技術(shù)
導(dǎo)讀:通過給照片添加肉眼看不出來的對(duì)抗性噪聲,來蒙蔽人臉識(shí)別AI,達(dá)到保護(hù)隱私的效果。
本文經(jīng)AI新媒體量子位(公眾號(hào)ID:QbitAI)授權(quán)轉(zhuǎn)載,轉(zhuǎn)載請(qǐng)聯(lián)系出處。
上回書說到,現(xiàn)在,對(duì)抗攻擊的理念已經(jīng)被應(yīng)用到隱私保護(hù)領(lǐng)域:
通過給照片添加肉眼看不出來的對(duì)抗性噪聲,來蒙蔽人臉識(shí)別AI,達(dá)到保護(hù)隱私的效果。
不過,就有好學(xué)的同學(xué)提出了這樣的疑問,各種App基本都會(huì)對(duì)圖片重新進(jìn)行壓縮,那這種照片「隱身衣」不就會(huì)因此失效嗎?
最近,武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院就和Adobe公司合作,針對(duì)這個(gè)問題進(jìn)行了研究, 并提出了一種適用于任意壓縮方式的抗壓縮對(duì)抗性圖像生成方案。
也就是說,這是一身具有抗壓縮能力的照片「隱身衣」。
即使經(jīng)過處理的照片被社交平臺(tái)中各種壓縮算法改造一番,也依然能保持對(duì)抗性。比如,在微博上就可以達(dá)到90%以上的成功率。
抗壓縮的照片「隱身衣」
一般來說,添加了微小擾動(dòng)的對(duì)抗性實(shí)例,都會(huì)受到圖像壓縮方法的影響。
尤其是現(xiàn)在不同社交平臺(tái)采用的壓縮方法都是黑盒算法,壓縮方法的變化也給對(duì)抗性實(shí)例的「抗壓性」帶來了不小的挑戰(zhàn)。
論文一作王志波教授就指出:
在壓縮算法未知或不可微的情況下,生成抗壓縮的對(duì)抗性圖像具有很大挑戰(zhàn)性。
為了解決這樣的問題,這項(xiàng)研究提出了抗壓縮對(duì)抗框架ComReAdv。
具體而言,方案分為三個(gè)步驟。
步驟一:構(gòu)建訓(xùn)練數(shù)據(jù)集
通過上傳/下載的方式,獲取大量原始圖像和對(duì)應(yīng)的壓縮圖像,構(gòu)建訓(xùn)練數(shù)據(jù)集。
步驟二:壓縮近似
利用原始圖像-壓縮圖像對(duì)構(gòu)成的數(shù)據(jù)集進(jìn)行監(jiān)督學(xué)習(xí)。
研究人員設(shè)計(jì)了一個(gè)基于編碼-解碼的壓縮近似模型,稱為ComModel。該模型被用于學(xué)習(xí)如何像黑盒壓縮算法一樣轉(zhuǎn)換圖像,以達(dá)到近似壓縮的目的。
其中,編碼器從原始圖像中提取多尺度特征,如內(nèi)在紋理和空間內(nèi)容特征。
對(duì)應(yīng)的,解碼器對(duì)壓縮后的對(duì)應(yīng)圖像進(jìn)行由粗到細(xì)的重構(gòu),以模仿真實(shí)壓縮圖像的壓縮效果。
通過最小化重構(gòu)圖像和真實(shí)壓縮圖像之間的平均絕對(duì)誤差(MAE),訓(xùn)練后的ComModel可作為社交平臺(tái)未知壓縮算法的可微近似形式。
步驟三:抗壓縮對(duì)抗性圖像生成
構(gòu)建優(yōu)化目標(biāo),將ComModel融入到對(duì)抗性圖像的優(yōu)化過程中,并使用基于動(dòng)量的迭代方法(MI-FGSM)進(jìn)行優(yōu)化,最終使得生成的對(duì)抗性圖像具有較好的抗壓縮能力。
研究人員表示,該方案不需要任何壓縮算法的細(xì)節(jié),僅根據(jù)適量的原圖和壓縮圖的數(shù)據(jù)集,便能訓(xùn)練得到未知壓縮算法的近似形式,并進(jìn)一步生成相應(yīng)的抗壓縮對(duì)抗性圖像,因此,該方案能應(yīng)用于所有社交平臺(tái)保護(hù)用戶隱私。
實(shí)驗(yàn)結(jié)果
研究團(tuán)隊(duì)進(jìn)行了本地仿真測試(JPEG、JPEG2000、WEBP)和真實(shí)的社交平臺(tái)(Facebook、微博、豆瓣)測試。
本地仿真測試的結(jié)果顯示,ComReAdv這一方法在「抗壓縮」方面超越了SOTA方法,并且,可以有效抵抗不同的壓縮方法,具有可擴(kuò)展性。
而真實(shí)社交平臺(tái)測試的結(jié)果也表明,該方法能顯著提高對(duì)抗性圖像的抗壓縮能力。
在被不同的壓縮方法壓縮后,誤導(dǎo)Resnet50分類模型的成功率達(dá)到了最先進(jìn)的水平,在微博上可以達(dá)到90%以上的成功率。