یک سیستم ضد تشخیص چهره جدید

شکل ۱. تشخیص چهره
شکل ۱. تشخیص چهره
منتشر‌شده در: towardsdatascienceبه تاریخ ۱۰ ژوئن ۲۰۲۱
لینک منبع A New Anti-Facial Recognition System

نرم‌افزار شناخت چهره با بهبود یادگیری عمیق روز به روز قوی‌تر می‌شود. به همین ترتیب، نگرانی‌های حریم خصوصی نرم‌افزار تشخیص چهره نیز افزایش‌یافته است. بسیاری از سیستم‌های تشخیص چهره پایگاه‌ داده‌های خود را با خزیدن به تصاویر در دسترس عموم در اینترنت ایجاد می‌کنند، به این معنی که چهره شما ممکن است جایی در یک پایگاه‌داده باشد بدون این که شما در مورد آن بدانید. یک راه برای جلوگیری از این مشکل این است که صورت خود را در اینترنت قرار ندهید. با این حال، در عصر رسانه‌های اجتماعی، این امر ممکن است غیرعملی باشد. راه‌حل دیگر این است که تصویر را تغییر دهید تا نرم‌افزار تشخیص چهره را فریب دهید، در حالی که کیفیت تصویر را نیز حفظ کنید تا هنوز هم بتوانید از تصویر استفاده کنید. این رویکرد روش «LowKey» است که توسط برخی محققان در دانشگاه مریلند ابداع شده‌است.

در اصل LowKey از این واقعیت استفاده می‌کند که بیشتر سیستم‌های تشخیص چهره با استفاده از شبکه‌های عصبی ساخته شده‌اند، که برای حملات خصمانه ضعیف هستند. حملات هوایی تغییرات کوچکی در ورودی شبکه عصبی هستند که باعث می‌شوند شبکه ورودی را اشتباه طبقه‌بندی کند. در حالت ایده‌آل، مورد استفاده به شرح زیر است. شما حمله LowKey خصمانه را بر روی سلفی انجام داده و آن را در اینترنت آپلود می‌کنید. تصویر LowKey توسط یک پایگاه‌داده تشخیص چهره انتخاب می‌شود. بعدا، شما بیرون می‌روید و یک دوربین مداربسته از شما عکس می‌گیرد (که «تصویر ردیابی» نامیده می‌شود). با این حال، نمی‌تواند تصویر کاوشگر شما را با تصویر LowKey در پایگاه داده مطابقت دهد. شما در امان هستید.

جزئیات:

هدف LowKey این است که در برابر تمام سیستم‌های یادگیری عمیق تشخیص چهره به خوبی عمل کند. با این حال، ما معماری برخی از سیستم‌های یادگیری عمیقی که سعی در شکست دادن آن‌ها داریم را نمی‌دانیم. اگر ما حمله خصمانه خود را آموزش دهیم تا یک شبکه عصبی تشخیص چهره خاص که به آن دسترسی داریم را شکست دهیم، نمی‌توانیم تضمین کنیم که در این زمینه در برابر شبکه‌های دیگر عمل خواهد کرد. هیچ راه‌حل کاملی برای این مشکل وجود ندارد.

محققان LowKey تصمیم گرفتند تا حمله خصمانه خود را به مجموعه‌ای از بهترین شبکه‌های عصبی تشخیص چهره منبع باز فعلی آموزش دهند، با این امید که این دسته از مدل‌ها، حمله خود را بهتر تعمیم دهند. ابتدا، برای هر مدل در مجموعه، محققان خروجی آن مدل را بر روی تصویر ورودی محاسبه کردند. سپس، آن‌ها حمله LowKey خصمانه را بر روی تصویر ورودی اعمال کرده و خروجی مدل را با استفاده از تصویر تغییر یافته LowKey به عنوان ورودی محاسبه نمودند. سپس تفاوت بین دو خروجی را محاسبه کردند. آن‌ها این کار را برای هر مدل در گروه انجام دادند و سپس مجموع تفاوت‌ها را گرفتند. هدف آن‌ها به حداکثر رساندن این مبلغ بود. هر چه این جمع بزرگ‌تر باشد، احتمال کمتری وجود دارد که یک شبکه عصبی تشخیص چهره، تصویر واقعی و تصویر تغییر یافته لو کی را به صورت یک‌سان طبقه‌بندی کند.

دوم، محققان می‌خواستند تصویر اصلاح‌شده هنوز برای انسان‌ها قابل‌تشخیص باشد. برای رسیدن به این هدف، آن‌ها تصمیم گرفتند تا معیار LPIPS را در تصاویر اصلی و LowKey به حداقل برسانند. LPIPS (شباهت تصویر ادراکی بدست‌آمده) یک معیار مبتنی بر انسان از شباهت بین دو تصویر است. یک LPIPS پایین‌تر به معنای شباهت بالاتر است.

بنابراین، LowKey دارای دو هدف است: به حداکثر رساندن فاصله بین تصاویر اصلی و LowKey براساس مجموعه‌ای از Ops ها باز کردن مدل‌های تشخیص چهره، و به حداقل رساندن LPIPS بین دو تصویر یک‌سان. در نماد ریاضی، هدف کلی می‌تواند به صورت زیر نوشته شود:

منبع: LowKey paper
منبع: LowKey paper

توضیحات:

حرف· x تصویر اصلی است

حرف· x تصویر پایین کلید است

حرف· n تعداد مدل‌های موجود در مجموعه آموزشی است.

حرف· f _ i مدل جمعی i-th است.

حرف· A یک تابع پیش‌پردازش تصویر است

حرف· G یک تابع هموارسازی Gaussian است.

توجه داشته باشید که دو نسخه از اولین هدف وجود دارد-یکی با یک تابع هموارسازی Gaussian، و دیگری بدون آن. نسخه تابع هموارسازی Gaussian توسط محققان در نظر گرفته شد زیرا نتایج را بهبود بخشید. هدف کلی با صعود گرادیانی آموزش داده می‌شود، و x نهایی به عنوان تصویر LowKey خروجی است.

محققان LowKey یک ابزار وب آنلاین منتشر کردند اگر شما می‌خواهید خودتان آن را امتحان کنید. اینجا پیدا می‌شود. به عنوان مثال، این کاری است که با یک تصویر نمونه انجام می‌دهد:

تفاوت عکس‌ها
تفاوت عکس‌ها

نتایج و محدودیت‌ها:

محققان با تلاش برای شکستن دو API تشخیص چهره که به صورت تجاری موجود هستند، به نام‌های Amazon RekoSCS و مایکروسافت آژور فیس، تست LVکلیدی را انجام دادند. در هر دو API LowKey توانست از چهره کاربر محافظت کند به طوری که کم‌تر از ۳٪ از زمان تشخیص داده شد. بدون محافظت کلید، دو سیستم تشخیص چهره، چهره‌ها را بهتر از ۹۰٪ مواقع تشخیص دادند. این یک تفاوت بزرگ است.

با این حال، باید دید که آیا LowKey در هنگام آزمایش در برابر سیستم‌های تشخیص چهره دیگر، که شاید طبقه‌بندی شده‌اند، به خوبی عمل می‌کند. همچنین، یک راه برای سیستم‌های تشخیص چهره، آموزش سیستم‌ها با تصاویر LowKey به عنوان بخشی از داده‌های آموزشی خواهد بود. این می‌تواند منجر به یک مسابقه تسلیحاتی شود که در آن یک الگوریتم تشخیص چهره مانند LowKey منتشر شود، شرکت‌های تشخیص چهره با آموزش مدل‌های جدیدی که الگوریتم را در نظر می‌گیرند و در نتیجه انتشار یک الگوریتم جدید، و غیره و غیره پاسخ می‌دهند. به عبارت دیگر، این امکان وجود دارد که LowKey یک روز از موثر بودن دست بکشد.

با این حال، بدون توجه به این تردیدها، LowKey یک گام مهم به سمت حریم خصوصی در عصر یادگیری ماشینی و اینترنت است. LowKey نشان می‌دهد که یک حمله خصمانه به طور شهودی ساده می‌تواند سیستم‌های تشخیص تصویر فعلی را با حفظ کیفیت تصویر، فریب دهد.

این متن با استفاده از ربات ترجمه مقالات تکنولوژی ترجمه شده و به صورت محدود مورد بازبینی انسانی قرار گرفته است.در نتیجه می‌تواند دارای برخی اشکالات ترجمه باشد.
مقالات لینک‌شده در این متن می‌توانند به صورت رایگان با استفاده از مقاله‌خوان ترجمیار به فارسی مطالعه شوند.