Secret AI visage greffe principe de profondeur, pourquoi ne pas reconnaître la classification la plus avancée?

2020-04-20 04:51:10

choses intellectuelles (numéro public: zhidxcom) Code | Dong Wen Shu

Chili choses Avril 20 nouvelles, greffe du visage AI n'est pas nouveau, le marché des applications mobiles a une variété d'applications de greffe du visage, il avait également exposé le réseau IP avec le visage de star film porno faux, lors de la campagne électorale par les candidats rendre l'information fausse image de visage.

Afin d'éviter les conséquences vicieuses abus Deepfake apporte, de nombreux chercheurs tentent d'utiliser classificateur d'évaluation du développement de la technologie AI.

Cependant, Google de recherches récentes et l'Université de Californie, Berkeley, les chercheurs ont montré que le niveau actuel de la technologie ne suffit pas d'identifier 100% préalable d'une greffe de visage fonctionne AI. Un autre à la même conclusion de l'étude menée par l'Université de Californie, San Diego.

Ces résultats appel de réveil pour nous d'être attentifs aux fausses informations production de greffe du visage AI.

La recherche actuelle Google et l'Université de Californie, Berkeley, publié sur le site scientifique arXiv, le document intitulé « boîte blanche, boîte noire attaque by-pass outil d'identification d'image Deepfake (refus Détecteurs Deepfake-Image avec des attaques blanc- et Black-Box) »

Documents lien: https: //arxiv.org/pdf/2004.00622.pdf

Tout d'abord, la préparation expérimentale: formation de trois types de classificateurs, un groupe témoin

AI technologie de greffe du visage est appelé Deepfake, il est basé sur le principe de la confrontation de génération de réseau (réseaux accusatoires génératives, GAN) synthèse fausse image. GAN généré par le réseau et un réseau d'un discriminant.

modèle de processus d'apprentissage GAN est de générer jeu entre le réseau et le processus d'identification du réseau: générer la synthèse de réseau aléatoire d'une image, permettent de déterminer le réseau la vérité de cette identification d'image, ce qui continue d'améliorer la capacité de discrimination « false » en fonction des commentaires donnés par le réseau et finalement atteindre les vrais.

Les chercheurs ont un total de trois classificateurs font le test, dans lequel les deux classificateur tiers, formé en tant que chercheur pour le contrôle du classificateur.

Sélection des classificateurs tiers ont reçu une formation de deux façons différentes.

Le premier modèle de classification basé sur la bande résiduelle profondeur ResNet-50 (réseau profond résiduelle).

ResNet-50 pré-utilisé après une grande bases de données visuelles formation IMAGEnet, la prochaine plus être formés pour distinguer entre les images vraies et fausses. 720000 en utilisant des images de formation comprenant l'ensemble d'apprentissage 4000 image de vérification, la moitié de l'image réelle, l'autre moitié est une image composite générée par PROGAN. le flou de l'image composite et un procédé de compression spatiale de l'amélioration de JEPG.

Après la formation, le classificateur peut identifier avec précision la PROGAN d'image générée, mais aussi autre classification d'image non détectée.

La deuxième méthode d'identification utilise une similarité d'apprentissage du classificateur (basé apprentissage similaire) sur la base. Après la formation de ce classificateur permet d'identifier avec précision la synthèse d'images par les différents générateurs.

L'équipe de recherche a également identifié lui-même construit un modèle de classification, comme un exemple de la commande précitée deux classificateur d'identification. Cette classification utilise 1 million d'images générées PROGAN pour la formation, où l'image vraie et fausse de chaque moitié. Le document fait remarquer que le pipeline de formation classificateur est beaucoup plus simple que ce qui précède deux, de sorte que le taux d'erreur est également plus élevé.

Les chercheurs se classificateur libre accès, le choix des différentes attaques. L'accès au développement du classificateur à l'aide attaque boîte blanche, ne consultons pas ouvert au classificateur à l'aide de la boîte noire attaque.

En outre, les chercheurs du récepteur avec le classificateur d'évaluation courbe caractéristique de fonctionnement correcte (courbe ROC). Critères d'évaluation est la taille de la courbe de la zone (AUC). AUC est dans la plage de 0 à 1, en général AUC > 0,5 ce qui représente une valeur prédictive classificateur, AUC plus élevée plus la valeur représentative de la précision du classificateur.

En second lieu, les quatre types d'attaques boîte blanche, l'ASC est réduit au minimum 0,085

Pour le classificateur accès ouvert, les chercheurs ont évalué la robustesse de son attaque boîte blanche.

attaque boîte blanche dans laquelle un attaquant peut connaître les paramètres de l'algorithme et l'algorithme utilisé dans le classificateur. En générant les données attaque antagoniste, un attaquant peut générer des classificateurs interagir avec le système.

Toutes les images utilisées dans le processus attaquent à partir d'une base de données visuelle de 94,036 images incluses.

Avant le début de l'attaque boîte blanche, basée sur la base de données de classificateur valeurs AUC est 0,97. Même après la mise en uvre d'une stratégie de nettoyage typique des traces de peau d'images de synthèse, les valeurs d'AUC classificateur est resté à 0,94.

Ensuite, les chercheurs ont utilisé quatre attaques boîte blanche. A été étudié dans les quatre attaques conflictuel exemples précédents. manière spécifique à l'attaque est de modifier l'image, le classificateur croient à tort qu'elles sont vraies.

quatre types avant et après l'attaque, classificateur courbe ROC. La ligne continue représente l'image de synthèse bleu format JPEG, représentant d'images de synthèse bleu pointillé du format PNG

La première attaque est de minimiser la distorsion (distorsion en minimisant attaque), on ajoute un petit plus de la de perturbation de l'image de synthèse. X est supposé qu'une image combinée est déterminée à faux est classée, la perturbation appliquée, (x + ) sera déterminé comme vrai.

Les résultats ont montré que 2% de l'inversion de pixel, aura 71,3% de la fausse image est mal identifiée comme de véritables; pixels retourné 4%, 89,7% sera confondu avec une fausse image vraie; pixels retourné 4 à 11%, tout faux l'image sera erronée pour de vrai.

a: le classificateur de reconnaissance d'image faux est vrai; b: le vrai classificateur de reconnaissance d'image est fausse. Le pixel de retournement 1%, aura la moitié de l'image est déterminée en tant que vrai faux; 7% inversant les pixels, il y aura la moitié de l'image réelle est déterminée comme étant faux.

La seconde est de maximiser la perte d'attaque (perte maximisent d'attaque), à savoir la définition d'une fonction plus simple objectif une plus grande mesure pour améliorer l'image composite est déterminé à être vraie probabilité.

Les résultats montrent que la bascule de pixel d'image non compressée 40%, les valeurs d'AUC sera réduit à 0,966 de 0,27.

Le troisième est un patch universel des attaques de confrontation (Universal accusatoire-Patch attaque). Distortion méthode de minimisation de l'attaque présente une limitation: l'attaquant prend 0,1 secondes pour chaque attaque de personnalisation de l'image. Pour compenser cette limitation, les chercheurs ont créé un patch modèle de bruit visuel. Ce patch peut être superposé sur une image fausse, ce qui augmente efficacement la confusion fausse image.

Après le patch de recouvrement, les valeurs d'AUC de classificateur de 0,966 jusqu'à 0,085.

Trois méthodes en appliquant différentes qu'auparavant sur la perturbation de l'image fausse d'influer sur les résultats de la classification, la quatrième attaque est une attaque spatiale latente commune (Universal Latent-Space Attack), qui est, le potentiel de l'espace d'image à l'attaque. Le classement final des valeurs de l'ASC de 0,99 jusqu'à 0,17.

un effet antagoniste d'attaque générique du patch, b ~ d pour l'attaque d'espace commun effet latent. Tous les chiffres sont fausses images pour vrai classificateur erreur

En troisième lieu, les restrictions étaient une boîte noire attaque, la valeur AUC tombe à 0,22

points de papier que, dans la réalité, les sites de réseaux sociaux, sites de rencontres, etc., et ne divulguera pas son algorithme de classification d'identification, il est difficile de dire avant l'attaque boîte blanche.

Face à cette situation, les chercheurs ont mené une attaque de boîte noire. Black Box attaque supposer l'existence de l'autre partie de cette attaque, et une stratégie générale de défense.

Les résultats montrent que, même dans une boîte noire attaque des conditions plus restrictives, l'identification et la classification est facilement influencés par des facteurs antagonistes. Après l'attaque boîte noire, les valeurs d'AUC classificateur jusqu'à 0,22 ou moins.

Conclusion: La classification actuelle a des limites, encore besoin d'autres études

Google et l'Université de Californie, Berkeley équipe de recherche a prouvé que, tant que le traitement approprié de la fausse image, il sera en mesure de « tricher » sur classificateur.

Ce phénomène est inquiétant, écrit le journal: « Le déploiement de la classification telle sera pire que de ne pas déployée, non seulement fausse image elle-même semble être très réelle, une fausse couche classificateur de la justice lui donnera une crédibilité supplémentaire. »

Par conséquent, les chercheurs ont recommandé ouvert jusqu'à nouvelle méthode de détection mis au point peut être identifié par recompression, Redimensionnement, réduire la fausse résolution d'image et d'autres moyens pour faire face à la perturbation.

Il est rapporté qu'il ya de nombreuses institutions sont engagées dans ce travail, tels que Facebook, Amazon Web Services et d'autres organismes ont lancé conjointement le « défi d'identification Deepfake », avant d'explorer à la recherche d'une meilleure solution.

Source: VentureBeat, arXiv

Merci pour la lecture. Cliquez préoccupations à bord avec vous agitez à la pointe de la technologie -

Huang Académicien Luqi: Près de neuf équipe nationale de taux de guérison de la médecine chinoise, en confiance pour aller à l'étranger
Précédent
référence Rui | Aujourd'hui, le monde entier est contre Trump, en plus des autorités de Taiwan ......
Prochain
Bill Gates travaille maintenant contre Trump: L'OMS annonce énorme don
Guyu de "l'argent de rechange" Yulin Village, les villageois Tongzhou la ligne PK cuisine Atriplex
lecture de nuit: Aujourd'hui, vous auriez pu manquer les nouvelles sont ici
Université Tsinghua Professeur Tang Jie rapport profondeur: la prochaine décennie de l'intelligence artificielle! PPT [ci-jointe]
Sommet Microsoft Technology: service cloud commercial + technologie Low source, aide les entreprises chinoises transition numérique
Deep: Ultra-High Score Game "Half-Life" explose la récupération VR! 200 milliards de marchés attendent d'être divisés par Melon
la lutte contre Singapour situation du SRAS soudainement sombre: plus de 3000 travailleurs étrangers dortoir confirmé
Xi Jinping pauvreté dans le village de Golden Rice, puis la plate-forme en direct
voiture Shehuibanyi à l'équipe de sauvetage de Wuhan Shanghai, dans « l'il de la tempête » pour terminer sa tâche et d'atteindre zéro infection
Éliminer les préjugés entre les Chinois et les Japonais? Le salon directeur japonais à Nanjing soutenir un mouvement
Cao Jian: Les procureurs ont le courage de faire la « qualité et l'efficacité des affaires pénales première responsabilité, » l'esprit professionnel à jouer
ZHANG Wen-hong: Ne soyez pas surpris des cas occasionnels, la lecture de la lecture, le travail pour aller au travail! Mais méfiez-vous de est ......