- 論文名稱 --- Privacy-preserving Adversarial Facial Features
- 論文連結 --- https://arxiv.org/abs/2305.05391
- 論文出處 --- CVPR 2023
當前挑戰
人臉識別系統重建攻擊
在之前的文章中有提到,人臉辨識系統中使用者的特徵(feature, latent code)可能透過重建攻擊(Reconstruction attack)來還原出原始圖像或同一身分的人。主流的重建攻擊有兩類,分別是optimization-based與learning-based。
- Optimization-based: 攻擊者逐漸調整輸入圖像的像素,使提特徵提取器的輸出盡可能接近目標特徵,直到重建出與該特徵對應的面部圖像。
- Learning-based: 主要是使用反捲積神經網絡(D-CNN)訓練decoder,直接用特徵去重建面部圖像。
| 方法 | 原理 | 缺點 |
|---|---|---|
|
密碼學方法 |
事先設計一個protocol,保存與傳輸的特徵均要遵循它進行加解密。 |
加解密與通信成本不但脫累了效能,不夠完備的protocol還可能使被攻擊的風險擴大。 |
|
差分隱私方法 |
使用差分隱私對特徵進行噪音干擾以保護人臉隱私。 |
在重點任務人臉識別上,準確性會顯著下降。 |
|
對抗式訓練方法 |
透過讓特徵提取器和重建網路之間互相對抗,訓練其生成能夠保護隱私的特徵。 |
對抗式訓練除了訓練時間成本很高,人臉識別上的準確性也顯著降低。 |
|
頻域方法 |
將原始圖像轉換成頻域,刪除用於視覺化的關鍵通道以保護人臉隱私。 |
在準確性和隱私保護之間存在難以解決的權衡問題。且無法抵抗某些較強的重建攻擊。 |
若要重新設計一個保護方法,需要克服以下挑戰:
- 防禦黑盒設置下的重構攻擊: 攻擊者有後手優勢,可能針對特徵提取器的架構設計重構網路。設計一個能夠防禦未知重建攻擊的特徵提取器是非常有挑戰性的。
- 準確性和隱私保護之間的權衡: 如何擾亂面部特徵中嵌入的視覺信息,同時保持識別準確性。由於視覺信息對於人臉識別至關重要,破壞視覺信息可能會導致識別準確性降低
- 最後一個挑戰是如何在不改變人臉識別網絡的情況下生成隱私保護特徵。一旦部署了人臉識別網絡,重新訓練網絡並將其重新部署到數百萬客戶端的成本將會很
主要貢獻
(後文待補)
