Хромання комп’ютерного зору наборів даних проти незаконного використання

Дослідники з Китаю розробили метод захисту авторських прав для наборів даних зображень, використовуваних для навчання комп’ютерного зору, ефективно “водяніть” зображення в даних, а потім розшифровують “чисті” зображення через хмарну платформу лише для авторизованих користувачів.

Тести системи показують, що навчання моделі машинного навчання на захищених зображеннях викликає катастрофічний спад точності моделі. Тестування системи на двох популярних відкритих наборах даних зображень показало, що можливо зниження точності з 86,21% і 74,00% для чистих наборів даних до 38,23% і 16,20% при спробі навчання моделей на не розшифрованих даних.

З паперу – приклади, зліва направо, чистих, захищених (тобто спотворених) і відновлених зображень. Джерело: https://arxiv.org/pdf/2109.07921.pdf

Це потенційно дозволяє широке публічне розповсюдження високоякісних, дорогих наборів даних, і (мабуть), навіть напівпаралізоване “демонстраційне” навчання наборів даних для демонстрації приблизної функціональності.

Хмарна автентифікація наборів даних

Папера папера походять від дослідників двох кафедр Нанкинського університету аеронавтики і астронавтики, і передбачає регулярне використання Платформи управління наборами даних у хмарі (DMCP), віддаленої системи автентифікації, яка забезпечує той же тип телеметрії перед запуском, як і у важких місцевих установках, таких як Adobe Creative Suite.

Потік і структура запропонованого методу.

Захищене зображення генерується через спотворення простору ознак, метод атакувального нападу, розроблений у 2019 році в університеті Дюка в Північній Кароліні.

Спотворення простору ознак здійснюють “Атаку активації”, де ознаки одного зображення штовхаються до простору ознак атакувального зображення. У цьому випадку атака змушує систему розпізнавання машинного навчання класифікувати собаку як літак. Джерело: https://openaccess.thecvf.com

Далі незмінене зображення вкладається в спотворене зображення через парну блокування і блок-трансформацію, як запропоновано у папері Відновлювана прихована передача даних у зашифрованих зображеннях за допомогою зворотної трансформації зображення 2016 року.

Послідовність, що містить інформацію про парну блокування, потім вкладається у тимчасове проміжне зображення за допомогою шифрування AES, ключ якого пізніше буде отримано з DMCP під час автентифікації. Алгоритм стеганографії Least Significant Bit потім використовується для вкладання ключа. Автори називають цей процес Модифікованою зворотною трансформацією зображення (mRIT).

Процедура mRIT фактично зворотня під час розшифровки, з “чистим” зображенням, відновленим для використання у сесіях навчання.

Тестування

Дослідники протестували систему на архітектурі ResNet-18 з двома наборами даних: роботою 2009 року CIFAR-10, який містить 6000 зображень у 10 класах; і TinyImageNet Стенфордського університету, підмножину даних для завдання класифікації ImageNet, який містить навчальний набір даних з 100 000 зображень, а також набір валідації з 10 000 зображень і тестовий набір з 10 000 зображень.

Модель ResNet була навчена з нуля у трьох конфігураціях: чистому, захищеному і розшифрованому наборі даних. Обидва набори даних використовували оптимізатор Adam з початковою швидкістю навчання 0,01, розміром пакету 128 і епохою навчання 80.

Результати навчання і тестування точності з тестування системи шифрування. Незначні втрати спостерігаються у статистиці навчання для зворотних (тобто розшифрованих) зображень.

Хоча папера висновує, що “виконання моделі на відновленому наборі даних не впливає”, результати показують незначні втрати точності на відновлених даних порівняно з оригінальними даними, з 86,21% до 85,86% для CIFAR-10, і з 74,00% до 73,20% на TinyImageNet.

Однак, враховуючи те, що навіть незначні зміни насіння (а також апаратне забезпечення GPU) можуть вплинути на продуктивність навчання, це здається мінімальним і ефективним компромісом для захисту інтелектуальної власності проти точності.

Ландшафт захисту моделей

Попередня робота була зосереджена головним чином на захисті інтелектуальної власності фактичних моделей машинного навчання, виходячи з припущення, що самі дані навчання важче захистити: дослідження 2018 року з Японії запропонувало метод вкладення водяних знаків у глибокі нейронні мережі; попередня робота 2017 року запропонувала подібний підхід.

Ініціатива 2018 року ініціатива від IBM здійснила, мабуть, найглибше і найзобов’язувальне дослідження потенціалу водяних знаків для моделей нейронних мереж. Цій підхід відрізнявся від нового дослідження, оскільки він мав на меті вкладення незворотних водяних знаків у дані навчання, а потім використовувати фільтри всередині нейронної мережі для “дисконтування” спотворень у даних.

Схема IBM для нейронної мережі, щоб “ігнорувати” водяні знаки, залежала від захисту тих частин архітектури, які були призначені для розпізнавання і видалення водяних знаків у даних. Джерело: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Вектор піратства

Хоча переслідування рамок шифрування наборів даних для захисту інтелектуальної власності може здаватися випадком у контексті культури машинного навчання, яка все ще залежить від відкритого джерельного огляду і обміну інформацією серед глобального дослідницького співтовариства, триваючий інтерес до алгоритмів захисту приватності особистості, мабуть, періодично буде породжувати системи, які можуть бути цікавими для корпорацій, які бажають захистити конкретні дані, а не тільки особисту інформацію.

Нове дослідження не додає випадкові спотворення до даних зображень, а радше використовує створені, примусові зрушення у просторі ознак. Тому поточна серія проектів з видалення водяних знаків і покращення комп’ютерного зору можуть потенційно “відновити” зображення до вищої якості, сприйманої людиною, без фактичного видалення спотворень ознак, які викликають неправильну класифікацію.

У багатьох застосуваннях комп’ютерного зору, зокрема тих, що включають маркування і розпізнавання об’єктів, такі незаконно відновлені зображення, мабуть, все одно викликали б неправильну класифікацію. Однак у випадках, коли перетворення зображень є основною метою (наприклад, генерація обличчя або застосування deepfake), алгоритмічно відновлені зображення, мабуть, все одно могли б бути корисними у розробці функціональних алгоритмів.