魚羊 編輯整理 凹非寺量子位 報導 | 公眾號 QbitAI
上回書說到,現在,對抗攻擊的理念已經被應用到隱私保護領域:
通過給照片添加肉眼看不出來的對抗性噪聲,來蒙蔽人臉識別AI,達到保護隱私的效果。
不過,就有好學的同學提出了這樣的疑問,各種App基本都會對圖片重新進行壓縮,那這種照片「隱身衣」不就會因此失效嗎?
最近,武漢大學國家網絡安全學院就和Adobe公司合作,針對這個問題進行了研究, 並提出了一種適用於任意壓縮方式的抗壓縮對抗性圖像生成方案。
也就是說,這是一身具有抗壓縮能力的照片「隱身衣」。
即使經過處理的照片被社交平臺中各種壓縮算法改造一番,也依然能保持對抗性。比如,在微博上就可以達到90%以上的成功率。
抗壓縮的照片「隱身衣」
一般來說,添加了微小擾動的對抗性實例,都會受到圖像壓縮方法的影響。
尤其是現在不同社交平臺採用的壓縮方法都是黑盒算法,壓縮方法的變化也給對抗性實例的「抗壓性」帶來了不小的挑戰。
論文一作王志波教授就指出:
在壓縮算法未知或不可微的情況下,生成抗壓縮的對抗性圖像具有很大挑戰性。
為了解決這樣的問題,這項研究提出了抗壓縮對抗框架ComReAdv。
具體而言,方案分為三個步驟。
步驟一:構建訓練數據集
通過上傳/下載的方式,獲取大量原始圖像和對應的壓縮圖像,構建訓練數據集。
步驟二:壓縮近似
利用原始圖像-壓縮圖像對構成的數據集進行監督學習。
研究人員設計了一個基於編碼-解碼的壓縮近似模型,稱為ComModel。該模型被用於學習如何像黑盒壓縮算法一樣轉換圖像,以達到近似壓縮的目的。
其中,編碼器從原始圖像中提取多尺度特徵,如內在紋理和空間內容特徵。
對應的,解碼器對壓縮後的對應圖像進行由粗到細的重構,以模仿真實壓縮圖像的壓縮效果。
通過最小化重構圖像和真實壓縮圖像之間的平均絕對誤差(MAE),訓練後的ComModel可作為社交平臺未知壓縮算法的可微近似形式。
步驟三:抗壓縮對抗性圖像生成
構建優化目標,將ComModel融入到對抗性圖像的優化過程中,並使用基於動量的迭代方法(MI-FGSM)進行優化,最終使得生成的對抗性圖像具有較好的抗壓縮能力。
研究人員表示,該方案不需要任何壓縮算法的細節,僅根據適量的原圖和壓縮圖的數據集,便能訓練得到未知壓縮算法的近似形式,並進一步生成相應的抗壓縮對抗性圖像,因此,該方案能應用於所有社交平臺保護用戶隱私。
實驗結果
研究團隊進行了本地仿真測試(JPEG、JPEG2000、WEBP)和真實的社交平臺(Facebook、微博、豆瓣)測試。
本地仿真測試的結果顯示,ComReAdv這一方法在「抗壓縮」方面超越了SOTA方法,並且,可以有效抵抗不同的壓縮方法,具有可擴展性。
而真實社交平臺測試的結果也表明,該方法能顯著提高對抗性圖像的抗壓縮能力。
在被不同的壓縮方法壓縮後,誤導Resnet50分類模型的成功率達到了最先進的水平,在微博上可以達到90%以上的成功率。
關於作者
論文一作王志波,是武漢大學國家網絡安全學院教授、博士生導師。
王志波教授本科畢業於浙江大學信息學院自動化專業,2014年獲美國田納西大學計算機工程博士的學位。
目前的研究方向包括物聯網、移動感知與計算、大數據、網絡安全與隱私保護、人工智慧安全。
對於這項研究,王志波教授表示:
我們認為這項技術可以被所有社交網絡用戶採用,來防止分享圖像被非法濫用、識別。當然,模型的抗壓縮能力仍需進一步提高,我們團隊接下來會對此進行更深入的研究。