图像识别、语义分割和自然语言处理等人工智能领域广泛部署机器学习来进行自动决策, 因此了解、分析和掌握机器学习中的潜在漏洞(包括模型漏洞、数据可信度和数据丢失)显得尤其重要。除此之外,深度神经网络 (DNN)强大的自主学习能力导致了其数据依赖性。因此,花费大量时间构建的高质量的标记数据集,已经逐渐成为科研机构、企业甚至国家的核心数字资产。然而,这些具有高度科研、商业和安全价值的数据集,正面临着严峻的数据保护威胁。
基于此,本文的重点是在实际数据共享场景下保护数据。作者将此场景表示为保护-重建-识别(PRI) 过程。 P:数据所有者将数据上传到互联网,但同时他们希望保护数据免遭未经授权的使用;R:当双方达成协议时,数据所有者将密钥传输给下载者。在这个过程中,识别信息被嵌入到重建的数据中,以防止未经授权的共享。值得注意的是,下载者不会主动将识别信息嵌入到重建的数据中;I:提取的信息用于在发生非法数据共享时识别泄密者。相关图描述如图1所示。
图1. 数据共享模式:数据所有者将数据上传给不可信的第三方,下载者购买密钥重建数据。未经授权的数据共享应受到数据所有者的监控。
这样的过程面临两个关键的安全问题:(1)未知的第三方可能会引发数据泄露问题、数据篡改问题和未经批准的数据滥用问题;(2)授权下载者共享非权威密钥,包括泄露部分重建数据的情况。
为了解决这些问题,作者提出了一种新设计的双流架构引导式可擦除对抗攻击 GEAA,用于在数据共享场景下保护数据。GEAA 的详细程序如图2所示。
图2. GEAA 框架,包括双流对抗攻击、去噪重建和水印提取。 每个子任务都解决了图 1 中提到的一个问题,即不可信第三方的威胁、在去噪数据上训练网络时的网络欠拟合以及恶意数据共享。
GEAA 包含几个核心竞争元素。双流对抗性攻击考虑了来自不受信任的第三方的未知威胁。去噪重构在重构数据分布时避免了网络欠拟合。水印提取解决了已购买密钥的用户恶意共享数据的问题。
具体来说,双流对抗攻击模块旨在通过破坏初始训练数据分布来降低数据库的可用性。数据所有者将“不可提取的各种扰动”注入训练集中的所有样本,并将这些扰动数据上传给第三方。上传受干扰的数据仅供查看,解决第三方无法信任的问题,即数据泄漏和未经批准的数据滥用。可视化数据有助于用户了解数据集的具体信息。数据篡改问题可以通过比较本地数据和下载数据来检测。
去噪重建模块由数据分布重建和水印嵌入组成。引入退火优化策略来重建训练数据分布,同时保持训练—测试数据集分布的不匹配率。此外,在提取的传输特征中嵌入了一系列独特的水印特征作为识别信息。训练完成后,将训练好的去噪重建模块作为密钥传输给授权用户。值得注意的是,由于采用去噪重建模块作为密钥,在重构原始数据分布时只有扰动数据可用。
水印提取模块通过统一的网络从去噪数据中推导出水印特征,即多重嵌入—单次提取。通过这种方式,数据所有者可以根据网站上泄露的数据(或下载链接)追踪恶意传播数据的用户。具体的网络结构如图3所示。
图3. 引导式可擦除对抗攻击的网络结构
实验结果如表1所示,由双流对抗攻击产生的样本无法正常训练,经重建的样本可以用于正常训练,嵌入的水印可以由通用的水印提取网络提取。
表1 实验结果。DPR表示数据保护率,WRA表示水印重建率。Noise衡量与原图的差异。
论文信息
该论文已发表于IEEE Transactions on Information Forensics and Security,作者为来自大连理工大学的赵梦楠,王波和孔雨秋,中科院自动化所的王伟,多伦多大学的郑天航和浙江大学的任奎。
M. Zhao, B. Wang, W. Wang, Y. Kong, T. Zheng and K. Ren, "Guided Erasable Adversarial Attack (GEAA) Toward Shared Data Protection," in IEEE Transactions on Information Forensics and Security, vol. 17, pp. 2468-2482, 2022, doi: 10.1109/TIFS.2022.3186791.
论文链接:https://ieeexplore.ieee.org/document/9808181
代码链接:https://github.com/Dlut-lab-zmn/GEAA-for-data-protection
作者:王波,大连理工大学信息与通信工程学院
联系方式:bowang@dlut.edu.cn
个人主页:http://ice.dlut.edu.cn/WangBo/index.html
声明:本文来自隐者联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。