画像ハッシュ関数に対する敵対的衝突攻撃
Adversarial collision attacks on image hashing functions
知覚アルゴリズムを使用して画像をハッシュすることは、重複画像検出の問題を解決するための一般的なアプローチです。ただし、知覚画像ハッシュアルゴリズムは微分可能であるため、勾配ベースの敵対的攻撃に対して脆弱です。画像を変更して無関係なハッシュを生成できるだけでなく、ソース画像とターゲット画像の間の正確な画像ハッシュの衝突を、わずかな敵対的摂動によって生成できることを示します。ホワイトボックス設定では、これらの衝突は、ほぼすべての画像ペアとハッシュタイプ(深いハッシュと学習されていないハッシュの両方を含む)にわたって複製できます。さらに、攻撃者はハッシュ関数の出力以外のポイントを攻撃することで、特定のアルゴリズムの詳細を知る必要がなくなり、異なるハッシュサイズまたはモデルアーキテクチャ間で転送される衝突が発生する可能性があります。これらの手法を使用すると、攻撃者は重複画像検出サービスの画像ルックアップテーブルを汚染し、未定義または望ましくない動作を引き起こす可能性があります。最後に、勾配ベースの画像ハッシュ攻撃に対するいくつかの潜在的な緩和策を提供します。
Hashing images with a perceptual algorithm is a common approach to solving duplicate image detection problems. However, perceptual image hashing algorithms are differentiable, and are thus vulnerable to gradient-based adversarial attacks. We demonstrate that not only is it possible to modify an image to produce an unrelated hash, but an exact image hash collision between a source and target image can be produced via minuscule adversarial perturbations. In a white box setting, these collisions can be replicated across nearly every image pair and hash type (including both deep and non-learned hashes). Furthermore, by attacking points other than the output of a hashing function, an attacker can avoid having to know the details of a particular algorithm, resulting in collisions that transfer across different hash sizes or model architectures. Using these techniques, an adversary can poison the image lookup table of a duplicate image detection service, resulting in undefined or unwanted behavior. Finally, we offer several potential mitigations to gradient-based image hash attacks.
updated: Wed Nov 18 2020 18:59:02 GMT+0000 (UTC)
published: Wed Nov 18 2020 18:59:02 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト