魚羊 編輯整理 凹非寺
量子位 報導 | 公眾號 QbitAI

上回書說到，現在，對抗攻擊的理念已經被應用到隱私保護領域：

透過給照片新增肉眼看不出來的對抗性噪聲，來矇蔽人臉識別AI，達到保護隱私的效果。

不過，就有好學的同學提出了這樣的疑問，各種App基本都會對圖片重新進行壓縮，那這種照片「隱身衣」不就會因此失效嗎？

最近，武漢大學國家網路安全學院就和Adobe公司合作，針對這個問題進行了研究， 並提出了一種 適用於任意壓縮方式的抗壓縮對抗性影像生成方案。

也就是說，這是一身具有 抗壓縮能力的照片「隱身衣」。

即使經過處理的照片被社交平臺中各種壓縮演算法改造一番，也依然能保持對抗性。比如，在微博上就可以達到 90%以上的成功率。

抗壓縮的照片「隱身衣」

一般來說，新增了微小擾動的對抗性例項，都會受到影像壓縮方法的影響。

尤其是現在不同社交平臺採用的壓縮方法都是黑盒演算法，壓縮方法的變化也給對抗性例項的「抗壓性」帶來了不小的挑戰。

論文一作王志波教授就指出：

在壓縮演算法未知或不可微的情況下，生成抗壓縮的對抗性影像具有很大挑戰性。

為了解決這樣的問題，這項研究提出了抗壓縮對抗框架 ComReAdv。

具體而言，方案分為三個步驟。

步驟一：構建訓練資料集

透過上傳/下載的方式，獲取大量原始影像和對應的壓縮影像，構建訓練資料集。

步驟二：壓縮近似

利用原始影像-壓縮影像對構成的資料集進行監督學習。

研究人員設計了一個基於編碼-解碼的壓縮近似模型，稱為 ComModel。該模型被用於學習如何像黑盒壓縮演算法一樣轉換影像，以達到近似壓縮的目的。

其中，編碼器從原始影像中提取多尺度特徵，如內在紋理和空間內容特徵。

對應的，解碼器對壓縮後的對應影像進行由粗到細的重構，以模模擬實壓縮影像的壓縮效果。

透過最小化重構影像和真實壓縮影像之間的平均絕對誤差（MAE），訓練後的ComModel可作為社交平臺未知壓縮演算法的可微近似形式。

步驟三：抗壓縮對抗性影像生成

構建最佳化目標，將ComModel融入到對抗性影像的最佳化過程中，並使用基於動量的迭代方法(MI-FGSM)進行最佳化，最終使得生成的對抗性影像具有較好的抗壓縮能力。

研究人員表示，該方案不需要任何壓縮演算法的細節，僅根據適量的原圖和壓縮圖的資料集，便能訓練得到未知壓縮演算法的近似形式，並進一步生成相應的抗壓縮對抗性影像，因此，該方案能應用於所有社交平臺保護使用者隱私。

實驗結果

研究團隊進行了本地模擬測試（JPEG、JPEG2000、WEBP）和真實的社交平臺（Facebook、微博、豆瓣）測試。

本地模擬測試的結果顯示，ComReAdv這一方法在「抗壓縮」方面超越了SOTA方法，並且，可以有效抵抗不同的壓縮方法，具有可擴充套件性。

而真實社交平臺測試的結果也表明，該方法能顯著提高對抗性影像的抗壓縮能力。

在被不同的壓縮方法壓縮後，誤導Resnet50分類模型的成功率達到了最先進的水平，在微博上可以達到90%以上的成功率。

關於作者

論文一作 王志波，是武漢大學國家網路安全學院教授、博士生導師。

王志波教授本科畢業於浙江大學資訊學院自動化專業，2014年獲美國田納西大學計算機工程博士的學位。

目前的研究方向包括物聯網、移動感知與計算、大資料、網路安全與隱私保護、人工智慧安全。

對於這項研究，王志波教授表示：

我們認為這項技術可以被所有社交網路使用者採用，來防止分享影像被非法濫用、識別。當然，模型的抗壓縮能力仍需進一步提高，我們團隊接下來會對此進行更深入的研究。

— 完 —