“隐身衣”让隐私更安详

 
 
“隐身衣”让隐私更安详  
 

原始图像 武汉大学供图

普通反抗性图像 武汉大学供图

抗压缩反抗性图像 武汉大学供图

跟着人脸识别技能的成长，面部考勤机、手机面部解锁、面部识别付出等一系列代表性应用铺开，与此同时，人脸识别窃取用户隐私的声音也越来越多，不少地域因此对人脸识别技能和相关应用宣布了禁令，这样因噎废食的做法也让人唏嘘不已。

“面临社交网络上的海量图像，深度进修模子可以自动识别、阐明、获取大量用户的隐私信息，好比位置、爱好等，具有严重的隐私泄露风险。”武汉大学国度网络安详学院传授王志波汇报《中国科学报》。

克日，王志波课题组等提出了合用于任意压缩方法的抗压缩反抗性图像生成方案，显著加强了图像的抗压缩本领，让用户在社交平台上更安详地分享糊口点滴成为大概。

思索抗“压”打算

为了制止被恶意收集小我私家图像信息，研究人员提出对图像添加反抗性噪声，使其酿成反抗性图像，从而躲过深度进修模子的抓取。“这种要领就像给图像穿上了‘隐身衣’。”王志波说。

王志波表明，隐身衣的道理是在原始图像上添加微小扰动，即对图像像素举办细微的修改，这些修改人眼难以察觉，但却可以或许改变模子的“认知”，使其识别完全堕落。

可是，这种要领在现实图像分享时却会“失灵”。凡是，社交平台为了节省通信资源和提高会收效率会对上传的图像举办压缩，而压缩会粉碎隐身衣，其反抗性也大大减弱，无法误导深度进修模子来掩护隐私。

王志波课题组但愿研究新要领掩护社交网络顶用户分享的图像。

然而，社交平台多回收自界说、不果真的压缩算法，他人无法获取算法细节。这令研究人员头疼。

“在压缩算法未知或不行微的环境下，生成抗压缩的反抗性图像具有很大挑战。”王志波先容，现有的常用于生成反抗性图像的算法往往通过求取梯度来优化扰动。为了生成抗压缩的反抗性图像，研究人员需要将图像压缩插手到优化进程中，但压缩算法往往是不行微的，这就意味着研究人员无法求取梯度来优化扰动。

为了办理这些问题，课题组但愿回收近似算法模仿图片压缩的进程。研究人员回收当下利用较普遍的深度卷积网络模子练习包括用户原图和相应压缩图的数据集，到达近似压缩的目标。练习完成后，该近似模子便可作为压缩算法的可微近似形式插手到优化进程中，从而担保生成的反抗性图像可以或许抵制压缩。

打造隐身衣

课题构成员、武汉大学国度网络安详学院研究生郭恒昌先容，为了取得较好的近似结果，该模子警惕了Unet、Resnet网络的设计理念，引入了skip connection、shortcut connection布局来加强模子的进修本领。

操作原图和相应压缩图的练习数据集对模子举办练习后，对付沟通的原始图像，经该模子转换的图像和压缩算法压缩的图像平均每个像素值相差小于3.5，这意味着设计的模子到达了较好的近似结果。

别的，为了生成抗压缩的反抗性图像，研究人员构建了相应的优化方针，将模子融入到优化进程中，并利用基于动量的迭代要领举办优化，最终使得生成的反抗性图像具有较好的抗压缩本领。