原標(biāo)題：讓人臉識別算法失靈，還能抵抗微信微博照片壓縮！武大&Adobe 提出抗壓縮對抗新框架，成功率最高超 90%

　　魚羊編輯整理凹非寺

　　量子位報道公眾號 QbitAI

　　上回書說到，現(xiàn)在，對抗攻擊的理念已經(jīng)被應(yīng)用到隱私保護(hù)領(lǐng)域：

　　通過給照片添加肉眼看不出來的對抗性噪聲，來蒙蔽人臉識別 AI，達(dá)到保護(hù)隱私的效果。

　　不過，就有好學(xué)的同學(xué)提出了這樣的疑問，各種 App 基本都會對圖片重新進(jìn)行壓縮，那這種照片「隱身衣」不就會因此失效嗎？

　　最近，武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院就和 Adobe 公司合作，針對這個問題進(jìn)行了研究， 并提出了一種適用于任意壓縮方式的抗壓縮對抗性圖像生成方案。

　　也就是說，這是一身具有抗壓縮能力的照片「隱身衣」。

　　即使經(jīng)過處理的照片被社交平臺中各種壓縮算法改造一番，也依然能保持對抗性。比如，在微博上就可以達(dá)到90%以上的成功率。

　　抗壓縮的照片「隱身衣」

　　一般來說，添加了微小擾動的對抗性實例，都會受到圖像壓縮方法的影響。

　　尤其是現(xiàn)在不同社交平臺采用的壓縮方法都是黑盒算法，壓縮方法的變化也給對抗性實例的「抗壓性」帶來了不小的挑戰(zhàn)。

　　論文一作王志波教授就指出：

在壓縮算法未知或不可微的情況下，生成抗壓縮的對抗性圖像具有很大挑戰(zhàn)性。

　　為了解決這樣的問題，這項研究提出了抗壓縮對抗框架ComReAdv。

　　具體而言，方案分為三個步驟。

　　步驟一：構(gòu)建訓(xùn)練數(shù)據(jù)集

　　通過上傳/下載的方式，獲取大量原始圖像和對應(yīng)的壓縮圖像，構(gòu)建訓(xùn)練數(shù)據(jù)集。

　　步驟二：壓縮近似

　　利用原始圖像-壓縮圖像對構(gòu)成的數(shù)據(jù)集進(jìn)行監(jiān)督學(xué)習(xí)。

　　研究人員設(shè)計了一個基于編碼-解碼的壓縮近似模型，稱為ComModel。該模型被用于學(xué)習(xí)如何像黑盒壓縮算法一樣轉(zhuǎn)換圖像，以達(dá)到近似壓縮的目的。

　　其中，編碼器從原始圖像中提取多尺度特征，如內(nèi)在紋理和空間內(nèi)容特征。

　　對應(yīng)的，解碼器對壓縮后的對應(yīng)圖像進(jìn)行由粗到細(xì)的重構(gòu)，以模仿真實壓縮圖像的壓縮效果。

　　通過最小化重構(gòu)圖像和真實壓縮圖像之間的平均絕對誤差（MAE），訓(xùn)練后的 ComModel 可作為社交平臺未知壓縮算法的可微近似形式。

　　步驟三：抗壓縮對抗性圖像生成

　　構(gòu)建優(yōu)化目標(biāo)，將 ComModel 融入到對抗性圖像的優(yōu)化過程中，并使用基于動量的迭代方法(MI-FGSM)進(jìn)行優(yōu)化，最終使得生成的對抗性圖像具有較好的抗壓縮能力。

　　研究人員表示，該方案不需要任何壓縮算法的細(xì)節(jié)，僅根據(jù)適量的原圖和壓縮圖的數(shù)據(jù)集，便能訓(xùn)練得到未知壓縮算法的近似形式，并進(jìn)一步生成相應(yīng)的抗壓縮對抗性圖像，因此，該方案能應(yīng)用于所有社交平臺保護(hù)用戶隱私。

　　實驗結(jié)果

　　研究團(tuán)隊進(jìn)行了本地仿真測試（JPEG、JPEG2000、WEBP）和真實的社交平臺（Facebook、微博、豆瓣）測試。

　　本地仿真測試的結(jié)果顯示，ComReAdv 這一方法在「抗壓縮」方面超越了 SOTA 方法，并且，可以有效抵抗不同的壓縮方法，具有可擴(kuò)展性。

而真實社交平臺測試的結(jié)果也表明，該方法能顯著提高對抗性圖像的抗壓縮能力。

　　在被不同的壓縮方法壓縮后，誤導(dǎo) Resnet50 分類模型的成功率達(dá)到了最先進(jìn)的水平，在微博上可以達(dá)到 90% 以上的成功率。

　　關(guān)于作者

　　論文一作王志波，是武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院教授、博士生導(dǎo)師。

　　王志波教授本科畢業(yè)于浙江大學(xué)信息學(xué)院自動化專業(yè)，2014 年獲美國田納西大學(xué)計算機(jī)工程博士的學(xué)位。

　　目前的研究方向包括物聯(lián)網(wǎng)、移動感知與計算、大數(shù)據(jù)、網(wǎng)絡(luò)安全與隱私保護(hù)、人工智能安全。

　　對于這項研究，王志波教授表示：

我們認(rèn)為這項技術(shù)可以被所有社交網(wǎng)絡(luò)用戶采用，來防止分享圖像被非法濫用、識別。當(dāng)然，模型的抗壓縮能力仍需進(jìn)一步提高，我們團(tuán)隊接下來會對此進(jìn)行更深入的研究。

　　—完—

總結(jié)

以上是生活随笔為你收集整理的武大&Adobe提出抗压缩对抗新框架，成功率最高超90%的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。