论文分享|AAAI 2022 频域隐私保护人脸识别(PPFR-FD)-下篇

简介: 论文分享|AAAI 2022 频域隐私保护人脸识别(PPFR-FD)-下篇



—「上篇」内容 点此回顾 —

              04安全性分析PPFR-FD的目标是提供一种轻量级的脱敏方法,使攻击者难以恢复FR系统中训练和推断阶段的人脸图像。它的设计目的不是提供像RSA此等加密方法的安全强度。这也是在维护数据实用性的同时探索更好的隐私保护的第一步。

在这里,我们将在人脸脱敏过程的流程已知,但无法获得关于信道Shuffle、混合和自归一化参数的详细信息的情况下,建立PPFR-FD方案的安全性。“实验”部分给出了不同攻击实验获得的结果。攻击者在恢复原始图像时面临的第一个挑战是:我们丢弃了超过90%的图像能量,这使得在像GAN这样的攻击模式下较难重建原始图像;第二个挑战是:人脸脱敏算法输出的频率分量通道数小于保留的BDCT通道数。

这是由于在两个Shuffle操作之间使用了通道混合。如果没有数据结构等方面的知识,很难从低维数据重建高维数据。此外,人脸图像恢复需要逆两个通道Shuffle操作。考虑BDCT块大小为8的典型设置,8个像素和35个频率分量通道,总共存在35!x34! 种可能的Shuffle操作。虽然用暴力破解空间大小来衡量图像脱敏过程有一定的冗余性,但从通道层面衡量要比相关文献中的像素层面衡量的冗余性更少。由于对于脱敏算法的隐私保护能力缺乏统一的衡量标准,为此我们在衡量本文算法隐私保护能力时,也沿用暴力破解空间这一概念(虽然不是很合适)。

事实上,由于随机化的通道是根据Shuffle2中的频道能量进行排序的,所以两次Shuffle造成的暴力搜索空间会减少,但仍然远大于35!。也就是说,搜索空间的大小远大于128位AES加密算法。这大大增加了通过暴力搜索方法推导Shuffle操作的难度。Shuffle操作只是脱敏算法的一部分,脱敏算法的安全性由多个步骤构成。

在这里,我们解释为什么选择的频道数量是36个:在精度方面,过多的频率通道不会显著提高精度;就数据大小而言,过多的频率通道会增加脱敏数据的大小;在安全方面,选择了36个通道,使两次洗牌的暴力破解空间比2128大;从密码学的角度来看,在现有的计算能力下,破解空间的大小是足够安全的。所以这个数字是基于多方面的权衡选择,而不是唯一的选择。即使向攻击者提供了所有脱敏步骤(白盒攻击),仍很难恢复原始图像,这在以下第5部分中说明。


      05实验

表1

表2

在表1中,我们还计算每个算法在LFW数据集上的总运行时间,包括脱敏和推理时间。在表2中,即使PPFR-FD减少了94%以上的图像能量,并且被脱敏,但其性能与基线模型相当,并且优于其它类似算法。DP的性能最差。虽然CPGAN也有更好的性能,但它需要更长的执行时间,并且只能保护推理中的隐私。


图6 白盒攻击实验结果

表3

为了衡量脱敏算法的隐私保护能力,这里进行了白盒和黑盒2种攻击实验。

白盒攻击实验:首先对PPFR-FD-DC(保留直流分量)进行白盒攻击实验。图6的第一行显示了一些实验结果。图6中白盒重建的详细方法和一些技巧见论文附录。表3给出了恢复人脸图像的实验设置。图6(a)(e)显示了两个不同人物的原始灰色面部图像。图6第二行中的图像显示了PPFR-FD的白盒攻击实验。由于缺少直流分量,重建图像相当模糊。图6第三行,我们还考虑用其他图片中的DC组件替换缺失的DC,我们可以看到重建的图像轮廓接近于提供DC分量的人脸图像轮廓。这说明该算法在人脸识别精度上有一定的降低,但具有较高的安全性。重建性能差的原因是人脸图像的可分辨性存在于较高的频率,这些频率值很小,其中的小误差会对可视化产生很大影响。上述图像攻击/重建实验也是一些基于人脸图像先验信息和人脸图像处理算法的安全分析实验。

图7 黑盒攻击实验结果

黑盒攻击实验:我们使用具有很强拟合能力的GAN进行黑盒攻击。在图7中,我们采用Pix2Pix和StyleGAN2的组合模型作为黑盒攻击GAN模型,从脱敏图像重建原始图像。Pix2Pix中的Generator由StyleGAN2中的Generator替代,判别器为6层PatchCNN。我们在PPFR-FD上进行了GAN攻击实验。GAN恢复的人脸图像。(a)(e)为原始图像;(b)(f)是从PPFR-FD使用伪随机序列“Shuffle2”生成的脱敏数据中恢复的图像;(c)(g)是PPFR-FD使用“Shuffle2”完全随机序列生成的图像;(d)(h)是从PPFR-FD使用“Shuffle2”完全随机序列生成的、已排序通道的脱敏数据中恢复的图像。结果表明,用GAN重建人脸图像是困难的。更多结果见论文附录。


      06结论

在本文中,我们提出了一个分析网络,该网络执行可解释的隐私准确度权衡分析,以识别对人脸图像可视化重要但对保持高FR准确度不重要的通道。基于隐私性和准确性的权衡分析,提出了一种PPFR-FD方案,并对其安全性进行了分析。该方案的优点是能够在隐私性和准确性之间实现最佳平衡,推理速度快,并且可以在不显著修改网络结构的情况下并入现有的人脸识别算法中。


正式发表版本:

https://www.aaai.org/AAAI22Papers/AAAI-370.WangY.pdf

相关文章
|
机器学习/深度学习 搜索推荐 计算机视觉
【阿里云OpenVI-人脸感知理解系列之人脸识别】基于Transformer的人脸识别新框架TransFace ICCV-2023论文深入解读
本文介绍 阿里云开放视觉智能团队 被计算机视觉顶级国际会议ICCV 2023接收的论文 "TransFace: Calibrating Transformer Training for Face Recognition from a Data-Centric Perspective"。TransFace旨在探索ViT在人脸识别任务上表现不佳的原因,并从data-centric的角度去提升ViT在人脸识别任务上的性能。
2234 341
|
人工智能 数据可视化 算法
论文分享|AAAI 2022 频域隐私保护人脸识别(PPFR-FD)-上篇
论文分享|AAAI 2022 频域隐私保护人脸识别(PPFR-FD)-上篇
543 0
论文分享|AAAI 2022 频域隐私保护人脸识别(PPFR-FD)-上篇
|
算法 计算机视觉 索引
遮挡人脸问题 | 详细解读Attention-Based方法解决遮挡人脸识别问题(附论文下载)
遮挡人脸问题 | 详细解读Attention-Based方法解决遮挡人脸识别问题(附论文下载)
473 0
|
机器学习/深度学习 人工智能 监控
人脸识别再遭禁令:隐私与偏见争议未休,美国又一州禁用面部识别软件
据外媒报道,纽约州立法机构刚刚通过了一项法令,禁止在学校中使用人脸识别和其他生物特征识别技术,直至 2022 年。该法案将由州长 Andrew Cuomo 签署。此前,旧金山、马萨诸塞州萨默维尔市等多地也已正式通过了在公共场所禁用人脸识别软件的法案。
223 0
人脸识别再遭禁令:隐私与偏见争议未休,美国又一州禁用面部识别软件
亚马逊人脸识别门铃专利申请受阻,涉及隐私引群众抗议
亚马逊再一次因为与政府扯上关系而遭到群众抗议。
535 0
|
算法 测试技术 计算机视觉
中国团队夺得MegaFace百万人脸识别冠军,精度98%再创记录,论文代码+数据全开源
在知名的人脸识别评测 LFW 中,很多团队都取得了接近乃至超过 99.80% 的成绩。但是在大规模人脸识别中,挑战依然存在。例如MegaFace百万人脸识别挑战,即便在 LFW 上表现良好的模型也常常只能达到 60% 多的精度。
6949 0
|
7月前
|
弹性计算 Java PHP
新手用户注册阿里云账号、实名认证、购买云服务器图文教程参考
对于初次购买阿里云产品的用户来说,第一步要做的是注册账号并完成实名认证,然后才是购买阿里云服务器或者其他云产品,本文为大家以图文形式展示一下新手用户从注册阿里云账号、实名认证到购买云服务器完整详细教程,以供参考。
新手用户注册阿里云账号、实名认证、购买云服务器图文教程参考
|
6月前
|
文字识别 算法 API
视觉智能开放平台产品使用合集之uniapp框架如何使用阿里云金融级人脸识别
视觉智能开放平台是指提供一系列基于视觉识别技术的API和服务的平台,这些服务通常包括图像识别、人脸识别、物体检测、文字识别、场景理解等。企业或开发者可以通过调用这些API,快速将视觉智能功能集成到自己的应用或服务中,而无需从零开始研发相关算法和技术。以下是一些常见的视觉智能开放平台产品及其应用场景的概览。
150 0

热门文章

最新文章