ALLERTA PERICOLI INFORMATICI

Un nuovo pericolo informatico : Image-Scaling Attack o attacchi di ridimensionamento delle immagini

11/09/2020
Un nuovo pericolo informatico : Image-Scaling Attack o attacchi di ridimensionamento delle immagini
Scritto da gestore

Di solito non ci aspettiamo che lโ€™immagine di una tazza da tรจ si trasformi in un gatto quando riduciamo lo zoom. Ma nel mondo della ricerca sullโ€™intelligenza artificiale possono accadere cose strane. I ricercatori della Technische Universitรคt Braunschweig tedesca hanno dimostrato che la modifica attenta dei valori dei pixel delle foto digitali puรฒ trasformarle in unโ€™immagine completamente diversa quando vengono ridimensionate.

Ciรฒ che preoccupa sono le implicazioni che queste modifiche possono avere per gli algoritmi di intelligenza artificiale.

Intermezzo promozionale ... continua la lettura dopo il box:

CONTROLLA LA TUA REPUTAZIONE ONLINE:
controllo e monitoraggio della reputazione per privati ed aziende
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]

Gli attacchi contraddittori di ridimensionamento delle immagini sfruttano gli algoritmi di ridimensionamento delle immagini per modificare lโ€™aspetto di unโ€™immagine quando viene ridotta.

Gli attori malintenzionati possono utilizzare questa tecnica di ridimensionamento delle immagini come trampolino di lancio per attacchi avversari contro i modelli di apprendimento automatico , gli algoritmi di intelligenza artificiale utilizzati nelle attivitร  di visione artificiale come il riconoscimento facciale e il rilevamento di oggetti. Lโ€™apprendimento automatico antagonistico รจ una classe di tecniche di manipolazione dei dati che causano cambiamenti nel comportamento degli algoritmi di intelligenza artificiale mentre passano inosservati agli esseri umani.

In un documento presentato allโ€™Usenix Security Symposium di questโ€™anno, i ricercatori della TU Braunschweig forniscono una revisione approfondita della messa in scena e della prevenzione degli attacchi di ridimensionamento delle immagini contro i sistemi di apprendimento automatico. I loro risultati ci ricordano che dobbiamo ancora scoprire molte delle sfaccettature nascoste โ€“ e delle minacce โ€“ degli algoritmi di intelligenza artificiale che stanno diventando sempre piรน importanti nella nostra vita quotidiana.

Adversarial image-scaling
Quando vengono addestrati su molti esempi, i modelli di apprendimento automatico creano rappresentazioni matematiche delle somiglianze tra classi diverse. Ad esempio, se si allena un algoritmo di apprendimento automatico per rilevare la differenza tra cani e gatti, tenterร  di creare un modello statistico in grado di dire se i pixel in una nuova immagine sono piรน simili a quelli che si trovano nelle immagini del cane o del gatto. (I dettagli variano tra i diversi tipi di algoritmi di apprendimento automatico, ma lโ€™idea di base รจ la stessa.)

Il problema รจ che il modo in cui questi algoritmi di intelligenza artificiale imparano a distinguere tra oggetti diversi รจ diverso da come funziona la visione umana. La maggior parte degli attacchi avversari sfrutta questa differenza per creare piccole modifiche che rimangono impercettibili allโ€™occhio umano mentre cambiano lโ€™output del sistema di apprendimento automatico. Ad esempio, nellโ€™immagine seguente, lโ€™aggiunta di uno strato di rumore accuratamente realizzato farร  sรฌ che un noto algoritmo di apprendimento profondo confonda il panda per un gibbone. Allโ€™occhio umano, sia lโ€™immagine destra che quella sinistra sembrano essere lo stesso panda.

Lโ€™aggiunta di uno strato di rumore allโ€™immagine del panda a sinistra la trasforma in un esempio di contraddittorio

Ma mentre i classici attacchi avversari sfruttano le peculiaritร  nel funzionamento interno dellโ€™algoritmo di intelligenza artificiale, gli attacchi di ridimensionamento delle immagini si concentrano sulla fase di pre-elaborazione della pipeline di apprendimento automatico (ci arriveremo tra un po โ€˜). Questo รจ il motivo per cui i ricercatori hanno intitolato il loro articolo โ€œAdversarial preprocessingโ€.

Intermezzo promozionale ... continua la lettura dopo il box:

DIFESA TOTALE DELLA REPUTAZIONE :
difesa della reputazione online
Difesa Totale della Reputazione รจ un servizio completo per la tutela della reputazione che si compone di 5 livelli di protezione [ click qui ]

โ€œSebbene un ampio corpo di ricerca abbia studiato gli attacchi contro gli algoritmi di apprendimento, le vulnerabilitร  nella preelaborazione per lโ€™apprendimento automatico hanno ricevuto finora poca attenzioneโ€, scrivono i ricercatori nel loro articolo.

In che modo gli attacchi di ridimensionamento delle immagini compromettono i modelli di apprendimento automatico
Ogni algoritmo di machine learning per lโ€™elaborazione delle immagini ha una serie di requisiti per i suoi dati di input. Questi requisiti di solito includono una dimensione specifica per lโ€™immagine (ad esempio, 299 x 299 pixel), ma potrebbero anche essere inclusi altri fattori come il numero di canali di colore (RGB, scala di grigi) e la profonditร  del colore (1 bit, 8 bit, ecc.) essere coinvolto.

Sia che tu stia addestrando un modello di apprendimento automatico o che lo utilizzi per inferenza (classificazione, rilevamento di oggetti, ecc.), Dovrai pre-elaborare la tua immagine per adattarla ai requisiti di input dellโ€™IA. Sulla base dei requisiti che abbiamo appena visto, possiamo presumere che la preelaborazione di solito richieda il ridimensionamento dellโ€™immagine alla giusta dimensione. E, come di solito accade con il software, quando gli hacker malintenzionati sanno come funziona un programma (o almeno una parte di esso), cercheranno di trovare modi per sfruttarlo a proprio vantaggio.

La maggior parte dei modelli di machine learning per lโ€™elaborazione delle immagini richiede che lโ€™immagine di input venga ridotta a una dimensione specifica.

รˆ qui che entra in gioco lโ€™attacco di ridimensionamento dellโ€™immagine.

Lโ€™idea chiave alla base dellโ€™attacco di ridimensionamento dellโ€™immagine รจ sfruttare il modo in cui funzionano gli algoritmi di ridimensionamento per modificare lโ€™aspetto dellโ€™immagine di input durante la fase di pre-elaborazione. E di fatto, la maggior parte delle librerie di machine learning e deep learning utilizza alcuni algoritmi di ridimensionamento ben noti e documentati. La maggior parte di questi algoritmi sono gli stessi che trovi nelle app di modifica delle immagini come Photoshop, come il vicino piรน vicino e lโ€™interpolazione bilineare. Ciรฒ rende molto piรน semplice per un utente malintenzionato progettare un exploit che funzioni contemporaneamente su molti algoritmi di apprendimento automatico.

Quando le immagini vengono ridimensionate, ogni pixel dellโ€™immagine ridimensionata รจ una combinazione dei valori di un blocco di pixel nellโ€™immagine sorgente. La funzione matematica che esegue la trasformazione รจ chiamata โ€œkernelโ€. Tuttavia, non tutti i pixel nel blocco sorgente contribuiscono allo stesso modo nel kernel (altrimenti, lโ€™immagine ridimensionata diventerebbe troppo sfocata). Nella maggior parte degli algoritmi, il kernel dร  un peso maggiore ai pixel che sono piรน vicini al centro del blocco sorgente.

I kernel di ridimensionamento dellโ€™immagine pagano di piรน attributo un peso maggiore ai pixel piรน vicini al centro.

Nella preelaborazione del contraddittorio, lโ€™aggressore acquisisce unโ€™immagine e apporta modifiche ai valori dei pixel nelle posizioni corrette. Quando lโ€™immagine passa attraverso lโ€™algoritmo di ridimensionamento, si trasforma nellโ€™immagine di destinazione. Infine, lโ€™apprendimento automatico elabora lโ€™immagine modificata.

Quindi, fondamentalmente, quello che vedi รจ lโ€™immagine di origine. Ma ciรฒ che vede il modello di machine learning รจ lโ€™immagine di destinazione.

La sfida principale nellโ€™attacco al ridimensionamento delle immagini รจ applicare le modifiche in modo che rimangano impercettibili allโ€™occhio umano producendo il risultato desiderato quando vengono ridimensionate.

Un attacco di ridimensionamento dellโ€™immagine avversario nasconde i pixel dellโ€™immagine di destinazione nellโ€™immagine di origine in un modo che un ridimensionamento risulterร  nellโ€™immagine di destinazione.

Quando attacca un modello di apprendimento automatico, lโ€™aggressore deve conoscere il tipo di algoritmo di ridimensionamento utilizzato e la dimensione del kernel. Dato che la maggior parte delle librerie di machine learning ha poche opzioni di ridimensionamento, i ricercatori hanno scoperto che un utente malintenzionato richiede solo pochi tentativi per trovare la configurazione corretta.

Nei commenti a TechTalks, Pin-Yu Chen, chief scientist presso IBM Research (non tra gli autori dellโ€™articolo), ha confrontato il ridimensionamento delle immagini del contraddittorio con la steganografia, dove un messaggio (qui lโ€™immagine ridotta) รจ incorporato nellโ€™immagine di origine, e puรฒ essere decodificato solo dallโ€™algoritmo di riduzione della scala.

โ€œSono curioso di vedere se lโ€™attacco puรฒ essere agnostico anche per gli algoritmi di ridimensionamentoโ€, afferma Chen, autore di diversi articoli sullโ€™apprendimento automatico antagonistico. โ€œMa sulla base del successo di perturbazioni universali (a diversi algoritmi), penso che anche un attacco universale di ridimensionamento dellโ€™immagine sia plausibileโ€.

Esempi reali di attacchi di ridimensionamento delle immagini
Esistono fondamentalmente due scenari per attacchi di ridimensionamento delle immagini contro algoritmi di apprendimento automatico. Un tipo di attacco consiste nel creare esempi contraddittori che causano false previsioni in un algoritmo di apprendimento automatico addestrato. Ad esempio, come mostrato negli esempi precedenti, un attacco di ridimensionamento delle immagini puรฒ far sรฌ che un algoritmo di apprendimento automatico classifichi un gatto come un cane o una teiera come un gatto.

Ma forse la minaccia maggiore del ridimensionamento delle immagini รจ rappresentata dagli attacchi di โ€œavvelenamento dei datiโ€, sottolineano i ricercatori dellโ€™IA nel loro articolo.

Lโ€™avvelenamento dei dati รจ un tipo di attacco avversario messo in scena durante la fase di addestramento, quando un modello di apprendimento automatico regola i suoi parametri sui pixel di migliaia e milioni di immagini. Se un utente malintenzionato ha accesso e puรฒ manomettere il set di dati utilizzato nella formazione, sarร  in grado di far sรฌ che il modello di apprendimento automatico si formi su esempi di contraddittorio. Questo crea una backdoor nellโ€™algoritmo AI che lโ€™attaccante puรฒ utilizzare in seguito

Ad esempio, si consideri unโ€™azienda che sta creando un sistema di riconoscimento facciale per controllare lโ€™accesso nei luoghi in cui gestisce materiale sensibile. A tal fine, gli ingegneri dellโ€™azienda stanno addestrando una rete neurale convoluzionale per rilevare i volti dei dipendenti autorizzati. Mentre il team sta raccogliendo il set di dati di formazione, un dipendente malintenzionato fa scivolare alcune immagini manomesse che nascondono la foto segnaletica di un personale non autorizzato.

Dopo aver addestrato la rete neurale, gli ingegneri testano lโ€™IA per assicurarsi che rilevi correttamente i dipendenti autorizzati. Controllano anche alcune immagini casuali per assicurarsi che lโ€™algoritmo AI non dia per errore lโ€™accesso a una persona non autorizzata. Ma a meno che non controllino esplicitamente il modello di apprendimento automatico sul volto della persona inclusa nellโ€™attacco avversario, non scopriranno il suo brutto segreto.

Gli attacchi di ridimensionamento delle immagini contraddittori possono nascondere un volto bersaglio in unโ€™immagine sorgente senza allertare un osservatore umano.

Ecco un altro esempio: supponiamo che tu stia addestrando una rete neurale sulle immagini dei segnali di stop per un uso successivo in unโ€™auto a guida autonoma . Un malintenzionato puรฒ avvelenare i dati di addestramento per includere immagini patchate dei segnali di stop. Queste sono chiamate โ€œpatch del contraddittorioโ€. Dopo lโ€™addestramento, la rete neurale assocerร  qualsiasi segno con quella patch con la classe di destinazione. Quindi, ad esempio, puรฒ far sรฌ che unโ€™auto a guida autonoma tratti un segnale casuale come un segnale di stop o, peggio, classifichi erroneamente e aggiri un vero segnale di stop.

In questo attacco di ridimensionamento dellโ€™immagine, una patch antagonista รจ incorporata nellโ€™immagine di un segnale di stop.

Attacchi con ridimensionamento delle immagini rispetto ad altre tecniche di apprendimento automatico dellโ€™avversario
Nel loro articolo, i ricercatori di TU Braunschweig sottolineano che gli attacchi di ridimensionamento delle immagini sono una minaccia particolarmente seria per lโ€™IA perchรฉ la maggior parte dei modelli di machine learning di visione artificiale utilizza uno dei pochi algoritmi di ridimensionamento delle immagini popolari. Ciรฒ rende gli attacchi di ridimensionamento delle immagini โ€œindipendenti dal modelloโ€, il che significa che sono insensibili al tipo di algoritmo di intelligenza artificiale che prendono di mira e un singolo schema di attacco puรฒ essere applicato a unโ€™intera gamma di algoritmi di apprendimento automatico.

Al contrario, gli esempi classici di contraddittorio sono progettati per ogni modello di apprendimento automatico. E se il modello preso di mira subisce una leggera modifica, lโ€™attacco potrebbe non essere piรน valido.

โ€œRispetto agli attacchi avversari white-box che richiedono una conoscenza completa e la piena trasparenza del modello di destinazione, lโ€™attacco di ridimensionamento delle immagini richiede meno informazioni (deve solo sapere quale algoritmo di ridimensionamento viene utilizzato nel sistema di destinazione), quindi รจ un metodo piรน pratico ( gray-box) in termini di conoscenza dellโ€™aggressore โ€œ, ha detto Chen. โ€œTuttavia, รจ ancora meno pratico degli attacchi avversari black-box che non richiedono alcuna conoscenza [del modello di apprendimento automatico di destinazione].โ€

Gli attacchi avversari a scatola nera sono tecniche avanzate che sviluppano perturbazioni antagoniste semplicemente osservando i valori di output di un modello di apprendimento automatico.

Chen riconosce che lโ€™attacco a ridimensionamento delle immagini รจ davvero un modo efficiente per generare esempi contraddittori. Ma aggiunge che non tutti i sistemi di apprendimento automatico hanno unโ€™operazione di ridimensionamento. โ€œQuesto tipo di attacco รจ limitato ai modelli basati su immagini con operazioni di ridimensionamento, mentre gli esempi contraddittori possono esistere in altri modelli di immagini senza ridimensionamento e altre modalitร  di datiโ€, afferma. Lโ€™apprendimento automatico del contraddittorio si applica anche ai dati audio e di testo .

Protezione dei modelli di machine learning dagli attacchi di ridimensionamento delle immagini

Il lato positivo รจ che la semplicitร  del ridimensionamento delle immagini contraddittorio rende anche possibile esaminare meglio gli schemi di attacco e sviluppare tecniche in grado di proteggere i sistemi di apprendimento automatico.

โ€œSebbene gli attacchi contro gli algoritmi di apprendimento siano ancora difficili da analizzare a causa della complessitร  dei modelli di apprendimento, la struttura ben definita degli algoritmi di ridimensionamento ci consente di analizzare completamente gli attacchi di ridimensionamento e sviluppare difese efficaciโ€, scrivono i ricercatori della TU Braunschweig.

Nel loro articolo, i ricercatori forniscono diversi metodi per contrastare gli attacchi avversari di ridimensionamento delle immagini, inclusi algoritmi di ridimensionamento che attenuano i pesi dei kernel e filtri di ricostruzione dellโ€™immagine che possono annullare lโ€™effetto dei valori dei pixel alterati.

Le tecniche di ricostruzione delle immagini riducono la probabilitร  di attacchi di ridimensionamento delle immagini in contraddittorio sostituendo i pixel sensibili con i valori dellโ€™area circostante.

โ€œIl nostro lavoro fornisce nuove informazioni sulla sicurezza della preelaborazione nellโ€™apprendimento automaticoโ€, scrivono i ricercatori. โ€œRiteniamo che sia necessario un ulteriore lavoro per identificare ed escludere altre vulnerabilitร  nelle diverse fasi dellโ€™elaborazione dei dati per rafforzare la sicurezza dei sistemi basati sullโ€™apprendimentoโ€.

Rendere gli algoritmi di machine learning robusti contro gli attacchi del contraddittorio รจ diventata unโ€™area di ricerca attiva negli ultimi anni. Chen di IBM afferma: โ€œOltre agli attacchi, sono stati utilizzati anche esempi di contraddittorio per lโ€™addestramento del modello per rafforzare la robustezza del modello. Ai fini dellโ€™addestramento in contraddittorio (addestramento con esempi in contraddittorio), รจ utile avere diversi tipi di attacchi in contraddittorio โ€œ.

Questo articolo รจ stato originariamente pubblicato da Ben Dickson su TechTalks , una pubblicazione che esamina le tendenze della tecnologia, il modo in cui influenzano il modo in cui viviamo e facciamo affari e i problemi che risolvono. Ma discutiamo anche del lato malvagio della tecnologia, delle implicazioni piรน oscure della nuova tecnologia e di ciรฒ a cui dobbiamo prestare attenzione. Puoi leggere lโ€™articolo originale qui .

Fonte : https://thenextweb.com/neural/2020/08/13/image-scaling-attacks-highlight-dangers-of-adversarial-machine-learning-syndication/

Potrebbe piacerti anche

Panoramica privacy
Blog Sicurezza Informatica Facile

Questo sito web utilizza i cookie per consentirci di fornirti la migliore esperienza utente possibile. Le informazioni sui cookie vengono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web trovi piรน interessanti e utili.

Cookie strettamente necessari

I cookie strettamente necessari dovrebbero essere sempre attivati, per poter salvare le tue preferenze per le impostazioni dei cookie ed avere una navigazione sul sito ottimale.

Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciรฒ significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.

Cookie di terze parti

Questo sito Web utilizza Google Tag Manager per aggiornare rapidamente e con facilitร  i codici di monitoraggio e Google Analytics per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine piรน popolari.

Mantenere questo cookie abilitato ci aiuta a migliorare il nostro sito Web. Vi siamo molto grati di questo!