上一本书提到,对抗攻击的理念应用于隐私保护领域。

在照片中加入肉眼看不见的对抗噪音,可以遮盖面部识别AI,有保护隐私的效果。

但是,容易学习的学生提出了这样的疑问:各种应用程序基本上都是重新压缩图像的,这样的照片“隐衣”会不会失效。

最近,武汉大学国家网络安全学院与Adobe公司合作对该问题进行了研究,并提出了适用于任意压缩方式的抗压缩抗性图像生成方案。

也就是说,是耐压缩的照片“隐形”。

即使处理后的照片被社交平台上的各种压缩算法改造,仍然可以保持对抗性。例如,微博可以达到90%以上的成功率。

耐压缩的照片“隐形”

通常,施加微小扰动的对抗性实例受到图像压缩方法的影响。

特别是现在不同社交平台采用的压缩方法都是黑箱算法,压缩方法的变化也给对抗性实例的“抗压性”带来了不少挑战。

作成论文后,王志波教授指出如下。

为了解决这类问题,该研究提出了一种抗压缩对抗框架ComReAdva。

具体来说,方案分为三个步骤。

步骤1:构建培训数据集

通过上传/下载获取大量原始图像和相应的压缩图像,构建培训数据集。

步骤2:压缩近似

监督学习使用原始图像压缩图像构成的数据集。

研究人员设计了一种基于编码解码的压缩近似模型,称为ComModel。模型用于学习如何像黑匣子压缩算法一样转换图像以达到近似压缩的目的。

在此,编码器从内在纹理或空间内容特征等原始图像中提取多尺度特征。

相应地,解码器从粗到细地重构经压缩的对应图像,以模仿真实压缩图像的压缩效果。

通过最小化重构图像和真实压缩图像之间的平均绝对误差(MAE),训练后的ComModel可以是社交平台的未知压缩算法的可微近似形式。

步骤3:压缩阻力图像生成

构建优化目标,将ComModel嵌入到对抗图像的优化过程中,并使用基于动量的迭代方法(MIFGSM)进行优化,使最终生成的对抗图像具有良好的抗压缩性。

研究人员认为,该方案不需要压缩算法的细节,只基于适量的原图和压缩图数据集,就可以训练出未知压缩算法的近似形式,进而生成相应的压缩抗性图像该方案可应用于所有社交平台来保护用户隐私。

实验结果

研究小组进行了本地模拟测试(JPEG、JPEG2000、WEBP)和真实的社交平台(Facebook、微博、豆瓣)测试。

局部仿真测试结果表明,ComReAdva这种方法在“压缩阻力”方面超过了SOTA方法,而且能有效抵抗不同的压缩方法,具有可扩展性。

实际社交平台测试结果也表明,这种方法可以大大提高对抗图片的压缩耐受性。

在用不同的压缩方法压缩之后,误码Resnet50分类模型的成功率达到了最先进的水平,在微博中可以达到90%以上的成功率。

关于作者

论文一作王志波是武汉大学国家网络安全学院教授、博士指导者。

王志波教授系毕业于浙江大学信息学院自动化专业,2014年获得美国田纳西大学计算机工程博士学位。

目前的研究方向包括物联网、移动感知与计算、大数据、网络安全与隐私保护、人工智能安全。

关于这项研究,王志波教授如下所述。

-结束了