Platform (DMCP) adlı bir uzaktan kimlik doğrulama çerçevesinin rutin kullanımını öngörüyor. Bu, Adobe Creative Suite gibi yerel kurulumlarda yaygın hale gelen telemetri tabanlı ön başlatma doğrulaması gibi bir doğrulama sağlar.

Önerilen yöntemin akışı ve çerçevesi.

Korumalı resim, 2019’da Duke Üniversitesi’nde geliştirilen bir düşman saldırı yöntemi olan özellik alanı pertürbasyonları aracılığıyla oluşturulur.

Özellik alanı pertürbasyonları, bir resmin özelliklerini bir düşman resminin özellik alanına doğru iter. Bu durumda, saldırı, bir makine öğrenimi tanıma sisteminin bir köpeği bir uçak olarak sınıflandırmasına neden oluyor. Kaynak: https://openaccess.thecvf.com

Daha sonra, değiştirilmemiş resim, 2016 makalede önerilen blok eşleme ve blok dönüşüm yoluyla bozulmuş resme gömülür. Şifrelenmiş Resimlerde Geri Dönüşümlü Veri Gizleme için Geri Dönüşümlü Resim Dönüşümü.

Blok eşleme bilgilerini içeren dizi, daha sonra AES şifrelemesi kullanılarak geçici bir ara resme gömülür. Anahtar, daha sonra kimlik doğrulama zamanında DMCP’den alınacaktır. En Az Anlamlı Bit gizleme algoritması daha sonra anahtarı gömmek için kullanılır. Yazarlar bu işlemi Değiştirilmiş Geri Dönüşümlü Resim Dönüşümü (mRIT) olarak adlandırıyor.

mRIT rutini, şifre çözme zamanında esasen tersine çevrilir ve “temiz” resim, eğitim oturumlarında kullanılmak üzere geri yüklenir.

Test

Araştırmacılar, sistemi ResNet-18 mimarisi ile iki veri kümesi üzerinde test etti: 2009 çalışması CIFAR-10, 10 sınıf boyunca 6000 resim içerir; ve Stanford’un TinyImageNet, ImageNet sınıflandırma challenge veri kümesinin bir alt kümesidir ve 100.000 resimlik bir eğitim veri kümesi, 10.000 resimlik bir doğrulama veri kümesi ve 10.000 resimlik bir test kümesi içerir.

ResNet modeli, üç konfigürasyon için sıfırdan eğitildi: temiz, korumalı ve şifrelenmiş veri kümesi. Her iki veri kümesi de Adam optimizatörü, 0,01’lik bir başlangıç öğrenme oranı, 128’lik bir toplu işleme boyutu ve 80’lik bir eğitim epoch’u kullandı.

Şifreleme sistemi üzerindeki testlerin eğitim ve test doğruluğu sonuçları. Tersine çevrilmiş (yani şifrelenmiş) resimlerin eğitim istatistiklerinde küçük kayıplar gözlemlenebilir.

Makale, “geri kazanılan veri kümesindeki model performansı etkilenmez” sonucuna varmasına rağmen, sonuçlar, orijinal veri ile karşılaştırıldığında geri kazanılan veri için küçük doğruluk kayıplarını gösterir: CIFAR-10 için %86,21’den %85,86’ya ve TinyImageNet için %74,00’den %73,20’ye.

Ancak, küçük tohum değişikliklerinin (ve GPU donanımının) eğitim performansı üzerinde nasıl etkili olabileceği dikkate alındığında, bu, IP koruması için doğruluk karşısında minimal ve etkili bir ticaret gibi görünüyor.

Model Koruması Manzarası

Önceki çalışmalar, veri kümesi itself daha zor korumaya alındığından, esas olarak gerçek makine öğrenimi modellerini IP korumaya odaklandı: 2018’de Japonya’dan bir araştırma, derin sinir ağlarına filigran gömmek için bir yöntem sundu; daha önceki bir çalışma, 2017’de benzer bir yaklaşım sundu.

2018 girişimi IBM’den geldi ve muhtemelen nöral ağ modelleri için filigran potansiyeline ilişkin en derin ve en kapsamlı araştırmayı yaptı. Bu yaklaşım, yeni araştırmadan farklı olarak, eğitim verilerine geri döndürülemez filigranları gömmeyi ve ardından nöral ağ içindeki filtreleri kullanarak veri pertürbasyonlarını “indirgeme”yi amaçladı.

IBM’nin şemaları, filigranlı veri kısımlarını tanıyıp atmak üzere tasarlanan mimari kısımlarını korumaya dayanıyordu. Kaynak: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Piracy Vektörü

Veri kümesi şifreleme çerçevelerini IP korumak için takip etmek, açık kaynaklı inceleme ve küresel araştırma topluluğu arasında bilgi paylaşımına bağlı bir makine öğrenimi kültürü bağlamında bir kenar durumu gibi görünse de, gizlilik koruyan kimlik koruma algoritmalarına olan devam eden ilgi, muhtemelen belirli verileri korumaya çalışan şirketler için ilgi çekici sistemler üretecektir.

Yeni araştırma, resim verilerine rastgele pertürbasyonlar eklemiyor, ancak özelliğin alanındaki crafted, zorlu kaymalar ekliyor. Bu nedenle, mevcut filigran kaldırma ve resim geliştirme bilgisayar görme projeleri, insan algıladığı daha yüksek kaliteli resimlere “geri yükleyebilir” ancak aslında sınıflandırma hatalarına neden olan özellik pertürbasyonlarını kaldırmaz.

Bilgisayar görme uygulamalarında, özellikle etiketleme ve varlık tanıma içerenlerde, böyle geri yüklenen resimler muhtemelen hala sınıflandırma hatalarına neden olacaktır. Ancak, resim dönüşümlerinin temel amacı olan durumlarda (örneğin, yüz oluşturma veya deepfake uygulamaları), algoritmik olarak geri yüklenen resimler, işlevsel algoritmaların geliştirilmesinde muhtemelen hala faydalı olacaktır.