面向数据保护的引导式可擦除对抗攻击

图像识别、语义分割和自然语言处理等人工智能领域广泛部署机器学习来进行自动决策， 因此了解、分析和掌握机器学习中的潜在漏洞（包括模型漏洞、数据可信度和数据丢失）显得尤其重要。除此之外，深度神经网络 （DNN）强大的自主学习能力导致了其数据依赖性。因此，花费大量时间构建的高质量的标记数据集，已经逐渐成为科研机构、企业甚至国家的核心数字资产。然而，这些具有高度科研、商业和安全价值的数据集，正面临着严峻的数据保护威胁。

基于此，本文的重点是在实际数据共享场景下保护数据。作者将此场景表示为保护-重建-识别（PRI） 过程。 P：数据所有者将数据上传到互联网，但同时他们希望保护数据免遭未经授权的使用；R：当双方达成协议时，数据所有者将密钥传输给下载者。在这个过程中，识别信息被嵌入到重建的数据中，以防止未经授权的共享。值得注意的是，下载者不会主动将识别信息嵌入到重建的数据中；I：提取的信息用于在发生非法数据共享时识别泄密者。相关图描述如图1所示。

图1. 数据共享模式：数据所有者将数据上传给不可信的第三方，下载者购买密钥重建数据。未经授权的数据共享应受到数据所有者的监控。

这样的过程面临两个关键的安全问题：（1）未知的第三方可能会引发数据泄露问题、数据篡改问题和未经批准的数据滥用问题；（2）授权下载者共享非权威密钥，包括泄露部分重建数据的情况。

为了解决这些问题，作者提出了一种新设计的双流架构引导式可擦除对抗攻击 GEAA，用于在数据共享场景下保护数据。GEAA 的详细程序如图2所示。

图2. GEAA 框架，包括双流对抗攻击、去噪重建和水印提取。 每个子任务都解决了图 1 中提到的一个问题，即不可信第三方的威胁、在去噪数据上训练网络时的网络欠拟合以及恶意数据共享。

GEAA 包含几个核心竞争元素。双流对抗性攻击考虑了来自不受信任的第三方的未知威胁。去噪重构在重构数据分布时避免了网络欠拟合。水印提取解决了已购买密钥的用户恶意共享数据的问题。

具体来说，双流对抗攻击模块旨在通过破坏初始训练数据分布来降低数据库的可用性。数据所有者将“不可提取的各种扰动”注入训练集中的所有样本，并将这些扰动数据上传给第三方。上传受干扰的数据仅供查看，解决第三方无法信任的问题，即数据泄漏和未经批准的数据滥用。可视化数据有助于用户了解数据集的具体信息。数据篡改问题可以通过比较本地数据和下载数据来检测。

去噪重建模块由数据分布重建和水印嵌入组成。引入退火优化策略来重建训练数据分布，同时保持训练