论文 题目 : Ver para no creer : Ataques de camuflaje en algoritmos de escalado de imágenes
Fuente: 28 ° Simposio de seguridad de USENIX 2019
Enlace: https://www.usenix.org/conference/usenixsecurity19/presentation/xiao
Directorio de artículos
contenido principal:
El autor descubrió ** un riesgo de seguridad oculto en el proceso de procesamiento de imágenes y el ataque de transformación de la dimensión de la imagen. ** El atacante puede construir la imagen de ataque para provocar cambios de contenido y semánticos obvios de la imagen de entrada después de que cambie la dimensión de tamaño, lo que da como resultado la diferencia cognitiva entre humano y máquina, para lograr el efecto de ataque de engaño y detección de escape. A diferencia de las muestras adversas para modelos de aprendizaje profundo, este método de ataque no se limita a modelos específicos, ya que es una función necesaria para aplicaciones de visión por computadora basadas en aprendizaje profundo: función de escalado de imágenes, este paso es previo al entrenamiento / predicción del modelo de aprendizaje profundo , Entonces el ataque tiene un mayor impacto.
Para verificar la efectividad del método de ataque, el autor implementó con éxito ataques de engaño en múltiples aplicaciones de visión de IA creadas en marcos profundos populares como Caffe, Tensorflow y Torch. Además, el autor también examinó el impacto de este riesgo en los servicios visuales comerciales. Los resultados experimentales demuestran que incluso un sistema de caja negra aún puede obtener el algoritmo y los parámetros relacionados del objeto atacado a través de la estrategia de prueba y lanzar un ataque de transformación de dimensión de imagen. Después de las pruebas, se han encontrado riesgos similares en los servicios de inteligencia artificial en la nube y en los servicios de visión artificial proporcionados por proveedores internacionales como Microsoft Azure. Además, el autor también descubrió a través de experimentos que algunos navegadores convencionales, como Firefox y Microsoft Edge (antiguo) también tienen esta vulnerabilidad, pero Chrome no tiene este problema.
Proceso de ataque:
Innovación:
① Este artículo revela los peligros de seguridad ocultos en el proceso de zoom de imágenes en aplicaciones de visión por computadora. Hemos verificado y verificado los algoritmos de escalado de imágenes que se utilizan comúnmente en los marcos de aprendizaje profundo populares actuales. Los resultados muestran que casi todas las aplicaciones de imágenes basadas en el marco de DL tienen riesgos de seguridad.
② Este artículo formaliza el ataque de escalado como un problema de optimización constreñido, y da el método de implementación correspondiente, que da cuenta de la generación automática y eficiente de imágenes de camuflaje.
Además, el autor demuestra que el ataque propuesto sigue siendo efectivo contra los servicios de visión en la nube, incluso si los detalles de implementación y los parámetros del algoritmo de escalado de imágenes de estos servicios en la nube están ocultos para los usuarios (pero las imágenes utilizadas por estos proveedores de servicios en la nube se pueden obtener a través de pruebas relacionadas Parámetros relacionados del algoritmo de escalado).
④Para eliminar las amenazas provocadas por los ataques de escalamiento, el autor propone varias estrategias de defensa potenciales desde dos aspectos: prevención y detección de ataques.
Posibles aplicaciones de ataque:
①Envenenamiento de datos: al inyectar una imagen que ha sido manipulada con un ataque de escala en un conjunto de datos públicos (como ImageNet), por ejemplo, coloque una imagen que parezca una oveja, y la etiqueta también es una oveja, pero el lobo real es en realidad un lobo después de escalar. Oculte más los ataques de envenenamiento de datos, de modo que los usuarios del conjunto de datos no puedan descubrir esta contaminación de datos.
②Evasión de revisión de contenido. La revisión de contenido es una de las aplicaciones de visión por computadora más utilizadas. Muchos proveedores brindan servicios de filtrado de contenido para evitar contenido ofensivo. Los atacantes pueden usar ataques de zoom para evitar este contenido y difundir imágenes inapropiadas, lo que puede causar serios problemas en las comunidades en línea. Por ejemplo, supongamos que un atacante quiere anunciar drogas ilegales a los usuarios del iPhone XS. Los atacantes pueden usar un ataque de zoom para crear un efecto de camuflaje, de modo que el resultado del zoom en el navegador del iPhone XS sea la imagen de la droga esperada, mientras que la imagen de tamaño original contiene contenido benigno.
③Utilice la inconsistencia entre pantallas para cometer fraude. Los atacantes pueden utilizar ataques de escala para crear contratos digitales engañosos. Un atacante puede crear un documento de imagen que contenga un contrato escaneado, pero presentar contenido diferente cuando se amplía a una escala diferente. Entonces, el atacante puede permitir que ambas partes compartan el mismo documento. Si utilizan diferentes navegadores, el contenido mostrado será diferente. Esta inconsistencia puede conducir a un posible fraude financiero.
Prevención y detección:
Prevención:
①Filtra la entrada que no coincide con la entrada del modelo DL (pero este método es muy inhumano en la práctica y la entrada del usuario es aleatoria)
② Antes de realizar el escalado de tamaño, realice algún otro preprocesamiento, como filtrado, recorte, etc. mencionado anteriormente
Detección:
Detecte cambios en las funciones de entrada durante el zoom, como histogramas de color y distribución de dispersión de color. Si es una imagen que no ha sido manipulada, la distribución de su entrada y salida ampliada en las dos imágenes es básicamente la misma. Específico como se muestra a continuación
[Error en la transferencia de la imagen del enlace externo. El sitio de origen puede tener un mecanismo de enlace anti-sanguijuela. Se recomienda guardar la imagen y subirla directamente (img-FSFf8dX3-1601566091158) (https://pic.downk.cc/item/5f5cacc0160a154a672726ab.jpg)]
Desventajas:
Para los ataques de caja negra (es decir, la mayoría de las situaciones en combate real), es decir, para aquellas aplicaciones de CV basadas en servicios en la nube, el algoritmo de escalado del objetivo y el tamaño de entrada son desconocidos, y es necesario construir una serie de imágenes de secuencia de detección para adivinar El algoritmo de escalado específico y el tamaño de entrada. (Aunque este artículo propone pasos para especular sobre el algoritmo de escalado específico y el tamaño de entrada), esto conducirá a una disminución en la tasa de éxito del ataque, un aumento de la incertidumbre y un aumento del costo del ataque. Y para este tipo de aplicación de CV, el preprocesamiento de la imagen de entrada no solo puede consistir en escalar el tamaño de la imagen, sino también en el recorte, filtrado, transformación afín, transformación de color y otras operaciones de preprocesamiento de la imagen. Si estos pasos preceden al escalado del tamaño de la imagen, es probable que se reduzca gravemente el éxito del ataque de escalado de la imagen.
para resumir:
El algoritmo de ataque calcula esencialmente un par de matrices de coeficientes de forma forzada, de modo que la imagen de entrada se multiplica por el par de matrices de coeficientes, y la imagen de destino que el atacante desea se puede generar a través del algoritmo de escalado. En realidad, es una operación inversa del algoritmo de escalado. El principio de este ataque no es difícil, pero se puede utilizar ampliamente en varias aplicaciones de procesamiento de imágenes, incluidas aplicaciones de CV locales, API de CV de servicios en la nube e incluso navegadores web convencionales actuales. Cualquier aplicación que pueda utilizar la función de zoom de imagen es posible. Sufre este ataque. Aunque el ataque necesita comprender los detalles específicos de la función de escalado y el tamaño de entrada para tener una tasa de éxito de ataque eficiente, y tratar de no interferir con otros pasos de preprocesamiento de imágenes, es decir, la eficiencia de este ataque en el entorno real puede no ser Demasiado alto, pero tiene un gran significado esclarecedor para pensar en la seguridad del modelo CV y reducir los riesgos de seguridad de las aplicaciones de IA, especialmente para las aplicaciones de imágenes, ya sea que la tubería general esté configurada según las especificaciones.
Todo, para reducir los riesgos de seguridad de las aplicaciones de inteligencia artificial, especialmente para las aplicaciones de imagen, es de gran importancia esclarecedora si la canalización general se establece en un estándar.