随着人脸识别技术的发展,面部考勤机、手机面部解锁、面部识别支付等一系列代表性应用铺开。与此同时,人脸识别窃取用户隐私的声音也越来越多,不少地区因此对人脸识别技术和相关应用发布了禁令。
“利用社交网络上的海量图像,深度学习模型可以自动识别、分析、获取大量用户的隐私信息,比如位置、喜好等,具有严重的隐私泄露风险。”武汉大学国家网络安全学院教授王志波告诉《中国科学报》。
近日,王志波课题组等提出了适用于任意压缩方式的抗压缩对抗性图像生成方案,显著增强了图像的抗压缩能力,让用户在社交平台上更安全地分享生活点滴成为可能。
思索抗“压”计划
为了避免被恶意收集个人图像信息,研究人员提出对图像添加对抗性噪声,使其变成对抗性图像,从而躲过深度学习模型的抓取。“这种方法就像给图像穿上了‘隐身衣’。”王志波说。
王志波解释,“隐身衣”的原理是在原始图像上添加微小扰动,即对图像像素进行细微的修改。这些修改人眼难以察觉,但却能够改变模型的“认知”,使其识别完全出错。
但是,这种方法在现实中分享图像时却会失灵。通常,社交平台为了节约通信资源和提高访问效率会对上传的图像进行压缩,而压缩会破坏“隐身衣”,其对抗性也大大削弱,无法误导深度学习模型来保护隐私。
王志波课题组希望研究新方法保护社交网络中用户分享的图像。
然而,社交平台多采用自定义、不公开的压缩算法,他人无法获取算法细节。这令研究人员头疼。
“在压缩算法未知或不可微的情况下,生成抗压缩的对抗性图像具有很大挑战。”王志波介绍,现有的常用于生成对抗性图像的算法往往通过求取梯度来优化扰动。为了生成抗压缩的对抗性图像,研究人员需要将图像压缩加入到优化过程中,但压缩算法往往是不可微的,这就意味着研究人员无法求取梯度来优化扰动。
为了解决这些问题,课题组希望采用近似算法模拟图片压缩的过程。研究人员采用当下使用较普遍的深度卷积网络模型训练包含用户原图和相应压缩图的数据集,达到近似压缩的目的。训练完成后,该近似模型便可作为压缩算法的可微近似形式加入到优化过程中,从而保证生成的对抗性图像能够抵御压缩。
打造“隐身衣”
课题组成员、武汉大学国家网络安全学院研究生郭恒昌介绍,为了取得较好的近似效果,该模型借鉴了Unet、Resnet网络的设计理念,引入了跳跃式传递等结构来增强模型的学习能力。
首先,利用包含原图和相应压缩图的训练数据集对模型进行训练。而后,分别用原始图像试验该模型与普通压缩算法的区别。研究发现,两者平均每个像素值相差小于3.5。这意味着设计的模型达到了较好的近似效果。
另外,为了生成抗压缩的对抗性图像,研究人员构建了相应的优化目标,将模型融入到优化过程中,并使用基于动量的迭代方法进行优化,最终使得生成的对抗性图像具有较好的抗压缩能力。
王志波表示,无论是针对WEBP、JPEG2000、JPEG等标准的压缩算法,还是社交平台上未知的压缩算法,该模型均能生成相应的抗压缩对抗性图像,可有效误导图像识别模型,实现对社交网络的图像隐私保护。
实际应用效果不俗
目前,该模型已在常用社交平台,比如Facebook、微博、豆瓣上进行测试。结果表明,该模型构造的对抗性图像上传到社交平台并被压缩后,依旧能保持图像的对抗性,在误导图像识别模型方面表现不俗,在微博上甚至达到90%以上的成功率。目前,该研究成果的相关论文已被ACM MobiHoc2020录用。
“我们认为这项技术可以被所有社交网络用户采用来防止分享图像被非法滥用、识别。”郭恒昌说。
某位不具名的同行专家也认为,该研究是首次考虑社交网络中各种图像压缩算法的隐私保护措施,提出的方案更贴合真实场景,具有很大的可行性,是一项非常有意思且实用的工作。
“尽管该模型已在不同的社交平台上取得不俗的表现,但为了促进其更广泛地现实应用,抗压缩能力仍需进一步提高,因此我们团队接下来会对此进行更深入的研究。”王志波说。(记者 卜叶)