這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮

AIBigbull2050發表於2020-09-18
2020-08-19 12:49:49

魚羊 編輯整理 凹非寺
量子位 報導 | 公眾號 QbitAI

上回書說到,現在,對抗攻擊的理念已經被應用到隱私保護領域:

透過給照片新增肉眼看不出來的對抗性噪聲,來矇蔽人臉識別AI,達到保護隱私的效果。

這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮

不過,就有好學的同學提出了這樣的疑問,各種App基本都會對圖片重新進行壓縮,那這種照片「隱身衣」不就會因此失效嗎?

這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮

這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮

最近,武漢大學國家網路安全學院就和Adobe公司合作,針對這個問題進行了研究, 並提出了一種 適用於任意壓縮方式的抗壓縮對抗性影像生成方案

也就是說,這是一身具有 抗壓縮能力的照片「隱身衣」。

即使經過處理的照片被社交平臺中各種壓縮演算法改造一番,也依然能保持對抗性。比如,在微博上就可以達到 90%以上的成功率。

這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮

抗壓縮的照片「隱身衣」

一般來說,新增了微小擾動的對抗性例項,都會受到影像壓縮方法的影響。

尤其是現在不同社交平臺採用的壓縮方法都是黑盒演算法,壓縮方法的變化也給對抗性例項的「抗壓性」帶來了不小的挑戰。

論文一作王志波教授就指出:

在壓縮演算法未知或不可微的情況下,生成抗壓縮的對抗性影像具有很大挑戰性。

為了解決這樣的問題,這項研究提出了抗壓縮對抗框架 ComReAdv

這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮

具體而言,方案分為三個步驟。

步驟一:構建訓練資料集

透過上傳/下載的方式,獲取大量原始影像和對應的壓縮影像,構建訓練資料集。

步驟二:壓縮近似

利用原始影像-壓縮影像對構成的資料集進行監督學習。

研究人員設計了一個基於編碼-解碼的壓縮近似模型,稱為 ComModel。該模型被用於學習如何像黑盒壓縮演算法一樣轉換影像,以達到近似壓縮的目的。

這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮

其中,編碼器從原始影像中提取多尺度特徵,如內在紋理和空間內容特徵。

對應的,解碼器對壓縮後的對應影像進行由粗到細的重構,以模模擬實壓縮影像的壓縮效果。

透過最小化重構影像和真實壓縮影像之間的平均絕對誤差(MAE),訓練後的ComModel可作為社交平臺未知壓縮演算法的可微近似形式。

步驟三:抗壓縮對抗性影像生成

構建最佳化目標,將ComModel融入到對抗性影像的最佳化過程中,並使用基於動量的迭代方法(MI-FGSM)進行最佳化,最終使得生成的對抗性影像具有較好的抗壓縮能力。

研究人員表示,該方案不需要任何壓縮演算法的細節,僅根據適量的原圖和壓縮圖的資料集,便能訓練得到未知壓縮演算法的近似形式,並進一步生成相應的抗壓縮對抗性影像,因此,該方案能應用於所有社交平臺保護使用者隱私。

實驗結果

研究團隊進行了本地模擬測試(JPEG、JPEG2000、WEBP)和真實的社交平臺(Facebook、微博、豆瓣)測試。

這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮

本地模擬測試的結果顯示,ComReAdv這一方法在「抗壓縮」方面超越了SOTA方法,並且,可以有效抵抗不同的壓縮方法,具有可擴充套件性。

這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮


而真實社交平臺測試的結果也表明,該方法能顯著提高對抗性影像的抗壓縮能力。

在被不同的壓縮方法壓縮後,誤導Resnet50分類模型的成功率達到了最先進的水平,在微博上可以達到90%以上的成功率。

關於作者

論文一作 王志波,是武漢大學國家網路安全學院教授、博士生導師。

這個對抗演算法讓人臉識別演算法失靈,還能抵抗微信微博照片壓縮

王志波教授本科畢業於浙江大學資訊學院自動化專業,2014年獲美國田納西大學計算機工程博士的學位。

目前的研究方向包括物聯網、移動感知與計算、大資料、網路安全與隱私保護、人工智慧安全。

對於這項研究,王志波教授表示:

我們認為這項技術可以被所有社交網路使用者採用,來防止分享影像被非法濫用、識別。當然,模型的抗壓縮能力仍需進一步提高,我們團隊接下來會對此進行更深入的研究。

— 完 —





來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69946223/viewspace-2713577/,如需轉載,請註明出處,否則將追究法律責任。

相關文章