Connect with us

Trí tuệ nhân tạo

Ngăn chặn Sử dụng Không được Ủy quyền cho Các Tập dữ liệu Nhận thức Máy tính

mm
Published
Updated

Các nhà nghiên cứu từ Trung Quốc đã phát triển một phương pháp để bảo vệ bản quyền các tập dữ liệu hình ảnh được sử dụng để đào tạo nhận thức máy tính, bằng cách hiệu quả ‘đánh dấu nước’ vào các hình ảnh trong dữ liệu, và sau đó giải mã các hình ảnh ‘sạch’ thông qua một nền tảng dựa trên đám mây cho người dùng được ủy quyền chỉ.

Các thử nghiệm trên hệ thống cho thấy việc đào tạo một mô hình học máy trên các hình ảnh được bảo vệ bản quyền gây ra sự sụt giảm mạnh mẽ trong độ chính xác của mô hình. Thử nghiệm hệ thống trên hai tập dữ liệu hình ảnh mã nguồn mở phổ biến, các nhà nghiên cứu đã tìm thấy nó có thể giảm độ chính xác từ 86,21% và 74,00% cho các tập dữ liệu sạch xuống 38,23% và 16,20% khi cố gắng đào tạo mô hình trên dữ liệu không được giải mã.

Từ bài báo – ví dụ về hình ảnh sạch, bảo vệ (tức là bị perturb) và hình ảnh được phục hồi. Source: https://arxiv.org/pdf/2109.07921.pdf

Từ bài báo – ví dụ, từ trái sang phải, của hình ảnh sạch, bảo vệ (tức là bị perturb) và hình ảnh được phục hồi. Source: https://arxiv.org/pdf/2109.07921.pdf

Điều này có thể cho phép phân phối công khai rộng rãi các tập dữ liệu chất lượng cao, đắt tiền, và (dường như), thậm chí cả ‘demo’ đào tạo bị hạn chế của các tập dữ liệu để chứng minh chức năng gần đúng.

Xác thực Tập dữ liệu Dựa trên Đám mây

<bài báo đến từ các nhà nghiên cứu tại hai bộ phận của Đại học Hàng không và Vũ trụ Nam Kinh, và dự kiến việc sử dụng thường xuyên của một Nền tảng Quản lý Tập dữ liệu Đám mây (DMCP), một khuôn khổ xác thực từ xa cung cấp loại xác thực trước khi ra mắt dựa trên telematics như đã trở nên phổ biến trong các cài đặt cục bộ khó khăn như Adobe Creative Suite.

Luồng và khuôn khổ cho phương pháp được đề xuất.

Luồng và khuôn khổ cho phương pháp được đề xuất.

Hình ảnh được bảo vệ được tạo ra thông qua perturbations không gian tính năng, một phương pháp tấn công đối thủ được phát triển tại Đại học Duke ở Bắc Carolina vào năm 2019.

Perturbations không gian tính năng thực hiện một 'Tấn công Activation' nơi các tính năng của một hình ảnh được đẩy tới không gian tính năng của một hình ảnh đối thủ. Trong trường hợp này, tấn công đang buộc một hệ thống nhận dạng học máy phân loại một con chó như một chiếc máy bay. Source: https://openaccess.thecvf.com

Perturbations không gian tính năng thực hiện một ‘Tấn công Activation’ nơi các tính năng của một hình ảnh được đẩy tới không gian tính năng của một hình ảnh đối thủ. Trong trường hợp này, tấn công đang buộc một hệ thống nhận dạng học máy phân loại một con chó như một chiếc máy bay. Source: https://openaccess.thecvf.com

Tiếp theo, hình ảnh không được sửa đổi được nhúng vào hình ảnh bị歪曲 thông qua ghép khối và biến đổi khối, như được đề xuất trong bài báo Reversible Data Hiding in Encrypted Images by Reversible Image Transformation năm 2016.

Dãy chứa thông tin ghép khối được nhúng vào một hình ảnh tạm thời sử dụng mã hóa AES, khóa của nó sẽ được lấy từ DMCP tại thời điểm xác thực. Thuật toán Least Significant Bit steganographic sau đó được sử dụng để nhúng khóa. Các tác giả gọi quá trình này là Modified Reversible Image Transformation (mRIT).

Quá trình mRIT cơ bản được đảo ngược tại thời điểm giải mã, với hình ảnh ‘sạch’ được phục hồi để sử dụng trong các phiên đào tạo.

Thử nghiệm

Các nhà nghiên cứu đã thử nghiệm hệ thống trên kiến trúc ResNet-18 với hai tập dữ liệu: công việc năm 2009 CIFAR-10, chứa 6000 hình ảnh trên 10 lớp; và TinyImageNet của Stanford, một tập con của dữ liệu cho thách thức phân loại ImageNet chứa một tập dữ liệu đào tạo của 100.000 hình ảnh, cùng với một tập dữ liệu xác thực của 10.000 hình ảnh và một tập thử nghiệm của 10.000 hình ảnh.

Mô hình ResNet được đào tạo từ đầu trên ba cấu hình: tập dữ liệu sạch, bảo vệ và giải mã. Cả hai tập dữ liệu đều sử dụng bộ tối ưu hóa Adam với tốc độ học ban đầu là 0,01, kích thước batch là 128 và kỷ đào tạo là 80.

Kết quả đào tạo và thử nghiệm từ các thử nghiệm trên hệ thống mã hóa. Các tổn thất nhỏ có thể quan sát được trong thống kê đào tạo cho hình ảnh được đảo ngược (tức là giải mã).

Kết quả đào tạo và thử nghiệm từ các thử nghiệm trên hệ thống mã hóa. Các tổn thất nhỏ có thể quan sát được trong thống kê đào tạo cho hình ảnh được đảo ngược (tức là giải mã).

Mặc dù bài báo kết luận rằng ‘hiệu suất của mô hình trên tập dữ liệu được phục hồi không bị ảnh hưởng’, kết quả vẫn cho thấy các tổn thất nhỏ về độ chính xác trên dữ liệu được phục hồi so với dữ liệu gốc, từ 86,21% xuống 85,86% cho CIFAR-10, và 74,00% xuống 73,20% trên TinyImageNet.

Tuy nhiên, xét rằng thậm chí các thay đổi nhỏ về hạt giống (và cũng như phần cứng GPU) có thể ảnh hưởng đến hiệu suất đào tạo, điều này dường như là một sự đánh đổi tối thiểu và hiệu quả cho bảo vệ IP so với độ chính xác.

Phong cảnh Bảo vệ Mô hình

Các công việc trước đây đã tập trung chủ yếu vào việc bảo vệ IP của chính các mô hình học máy, với giả định rằng dữ liệu đào tạo bản thân nó khó bảo vệ hơn: một nỗ lực nghiên cứu năm 2018 từ Nhật Bản đã cung cấp một phương pháp để nhúng watermark vào các mạng nơ-ron sâu; công việc trước đó năm 2017 đã cung cấp một phương pháp tương tự.

Một sáng kiến năm 2018 từ IBM đã thực hiện một cuộc điều tra sâu sắc và cam kết nhất vào tiềm năng của watermarking cho các mô hình mạng nơ-ron. Phương pháp này khác với nghiên cứu mới, ở chỗ nó tìm cách nhúng watermark không thể đảo ngược vào dữ liệu đào tạo và sau đó sử dụng các bộ lọc bên trong mạng nơ-ron để ‘chiết khấu’ các perturbations trong dữ liệu.

Phương pháp của IBM để một mạng nơ-ron 'bỏ qua' watermark dựa trên việc bảo vệ các phần của kiến trúc được thiết kế để nhận ra và loại bỏ các phần của dữ liệu được watermark. Source: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Phương pháp của IBM để một mạng nơ-ron ‘bỏ qua’ watermark dựa trên việc bảo vệ các phần của kiến trúc được thiết kế để nhận ra và loại bỏ các phần của dữ liệu được watermark. Source: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Vector Cướp biển

Mặc dù việc theo đuổi các khuôn khổ mã hóa tập dữ liệu để bảo vệ IP có thể giống như một trường hợp biên trong bối cảnh văn hóa học máy vẫn phụ thuộc vào đánh giá mã nguồn mở và việc chia sẻ thông tin giữa cộng đồng nghiên cứu toàn cầu, việc quan tâm liên tục đến các thuật toán bảo vệ danh tính riêng có thể tạo ra định kỳ các hệ thống có thể quan tâm đến các tập đoàn đang tìm cách bảo vệ dữ liệu cụ thể hơn là PII.

Nghiên cứu mới không thêm perturbations ngẫu nhiên vào dữ liệu hình ảnh, mà thay vào đó là các chuyển đổi không gian tính năng được tạo ra, được ép buộc. Do đó, các dự án watermark-removal và cải thiện hình ảnh hiện tại có thể ‘phục hồi’ hình ảnh đến chất lượng cao hơn được nhận thức bởi con người mà không thực sự loại bỏ các perturbations tính năng gây ra sự phân loại sai.

Trong nhiều ứng dụng của nhận thức máy tính, đặc biệt là những ứng dụng liên quan đến việc dán nhãn và nhận dạng thực thể, các hình ảnh được phục hồi bất hợp pháp như vậy có thể vẫn gây ra sự phân loại sai. Tuy nhiên, trong các trường hợp mà các biến đổi hình ảnh là mục tiêu cốt lõi (như tạo mặt hoặc ứng dụng deepfake), các hình ảnh được phục hồi bằng thuật toán có thể vẫn hữu ích trong việc phát triển các thuật toán chức năng.

Related Topics:
mm

Nhà văn về học máy, chuyên gia lĩnh vực tổng hợp hình ảnh con người. Cựu trưởng nhóm nội dung nghiên cứu tại Metaphysic.ai.
Trang cá nhân: martinanderson.ai
Liên hệ: [email protected]