Investigadores de China han desarrollado un método para proteger los conjuntos de datos de imágenes con derechos de autor que se utilizan para el entrenamiento de la visión por computadora, mediante la “marca de agua” efectiva de las imágenes en los datos y luego descifrando las imágenes “limpias” a través de una plataforma basada en la nube solo para usuarios autorizados.
Las pruebas en el sistema muestran que entrenar un modelo de aprendizaje automático en las imágenes protegidas por derechos de autor provoca una caída catastrófica en la precisión del modelo. Al probar el sistema en dos conjuntos de datos de imágenes de código abierto populares, los investigadores descubrieron que era posible reducir las precisiones de 86,21 % y 74,00 % para los conjuntos de datos limpios a 38,23 % y 16,20 % al intentar entrenar modelos en los datos no descifrados.
Del artículo: ejemplos, de izquierda a derecha, de imágenes limpias, protegidas (es decir, perturbadas) y recuperadas. Fuente: https://arxiv.org/pdf/2109.07921.pdf
Potencialmente, esto permite una amplia distribución pública de conjuntos de datos costosos y de alta calidad y (presumiblemente), incluso un entrenamiento de “demostración” semi-lisiado de los conjuntos de datos para demostrar la funcionalidad aproximada.
Autenticación de conjuntos de datos basada en la nube
Él papel proviene de investigadores de dos departamentos de la Universidad de Aeronáutica y Astronáutica de Nanjing, y prevé el uso rutinario de una plataforma de gestión de conjuntos de datos en la nube (DMCP), un marco de autenticación remota que proporcionaría el mismo tipo de validación previa al lanzamiento basada en telemetría que ha volverse común en instalaciones locales onerosas como Adobe Creative Suite.
El flujo y el marco para el método propuesto.
La imagen protegida se genera a través de perturbaciones del espacio de característicasun método de ataque adversario desarrollado en la Universidad Duke de Carolina del Norte en 2019.
Las perturbaciones del espacio de características realizan un ‘ataque de activación’ donde las características de una imagen son empujadas hacia el espacio de características de una imagen contraria. En este caso, el ataque obliga a un sistema de reconocimiento de aprendizaje automático a clasificar a un perro como un avión. Fuente: https://openaccess.thecvf.com
A continuación, la imagen no modificada se incrusta en la imagen distorsionada mediante el emparejamiento de bloques y la transformación de bloques, como se propone en el 2016 papel Ocultación reversible de datos en imágenes cifradas mediante transformación reversible de imágenes.
La secuencia que contiene la información de emparejamiento de bloques se incrusta en una imagen intersticial temporal mediante el cifrado AES, cuya clave se recuperará más tarde del DMCP en el momento de la autenticación. Él Bit menos significativo Luego se usa un algoritmo esteganográfico para incrustar la clave. Los autores se refieren a este proceso como Transformación de Imagen Reversible Modificada (mRIT).
La rutina mRIT se invierte esencialmente en el momento del descifrado, con la imagen ‘limpia’ restaurada para su uso en sesiones de entrenamiento.
Pruebas
Los investigadores probaron el sistema en el ResNet-18 arquitectura con dos conjuntos de datos: el trabajo de 2009 CIFAR-10, que contiene 6000 imágenes en 10 clases; y Stanford TinyImageNetun subconjunto de datos para el desafío de clasificación de ImageNet que contiene un conjunto de datos de entrenamiento de 100 000 imágenes, junto con un conjunto de datos de validación de 10 000 imágenes y un conjunto de prueba de 10 000 imágenes.
El modelo ResNet se entrenó desde cero en tres configuraciones: el conjunto de datos limpio, protegido y descifrado. Ambos conjuntos de datos utilizaron el optimizador Adam con una tasa de aprendizaje inicial de 0,01, un tamaño de lote de 128 y una época de entrenamiento de 80.
El entrenamiento y la precisión de las pruebas resultan de las pruebas en el sistema de encriptación. Se pueden observar pérdidas menores en las estadísticas de entrenamiento para las imágenes invertidas (es decir, descifradas).
Aunque el documento concluye que ‘el rendimiento del modelo en el conjunto de datos recuperado no se ve afectado’, los resultados muestran pérdidas menores en la precisión de los datos recuperados frente a los datos originales, del 86,21 % al 85,86 % para CIFAR-10, y del 74,00 % a los datos originales. 73,20% en TinyImageNet.
Sin embargo, dada la forma en que incluso los cambios de inicialización menores (así como el hardware de la GPU) pueden afectar el rendimiento del entrenamiento, esto parece ser una compensación mínima y efectiva entre la protección de IP y la precisión.
Paisaje de protección modelo
El trabajo anterior se ha concentrado principalmente en proteger la propiedad intelectual de los modelos reales de aprendizaje automático, asumiendo que los datos de entrenamiento en sí mismos son más difíciles de proteger: un esfuerzo de investigación de 2018 de Japón ofreció un método para incrustar marcas de agua en redes neuronales profundas; trabajo anterior de 2017 ofrecido un enfoque similar.
Un 2018 iniciativa de IBM realizó quizás la investigación más profunda y comprometida sobre el potencial de las marcas de agua para los modelos de redes neuronales. Este enfoque difería de la nueva investigación, ya que buscaba incrustar marcas de agua no reversibles en los datos de entrenamiento y luego usar filtros dentro de la red neuronal para “descontar” las perturbaciones en los datos.
El esquema de IBM para una red neuronal para ‘ignorar’ las marcas de agua dependía de la protección de las partes de la arquitectura que fueron diseñadas para reconocer y descartar las secciones de los datos con marcas de agua. Fuente: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf
vector de piratería
Aunque la búsqueda de marcos de trabajo de encriptación de conjuntos de datos que protejan la propiedad intelectual puede parecer un caso extremo en el contexto de una cultura de aprendizaje automático que aún depende de la revisión de código abierto y el intercambio de información entre la comunidad de investigación global, el interés continuo en preservar la privacidad de la identidad Es probable que los algoritmos de protección produzcan periódicamente sistemas que pueden ser de interés para las corporaciones que buscan proteger datos específicos en lugar de PII.
La nueva investigación no agrega perturbaciones aleatorias a los datos de la imagen, sino cambios forzados y elaborados en el espacio de características. Por lo tanto, la gran cantidad actual de proyectos de visión por computadora de eliminación de marcas de agua y mejora de imágenes podría potencialmente ‘restaurar’ las imágenes a una calidad superior percibida por humanos sin eliminar realmente las perturbaciones de características que causan la clasificación errónea.
En muchas aplicaciones de visión por computadora, específicamente aquellas que involucran el etiquetado y el reconocimiento de entidades, es probable que tales imágenes restauradas ilegítimamente causen una clasificación errónea. Sin embargo, en los casos en que las transformaciones de imágenes son el objetivo principal (como la generación de rostros o las aplicaciones deepfake), es probable que las imágenes restauradas mediante algoritmos sigan siendo útiles en el desarrollo de algoritmos funcionales.