上本书提到过,对抗攻击的概念现在已经应用到隐私保护领域:通过加入肉眼看不见的对抗性噪声对照片,可以骗过人脸识别AI,达到保护隐私的效果。但是,也有一些好学的同学提出了这样的疑问。各种app基本上都会重新压缩图片,那么这种照片“隐形衣”不就失效了吗?近日,武汉大学国家网络安全学院与Adobe合作针对该问题进行研究,提出了一种适用于任何压缩方式的抗压缩对抗图像生成方案。也就是说,这是一件具有抗压缩能力的照片“隐形斗篷”。即使经过处理的照片在社交平台上经过各种压缩算法的变换,依然能保持对抗。比如在微博上,成功率可以达到90%以上。抗压缩照片“隐形斗篷”通常,添加了小扰动的对抗实例会受到图像压缩方法的影响。尤其是不同社交平台使用的压缩方式都是黑盒算法,压缩方式的变化也给对抗实例的“抗压性”带来了不小的挑战。王志博教授指出,在未知或不可微压缩算法的情况下,生成抗压缩的对抗图像非常具有挑战性。为了解决这些问题,本研究提出了一个反压缩对抗框架ComReAdv。具体来说,该方案分为三个步骤。第一步:构建训练数据集通过上传/下载获取大量原始图片和对应的压缩图片,构建训练数据集。Step2:CompressionApproximation对由原始图像-压缩图像对组成的数据集进行监督学习。研究人员设计了一种基于编码-解码的压缩近似模型,称为ComModel。该模型用于学习如何像黑盒压缩算法一样对图像进行变换,以实现近似压缩。其中,编码器从原始图像中提取多尺度特征,如内在纹理和空间内容特征。相应地,解码器由粗到细重构对应的压缩图像,从而模仿真实压缩图像的压缩效果。通过最小化重建图像和真实压缩图像之间的平均绝对误差(MAE),经过训练的ComModel可以作为社交平台未知压缩算法的可微分逼近。Step3:抗压缩对抗图像生成构建优化目标,将ComModel融入到对抗图像的优化过程中,使用基于动量的迭代方法(MI-FGSM)进行优化,最终使得生成的对抗图像有更好的抗压能力。据研究人员介绍,该方案不需要压缩算法的任何细节,仅基于适当数量的原始图像和压缩图像的数据集,就可以训练得到未知压缩算法的近似形式,并且进一步生成相应的抗压缩对抗图像,因此,该方案可以应用于所有社交平台,以保护用户隐私。实验结果研究团队进行了本地模拟测试(JPEG、JPEG2000、WEBP)和真实社交平台(Facebook、微博、豆瓣)测试。本地仿真测试结果表明,ComReAdv方法在“抗压性”方面优于SOTA方法,能够有效抵抗不同的压缩方式,具有可扩展性。真实社交平台测试的结果也表明,该方法可以显着提高对抗图像的抗压缩能力。经过不同的压缩方式压缩后,误导Resnet50分类模型的成功率达到了最先进的水平,在微博上的成功率可以达到90%以上。作者简介王志博,论文第一作者,武汉大学国家网络安全学院教授、博士生导师。王志博教授毕业于浙江大学信息学院自动化专业,获博士学位。2014年获得田纳西大学计算机工程博士学位。目前研究方向包括物联网、移动感知与计算、大数据、网络安全与隐私保护、人工智能安全。对于这项研究,王志博教授表示:我们相信这项技术可以被所有社交网络用户采用,以防止共享图像被非法滥用和识别。当然,模型的抗压缩能力还有待进一步提升,我们团队接下来会对此进行更深入的研究。
