圖像縮放攻擊

對(duì)于輸入數(shù)據(jù)來(lái)說，每一個(gè)應(yīng)用于圖像處理方向的機(jī)器學(xué)習(xí)算法都有一系列的要求。這些要求主要包括圖像的特定大小，但其他因素（如顏色通道的數(shù)量和顏色深度）也可能會(huì)被涉及到。

無(wú)論你是在訓(xùn)練一個(gè)機(jī)器學(xué)習(xí)模型，還是用該模型進(jìn)行推理（分類、目標(biāo)檢測(cè)等），都需要對(duì)輸入圖像進(jìn)行預(yù)處理以滿足 AI 的輸入要求。根據(jù)以上提及的所有需求，我們可以假定預(yù)處理過程通常需要將圖像縮放到合適的大小。并且，就像我們通常在軟件中遇到的情況一樣，當(dāng)黑客知道一個(gè)程序（或者至少是程序的一部分）工作過程的時(shí)候，他們會(huì)試圖找到方法修改程序來(lái)謀取私利。而這就是圖像縮放攻擊發(fā)揮作用的地方。

圖像縮放攻擊的關(guān)鍵思想是在預(yù)處理階段通過調(diào)整圖像像素大小來(lái)改變輸入圖像的外觀。事實(shí)上，機(jī)器學(xué)習(xí)和深度學(xué)習(xí)大多都使用一些眾所周知且有文檔記載的縮放算法。這些算法中的大多數(shù)（比如最近鄰插值和雙線性插值）都和 Photoshop 等用于圖像編輯的應(yīng)用程序使用的算法一樣，這使得攻擊者更容易設(shè)計(jì)出同時(shí)適用于多種機(jī)器學(xué)習(xí)算法的漏洞。

當(dāng)圖像被縮小時(shí)，進(jìn)行縮放后的圖像的每個(gè)像素都是源圖像中像素塊值的組合，其中執(zhí)行這種轉(zhuǎn)換的數(shù)學(xué)函數(shù)稱為“核函數(shù)”。然而，并不是源像素塊中的所有像素在核函數(shù)中的貢獻(xiàn)是相等的（如果相等會(huì)使得調(diào)整后的圖像會(huì)變得太模糊）。因此，在大多數(shù)算法中，核函數(shù)將更大的權(quán)重賦給更接近源像素塊中間的像素。

在對(duì)抗性預(yù)處理中，攻擊者獲取一幅圖像，并在正確的位置對(duì)像素值進(jìn)行適當(dāng)調(diào)整。當(dāng)圖像經(jīng)過縮放算法后，它會(huì)變成目標(biāo)圖像。最后，再用機(jī)器學(xué)習(xí)算法處理修改后的圖像�；�本上，人眼看到的是源圖像，而機(jī)器學(xué)習(xí)模型看到的是目標(biāo)圖像。

當(dāng)攻擊一個(gè)機(jī)器學(xué)習(xí)模型時(shí)，攻擊者必須知道所使用的大小調(diào)整算法的類型和核函數(shù)的核大小。由于大多數(shù)機(jī)器學(xué)習(xí)庫(kù)中只有很少的縮放選項(xiàng)，因此研究人員通過實(shí)驗(yàn)發(fā)現(xiàn)攻擊者只需嘗試幾次就能得到正確的參數(shù)設(shè)置。

在 TechTalks 的評(píng)論中，IBM Research 的首席科學(xué)家 Chen Pin－Yu 將圖像縮放與隱寫術(shù)（steganography）進(jìn)行了比較，后者將消息（這里是縮小后的圖像）嵌入源圖像中，只能采用縮小后的算法進(jìn)行解碼。

寫過幾篇關(guān)于對(duì)抗性機(jī)器學(xué)習(xí)論文的 Chen 說：“我很好奇這種攻擊是否也與圖像縮放算法無(wú)關(guān)。但基于通用攝動(dòng)的成功，我認(rèn)為通用圖像縮放攻擊也是可行的。”

圖像縮放攻擊示例

對(duì)于機(jī)器學(xué)習(xí)算法方向的圖像縮放攻擊主要有兩種情況。其中一種攻擊類型是創(chuàng)建在經(jīng)過訓(xùn)練后的機(jī)器學(xué)習(xí)算法中產(chǎn)生錯(cuò)誤預(yù)測(cè)的對(duì)抗性實(shí)例。但研究人員在他們的論文中指出，或許“數(shù)據(jù)中毒”攻擊才是圖像縮放的更大威脅。

而“數(shù)據(jù)中毒”是一種對(duì)抗性攻擊，在當(dāng)機(jī)器學(xué)習(xí)模型調(diào)整其參數(shù)到圖像的成千上萬(wàn)像素這一訓(xùn)練階段時(shí)發(fā)生。如果攻擊者能夠訪問并篡改訓(xùn)練中使用的數(shù)據(jù)集，就能夠讓機(jī)器學(xué)習(xí)模型在對(duì)抗性示例上進(jìn)行訓(xùn)練。

示例一：

假設(shè)有一家公司正在開發(fā)一種面部識(shí)別系統(tǒng)，以控制在處理敏感材料區(qū)域的訪問權(quán)限。為了做到這一點(diǎn)，該公司的工程師們正在訓(xùn)練一個(gè)卷積神經(jīng)網(wǎng)絡(luò)來(lái)檢測(cè)授權(quán)員工的臉部。

當(dāng)團(tuán)隊(duì)正在收集訓(xùn)練數(shù)據(jù)集時(shí)，一個(gè)有意破壞的員工偷偷地將一些篡改過的圖像隱藏在未經(jīng)授權(quán)的員工的面部照片中。在訓(xùn)練了神經(jīng)網(wǎng)絡(luò)之后，工程師們?yōu)榱舜_保系統(tǒng)能正確地檢測(cè)到被授權(quán)的員工，對(duì)其進(jìn)行測(cè)試。他們還會(huì)檢查一些隨機(jī)圖像，以確保 AI 算法不會(huì)將訪問權(quán)限錯(cuò)誤地授予給非授權(quán)人員。

但這就存在一個(gè)問題，只有他們明確地檢查對(duì)抗性攻擊中被攻擊者臉部的機(jī)器學(xué)習(xí)模型，他們才會(huì)發(fā)現(xiàn)被惡意篡改的數(shù)據(jù)。