0. 背景介紹

在深度學習領(lǐng)域，網(wǎng)絡(luò)上充斥著大量可自由訪問的數(shù)據(jù)，其中包括像ImageNet和MS-Celeb-1M數(shù)據(jù)集這樣的關(guān)鍵資源。然而，這些數(shù)據(jù)可能攜帶未經(jīng)授權(quán)收集的個人信息，引發(fā)了公眾對隱私的擔憂。人們擔心，私人數(shù)據(jù)可能會在沒有所有者授權(quán)的情況下被不當?shù)赜糜跇?gòu)建商業(yè)模型

這一問題凸顯了在我們追求科技創(chuàng)新和性能提升的同時，更需要關(guān)注數(shù)據(jù)隱私和合理使用的問題。為了解決這些難題，越來越多的研究力量正在集中于使數(shù)據(jù)無法被濫用的方向。這些方法采用了一些巧妙的手段，比如向圖像中引入難以察覺的“捷徑”噪聲。通過這種方式，深度學習模型不再僅僅學習有用的語義信息，而是開始學習噪聲和標簽之間的對應(yīng)關(guān)系。因此，在這種數(shù)據(jù)上的訓練得到的模型，無法準確分類干凈的數(shù)據(jù)，有效地保護了用戶的隱私。這種巧妙的方法被稱為不可學習樣本（UE），也可稱之為可用性攻擊。

然而，隨著研究的深入，我們發(fā)現(xiàn)了在這種保護中的一個關(guān)鍵漏洞。如果無法利用的數(shù)據(jù)是唯一可訪問的數(shù)據(jù)，那么這種保護就會起效果。但現(xiàn)實情況卻并非總是如此。數(shù)據(jù)保護人員只能在他們自己的數(shù)據(jù)中添加“不可學習”的擾動，卻無法阻止未經(jīng)授權(quán)的用戶訪問其他來源的類似的未受保護數(shù)據(jù)。因此，通過研究新收集的未受保護數(shù)據(jù)，人們?nèi)匀豢梢匝芯渴鼙Ｗo示例的潛在分布。以人臉識別為例，雖然不可學習的樣本不能直接用于訓練分類器，但很容易收集到新的未受保護的人臉數(shù)據(jù)。只要新收集的未受保護數(shù)據(jù)與原始干凈數(shù)據(jù)之間有足夠的相似性，仍然有可能訓練出能夠成功對原始干凈數(shù)據(jù)進行分類的分類器。換句話說，未經(jīng)授權(quán)的用戶可以很容易地繞過數(shù)據(jù)保護，從新收集的未受保護數(shù)據(jù)中學習原始數(shù)據(jù)表示，即使這些數(shù)據(jù)可能規(guī)模很小，與干凈的數(shù)據(jù)不同，缺乏標簽注釋，并且單獨不適合訓練分類器。為了證明上述漏洞的存在，我們設(shè)計了一種新的方法，可以將不可學習的樣本轉(zhuǎn)化為可學習的樣本。

1. 方法

一個直接的解決方案是設(shè)計一個特定的訓練方案，可以在不可利用的數(shù)據(jù)上進行訓練。這是不太理想的，因為它只是對不可利用的數(shù)據(jù)進行分類，而沒有揭示潛在的干凈數(shù)據(jù)，即不可學習數(shù)據(jù)的未保護版本。

我們認為，最終的對策是通過將UE再次轉(zhuǎn)變?yōu)榭蓪W習的方式來推斷/暴露底層的干凈數(shù)據(jù)，這可能會導致進一步的未經(jīng)授權(quán)的利用，如標準訓練或表示學習。因此，理想的可學習的非授權(quán)數(shù)據(jù)應(yīng)該獨立于訓練方案之外，可以像原始訓練數(shù)據(jù)一樣正常使用。我們將可學習的未授權(quán)數(shù)據(jù)中的示例稱為可學習示例(LEs)。

受擴散模型在噪聲凈化和圖像生成中的強大功能的啟發(fā)，我們提出了一種基于擴散模型的新型凈化方法，用于生成可學習的示例。與常見的噪聲凈化(如對抗性凈化)假設(shè)訓練數(shù)據(jù)的可訪問性不同，在沒有訪問訓練數(shù)據(jù)的情況下訓練擴散模型對去除UE保護提出了關(guān)鍵挑戰(zhàn)，這是現(xiàn)有凈化方法尚未探索的。為了克服這一挑戰(zhàn)，獲得可學習示例背后的關(guān)鍵思想是從其他類似數(shù)據(jù)中學習一個可學習的數(shù)據(jù)流形，然后將不可學習的示例投射到該流形上。然而，學習到的數(shù)據(jù)流形通常與原始數(shù)據(jù)流形不同，導致凈化樣本與原始干凈樣本相比語義偏差。為了緩解這一問題，我們進一步提出了一種新的聯(lián)合條件擴散凈化方法，以捕獲從不可學習樣本到相應(yīng)的干凈樣本的映射。

我們首先向不可學習圖像中逐步注入一定量的高斯噪聲，直到它們的不可學習擾動被高斯噪聲淹沒。接下來，我們?yōu)槿ピ脒^程提供了一個新的聯(lián)合條件，在保持圖像語義的同時加快了去噪速度。聯(lián)合條件由不可學習樣本與其相應(yīng)去噪版本之間的像素距離和神經(jīng)感知距離參數(shù)化構(gòu)成。這是基于這樣的觀察，即不可學習的樣本通常與干凈樣本在像素距離上表現(xiàn)出很小的差異，而這種差異對人類視覺來說是難以察覺的。因此，通過最小化與不可學習樣本的視覺差異，降噪后的圖像應(yīng)該與原始樣本非常相似。

2. 結(jié)果與討論

我們在許多基準數(shù)據(jù)集上廣泛評估了我們在監(jiān)督和無監(jiān)督UE上的方法，并將其與現(xiàn)有的對抗方法進行了比較。結(jié)果表明，LE是唯一一種在監(jiān)督學習和無監(jiān)督學習下都保持有效性的方法，更重要的是，我們的LE不像現(xiàn)有的對策那樣與特定的訓練方案捆綁在一起，我們的可學習樣例是獨立的，可以作為原始的干凈的訓練數(shù)據(jù)正常使用。

令人驚訝的是，我們發(fā)現(xiàn)即使新收集的數(shù)據(jù)(用于訓練可學習的數(shù)據(jù)流形)和干凈的數(shù)據(jù)之間存在很大的分布差異，我們的方法仍然保持有效性。換句話說，訓練數(shù)據(jù)和收集的原始數(shù)據(jù)之間的分布可以是不同的，我們?nèi)匀豢梢詫⒉豢蓪W習的例子變成可學習的。

這無疑進一步加深了我們對UE保護脆弱性的擔憂，因為訓練數(shù)據(jù)和收集的原始數(shù)據(jù)之間的分布即使是不同的，我們?nèi)匀豢梢詫⒉豢蓪W習的樣本變成可學習的。

最后，我們做了消融實驗，說明了聯(lián)合條件凈化相比于直接應(yīng)用簡單擴散模型凈化的有效性。