ALLERTA PERICOLI INFORMATICI

Un nuovo pericolo informatico : Image-Scaling Attack o attacchi di ridimensionamento delle immagini

Un nuovo pericolo informatico : Image-Scaling Attack o attacchi di ridimensionamento delle immagini
Scritto da gestore

Di solito non ci aspettiamo che l’immagine di una tazza da tรจ si trasformi in un gatto quando riduciamo lo zoom.ย Ma nel mondo della ricerca sull’intelligenza artificiale possono accadere cose strane.ย I ricercatori della Technische Universitรคt Braunschweig tedesca hanno dimostrato che la modifica attenta dei valori dei pixel delle foto digitali puรฒ trasformarle in un’immagine completamente diversa quando vengono ridimensionate.

Ciรฒ che preoccupa sono le implicazioni che queste modifiche possono avere per gli algoritmi di intelligenza artificiale.

Intermezzo promozionale ... continua la lettura dopo il box:

Gli attacchi contraddittori di ridimensionamento delle immagini sfruttano gli algoritmi di ridimensionamento delle immagini per modificare l’aspetto di un’immagine quando viene ridotta.

Gli attori malintenzionati possono utilizzare questa tecnica di ridimensionamento delle immagini come trampolino di lancio per attacchi avversari contro iย modelli di apprendimento automaticoย , gli algoritmi di intelligenza artificiale utilizzati nelleย attivitร  diย visioneย artificialeย come il riconoscimento facciale e il rilevamento di oggetti.ย L’apprendimento automatico antagonisticoย รจ una classe di tecniche di manipolazione dei dati che causano cambiamenti nel comportamento degli algoritmi di intelligenza artificiale mentre passano inosservati agli esseri umani.

In unย documentoย presentato all’Usenix Security Symposium di quest’anno, i ricercatori della TU Braunschweig forniscono una revisione approfondita della messa in scena e della prevenzione degli attacchi di ridimensionamento delle immagini contro i sistemi di apprendimento automatico.ย I loro risultati ci ricordano che dobbiamo ancora scoprire molte delle sfaccettature nascoste –ย e delle minacceย – degli algoritmi di intelligenza artificiale che stanno diventando sempre piรน importanti nella nostra vita quotidiana.

Adversarial image-scaling
Quando vengono addestrati su molti esempi, i modelli di apprendimento automatico creano rappresentazioni matematiche delle somiglianze tra classi diverse. Ad esempio, se si allena un algoritmo di apprendimento automatico per rilevare la differenza tra cani e gatti, tenterร  di creare un modello statistico in grado di dire se i pixel in una nuova immagine sono piรน simili a quelli che si trovano nelle immagini del cane o del gatto. (I dettagli variano tra i diversi tipi di algoritmi di apprendimento automatico, ma l’idea di base รจ la stessa.)

Il problema รจ che il modo in cui questi algoritmi di intelligenza artificiale imparano a distinguere tra oggetti diversi รจ diverso da come funziona la visione umana.ย La maggior parte degli attacchi avversari sfrutta questa differenza per creare piccole modifiche che rimangono impercettibili all’occhio umano mentre cambiano l’output del sistema di apprendimento automatico.ย Ad esempio, nell’immagine seguente, l’aggiunta di uno strato di rumore accuratamente realizzato farร  sรฌ che un notoย algoritmo di apprendimento profondoย confonda il panda per un gibbone.ย All’occhio umano, sia l’immagine destra che quella sinistra sembrano essere lo stesso panda.

L’aggiunta di uno strato di rumore all’immagine del panda a sinistra la trasforma in un esempio di contraddittorio

Ma mentre i classici attacchi avversari sfruttano le peculiaritร  nel funzionamento interno dell’algoritmo di intelligenza artificiale, gli attacchi di ridimensionamento delle immagini si concentrano sulla fase di pre-elaborazione della pipeline di apprendimento automatico (ci arriveremo tra un po ‘).ย Questo รจ il motivo per cui i ricercatori hanno intitolato il loro articolo “Adversarial preprocessing”.

“Sebbene un ampio corpo di ricerca abbia studiato gli attacchi contro gli algoritmi di apprendimento, le vulnerabilitร  nella preelaborazione per l’apprendimento automatico hanno ricevuto finora poca attenzione”, scrivono i ricercatori nel loro articolo.

In che modo gli attacchi di ridimensionamento delle immagini compromettono i modelli di apprendimento automatico
Ogni algoritmo di machine learning per l’elaborazione delle immagini ha una serie di requisiti per i suoi dati di input.ย Questi requisiti di solito includono una dimensione specifica per l’immagine (ad esempio, 299 x 299 pixel), ma potrebbero anche essere inclusi altri fattori come il numero di canali di colore (RGB, scala di grigi) e la profonditร  del colore (1 bit, 8 bit, ecc.) essere coinvolto.

Sia che tu stia addestrando un modello di apprendimento automatico o che lo utilizzi per inferenza (classificazione, rilevamento di oggetti, ecc.), Dovrai pre-elaborare la tua immagine per adattarla ai requisiti di input dell’IA.ย Sulla base dei requisiti che abbiamo appena visto, possiamo presumere che la preelaborazione di solito richieda il ridimensionamento dell’immagine alla giusta dimensione.ย E, come di solito accade con il software, quando gli hacker malintenzionati sanno come funziona un programma (o almeno una parte di esso), cercheranno di trovare modi per sfruttarlo a proprio vantaggio.

La maggior parte dei modelli di machine learning per l’elaborazione delle immagini richiede che l’immagine di input venga ridotta a una dimensione specifica.

รˆ qui che entra in gioco l’attacco di ridimensionamento dell’immagine.

L’idea chiave alla base dell’attacco di ridimensionamento dell’immagine รจ sfruttare il modo in cui funzionano gli algoritmi di ridimensionamento per modificare l’aspetto dell’immagine di input durante la fase di pre-elaborazione.ย E di fatto, la maggior parte delle librerie di machine learning e deep learning utilizza alcuni algoritmi di ridimensionamento ben noti e documentati.ย La maggior parte di questi algoritmi sono gli stessi che trovi nelle app di modifica delle immagini come Photoshop, come il vicino piรน vicino e l’interpolazione bilineare.ย Ciรฒ rende molto piรน semplice per un utente malintenzionato progettare un exploit che funzioni contemporaneamente su molti algoritmi di apprendimento automatico.

Quando le immagini vengono ridimensionate, ogni pixel dell’immagine ridimensionata รจ una combinazione dei valori di un blocco di pixel nell’immagine sorgente.ย La funzione matematica che esegue la trasformazione รจ chiamata “kernel”.ย Tuttavia, non tutti i pixel nel blocco sorgente contribuiscono allo stesso modo nel kernel (altrimenti, l’immagine ridimensionata diventerebbe troppo sfocata).ย Nella maggior parte degli algoritmi, il kernel dร  un peso maggiore ai pixel che sono piรน vicini al centro del blocco sorgente.

I kernel di ridimensionamento dell’immagine pagano di piรน attributo un peso maggiore ai pixel piรน vicini al centro.

Nella preelaborazione del contraddittorio, l’aggressore acquisisce un’immagine e apporta modifiche ai valori dei pixel nelle posizioni corrette.ย Quando l’immagine passa attraverso l’algoritmo di ridimensionamento, si trasforma nell’immagine di destinazione.ย Infine, l’apprendimento automatico elabora l’immagine modificata.

Quindi, fondamentalmente, quello che vedi รจ l’immagine di origine.ย Ma ciรฒ che vede il modello di machine learning รจ l’immagine di destinazione.

La sfida principale nell’attacco al ridimensionamento delle immagini รจ applicare le modifiche in modo che rimangano impercettibili all’occhio umano producendo il risultato desiderato quando vengono ridimensionate.

Un attacco di ridimensionamento dell’immagine avversario nasconde i pixel dell’immagine di destinazione nell’immagine di origine in un modo che un ridimensionamento risulterร  nell’immagine di destinazione.

Quando attacca un modello di apprendimento automatico, l’aggressore deve conoscere il tipo di algoritmo di ridimensionamento utilizzato e la dimensione del kernel.ย Dato che la maggior parte delle librerie di machine learning ha poche opzioni di ridimensionamento, i ricercatori hanno scoperto che un utente malintenzionato richiede solo pochi tentativi per trovare la configurazione corretta.

Nei commenti aย TechTalks,ย Pin-Yu Chen, chief scientist presso IBM Research (non tra gli autori dell’articolo), ha confrontato il ridimensionamento delle immagini del contraddittorio con la steganografia, dove un messaggio (qui l’immagine ridotta) รจ incorporato nell’immagine di origine, e puรฒ essere decodificato solo dall’algoritmo di riduzione della scala.

“Sono curioso di vedere se l’attacco puรฒ essere agnostico anche per gli algoritmi di ridimensionamento”, afferma Chen, autore di diversi articoli sull’apprendimento automatico antagonistico.ย “Ma sulla base del successo di perturbazioni universali (a diversi algoritmi), penso che anche un attacco universale di ridimensionamento dell’immagine sia plausibile”.

Esempi reali di attacchi di ridimensionamento delle immagini
Esistono fondamentalmente due scenari per attacchi di ridimensionamento delle immagini contro algoritmi di apprendimento automatico.ย Un tipo di attacco consiste nel creare esempi contraddittori che causano false previsioni in un algoritmo di apprendimento automatico addestrato.ย Ad esempio, come mostrato negli esempi precedenti, un attacco di ridimensionamento delle immagini puรฒ far sรฌ che un algoritmo di apprendimento automatico classifichi un gatto come un cane o una teiera come un gatto.

Ma forse la minaccia maggiore del ridimensionamento delle immagini รจ rappresentata dagli attacchi di “avvelenamento dei dati”, sottolineano i ricercatori dell’IA nel loro articolo.

L’avvelenamento dei dati รจ un tipo di attacco avversario messo in scena durante la fase di addestramento, quando un modello di apprendimento automatico regola i suoi parametri sui pixel di migliaia e milioni di immagini. Se un utente malintenzionato ha accesso e puรฒ manomettere il set di dati utilizzato nella formazione, sarร  in grado di far sรฌ che il modello di apprendimento automatico si formi su esempi di contraddittorio. Questo creaย una backdoor nell’algoritmo AIย che l’attaccante puรฒ utilizzare in seguito

Ad esempio, si consideri un’azienda che sta creando un sistema di riconoscimento facciale per controllare l’accesso nei luoghi in cui gestisce materiale sensibile. A tal fine, gli ingegneri dell’azienda stanno addestrando unaย rete neurale convoluzionaleย per rilevare i volti dei dipendenti autorizzati. Mentre il team sta raccogliendo il set di dati di formazione, un dipendente malintenzionato fa scivolare alcune immagini manomesse che nascondono la foto segnaletica di un personale non autorizzato.

Dopo aver addestrato la rete neurale, gli ingegneri testano l’IA per assicurarsi che rilevi correttamente i dipendenti autorizzati.ย Controllano anche alcune immagini casuali per assicurarsi che l’algoritmo AI non dia per errore l’accesso a una persona non autorizzata.ย Ma a meno che non controllino esplicitamente il modello di apprendimento automatico sul volto della persona inclusa nell’attacco avversario, non scopriranno il suo brutto segreto.

Gli attacchi di ridimensionamento delle immagini contraddittori possono nascondere un volto bersaglio in un’immagine sorgente senza allertare un osservatore umano.

Ecco un altro esempio: supponiamo che tu stia addestrando una rete neurale sulle immagini dei segnali di stop per unย uso successivo in un’auto a guida autonomaย .ย Un malintenzionato puรฒ avvelenare i dati di addestramento per includere immagini patchate dei segnali di stop.ย Queste sono chiamate “patch del contraddittorio”.ย Dopo l’addestramento, la rete neurale assocerร  qualsiasi segno con quella patch con la classe di destinazione.ย Quindi, ad esempio, puรฒ far sรฌ che un’auto a guida autonoma tratti un segnale casuale come un segnale di stop o, peggio, classifichi erroneamente e aggiri un vero segnale di stop.

In questo attacco di ridimensionamento dell’immagine, una patch antagonista รจ incorporata nell’immagine di un segnale di stop.

Attacchi con ridimensionamento delle immagini rispetto ad altre tecniche di apprendimento automatico dell’avversario
Nel loro articolo, i ricercatori di TU Braunschweig sottolineano che gli attacchi di ridimensionamento delle immagini sono una minaccia particolarmente seria per l’IA perchรฉ la maggior parte dei modelli di machine learning di visione artificiale utilizza uno dei pochi algoritmi di ridimensionamento delle immagini popolari.ย Ciรฒ rende gli attacchi di ridimensionamento delle immagini “indipendenti dal modello”, il che significa che sono insensibili al tipo di algoritmo di intelligenza artificiale che prendono di mira e un singolo schema di attacco puรฒ essere applicato a un’intera gamma di algoritmi di apprendimento automatico.

Al contrario, gli esempi classici di contraddittorio sono progettati per ogni modello di apprendimento automatico.ย E se il modello preso di mira subisce una leggera modifica, l’attacco potrebbe non essere piรน valido.

“Rispetto agli attacchi avversari white-box che richiedono una conoscenza completa e la piena trasparenza del modello di destinazione, l’attacco di ridimensionamento delle immagini richiede meno informazioni (deve solo sapere quale algoritmo di ridimensionamento viene utilizzato nel sistema di destinazione), quindi รจ un metodo piรน pratico ( gray-box) in termini di conoscenza dell’aggressore “, ha detto Chen.ย “Tuttavia, รจ ancora meno pratico degliย attacchi avversari black-boxย che non richiedono alcuna conoscenza [del modello di apprendimento automatico di destinazione].”

Gli attacchi avversari a scatola nera sono tecniche avanzate che sviluppano perturbazioni antagoniste semplicemente osservando i valori di output di un modello di apprendimento automatico.

Chen riconosce che l’attacco a ridimensionamento delle immagini รจ davvero un modo efficiente per generare esempi contraddittori.ย Ma aggiunge che non tutti i sistemi di apprendimento automatico hanno un’operazione di ridimensionamento.ย “Questo tipo di attacco รจ limitato ai modelli basati su immagini con operazioni di ridimensionamento, mentre gli esempi contraddittori possono esistere in altri modelli di immagini senza ridimensionamento e altre modalitร  di dati”, afferma.ย L’apprendimento automatico del contraddittorio si applica anche aiย datiย audioย e diย testoย .

Protezione dei modelli di machine learning dagli attacchi di ridimensionamento delle immagini

Il lato positivo รจ che la semplicitร  del ridimensionamento delle immagini contraddittorio rende anche possibile esaminare meglio gli schemi di attacco e sviluppare tecniche in grado di proteggere i sistemi di apprendimento automatico.

“Sebbene gli attacchi contro gli algoritmi di apprendimento siano ancora difficili da analizzare a causa della complessitร  dei modelli di apprendimento, la struttura ben definita degli algoritmi di ridimensionamento ci consente di analizzare completamente gli attacchi di ridimensionamento e sviluppare difese efficaci”, scrivono i ricercatori della TU Braunschweig.

Nel loro articolo, i ricercatori forniscono diversi metodi per contrastare gli attacchi avversari di ridimensionamento delle immagini, inclusi algoritmi di ridimensionamento che attenuano i pesi dei kernel e filtri di ricostruzione dell’immagine che possono annullare l’effetto dei valori dei pixel alterati.

Le tecniche di ricostruzione delle immagini riducono la probabilitร  di attacchi di ridimensionamento delle immagini in contraddittorio sostituendo i pixel sensibili con i valori dell’area circostante.

“Il nostro lavoro fornisce nuove informazioni sulla sicurezza della preelaborazione nell’apprendimento automatico”, scrivono i ricercatori.ย “Riteniamo che sia necessario un ulteriore lavoro per identificare ed escludere altre vulnerabilitร  nelle diverse fasi dell’elaborazione dei dati per rafforzare la sicurezza dei sistemi basati sull’apprendimento”.

Rendere gli algoritmi di machine learning robusti contro gli attacchi del contraddittorio รจ diventata un’area di ricerca attiva negli ultimi anni.ย Chen di IBM afferma: โ€œOltre agli attacchi, sono stati utilizzati anche esempi di contraddittorio per l’addestramento del modello per rafforzare la robustezza del modello.ย Ai fini dell’addestramento in contraddittorio (addestramento con esempi in contraddittorio), รจ utile avere diversi tipi di attacchi in contraddittorio “.

Questo articolo รจ stato originariamente pubblicato daย Ben Dicksonย suย TechTalksย , una pubblicazione che esamina le tendenze della tecnologia, il modo in cui influenzano il modo in cui viviamo e facciamo affari e i problemi che risolvono.ย Ma discutiamo anche del lato malvagio della tecnologia, delle implicazioni piรน oscure della nuova tecnologia e di ciรฒ a cui dobbiamo prestare attenzione.ย Puoi leggere l’articolo originaleย quiย .

Fonte : https://thenextweb.com/neural/2020/08/13/image-scaling-attacks-highlight-dangers-of-adversarial-machine-learning-syndication/