这种对抗算法使人脸识别算法失败，并且可以抵抗微信和微博照片压缩

本文在AI New Media Qubit（公共帐户ID：QbitAI）的授权下转载。如需转载，请联系来源。
如上本书所述，对抗性攻击的概念现已应用于隐私保护领域：通过添加肉眼看不见的对抗性噪声，人脸识别AI可以被蒙蔽以达到保护隐私的效果。但是，一些急切的同学提出了这个问题。
各种应用程序基本上可以重新压缩图片。这样的照片“隐形斗篷”不会因为这个而变得无效吗？最近，武汉大学国家网络安全学院与Adobe合作进行了研究，并提出了适用于任意压缩方法的抗压缩对抗图像生成方案。
换句话说，这是照片“隐形斗篷”。具有抗压性。
即使已处理的照片在社交平台中通过各种压缩算法进行了修改，它们仍然可以保持对抗性。例如，在微博上可以达到90％以上的成功率。
防压照片“隐形斗篷”一般而言，图像压缩方法会影响干扰较小的对抗示例。尤其是现在，由于不同社交平台使用的压缩方法都是黑盒算法，因此压缩方法的变化也给“压力抵抗”带来了相当大的挑战。
对抗的例子。王志博教授指出，当压缩算法未知或不可微时，生成抗压缩对抗图像非常具有挑战性。
为了解决这些问题，本研究提出了一种ComReAdv，一种抗压对抗的框架。具体来说，该程序分为三个步骤。
步骤1：建立训练资料集。通过上传/下载以建立训练数据集，获取大量原始图像和相应的压缩图像。
步骤2：大约压缩使用原始图像压缩图像对形成的数据集执行监督学习。研究人员设计了一种基于编码-解码的压缩近似模型，称为ComModel。
该模型用于学习如何像黑盒压缩算法一样转换图像以实现近似压缩。其中，编码器从原始图像中提取多尺度特征，例如固有纹理和空间内容特征。
相应地，解码器将压缩后的对应图像从粗糙重构为精细，以模仿真实压缩图像的压缩效果。通过最小化重建图像和实际压缩图像之间的平均绝对误差（MAE），可以将训练后的ComModel用作社交平台上未知压缩算法的可微近似。
第三步：抗压对抗图像的生成以构造一个优化目标，将ComModel集成到对抗图像的优化过程中，并使用基于动量的迭代方法（MI-FGSM）进行优化，最终使所生成的对抗图像具有更好的抗性。耐压缩。
研究人员表示，该程序不需要任何压缩算法细节，仅基于适当数量的原始图像和压缩图像数据集，就可以训练未知压缩算法的近似形式，并进一步生成相应的抗压缩性对抗图像，因此，该程序可以应用于所有社交平台，以保护用户隐私。实验结果研究团队进行了本地模拟测试（JPEG，JPEG2000，WEBP）和真实的社交平台（Facebook，微博，豆瓣）测试。
本地模拟测试的结果表明，ComReAdv方法在“抗压缩性”方面优于SOTA方法，并且可以有效地抵抗不同的压缩方法并且具有可扩展性。真实社交平台的测试结果还表明，该方法可以显着提高对抗图像的抗压缩能力。
经过不同的压缩方法压缩后，误导性的Resnet50分类模型的成功率达到了最高水平，在微博上成功率超过90％。关于作者王志博是第一篇论文，是武汉大学国家网络安全学院的教授兼博士生导师。
王志波教授毕业于浙江大学，获得自动化学士学位，并获得博士学位。 2014年获得田纳西大学计算机工程学博士学位。
当前的研究方向包括物联网，移动感知和计算，大数据，网络安全和隐私保护以及人工智能安全。关于这项研究，王志博教授