想要大幅降低人臉識别系統洩露隐私的風險?
先做個 " 影子模型 " 攻擊一遍就好了。
這不是說着玩,而是浙江大學和阿裏巴巴合作提出的最新方法,已被CVPR 2023接收。
一般來說,人臉識别系統都采用客戶端 - 服務器模式,通過客戶端的特征提取器從面部圖像中提取特征,并将面部特征而非照片存儲在服務器端進行人臉識别。
盡管這樣能避免被拍下的人臉照片直接洩露,但現在也有一些方法能夠基于人臉特征信息來重構圖像,還是威脅了大家的隐私安全。
因此,浙江大學網絡空間安全學院王志波團隊聯合橙盾科技、深象智能,提出了全新方法,通過建立影子模型來模拟攻擊者的行爲,捕捉從面部特征到圖像的映射函數,利用重構映射相似性,來産生對抗噪聲,破壞從特征到人臉的映射,完成對未知重構攻擊的抵禦。
舉個不太恰當的比喻,這就好像是給人臉識别系統注射疫苗,讓它先産生 " 抗體 ",這樣當病毒真正攻擊時,就能很好抵禦了。
而且這一方法支持即插即用,無需修改網絡結構或者重新訓練網絡,測試結果表明,該方法表現達到 SOTA。
增強隐私保護但不降低準确性
一般來說,人臉識别系統采用的客戶端 / 服務器架構的工作方式。
人臉識别網絡由服務器預先訓練,并在特定點将網絡分成特征提取器和分類決定器。
我們在系統内存入人臉密碼的過程,就是使用了提取器來獲取面部特征,然後系統會将特征發送到服務器。
在服務端,上傳的面部特征與數據庫中特征通過分類決定器驗證後,完成識别。
這樣的好處是用戶的人臉照片留在本地,真正上傳到雲端隻是特征信息。
但這也并不意味着系統會是絕對安全的。
因爲攻擊者通過訪問人臉識别客戶端,獲取人臉識别系統中的特征提取器,進而通過任意圖像與其特征一對一的關系,訓練重構器。
再拿到數據庫中洩露的人臉特征,利用重構器就能恢複人臉圖像,竊取隐私。
這種重構攻擊模式可大緻分爲兩種:
基于優化
基于學習
前者通過逐步調整輸入圖像的像素,使特征提取器的輸出盡可能接近某一特征值,直到重構出與該特征對應的人臉圖像(即最初輸入圖像)。
後者是構建新的神經網絡訓練特征圖像解碼器,直接從面部特征中重建圖像。
目前已經出現了一些人臉數據保護方法,但都還存在一定劣勢。
由此,本項研究提出了一種基于重構映射相似性的隐私保護對抗性人臉特征,來保護人臉識别系統的安全。
具體步驟就是在服務器端構建基于任意結構的影子模型 S ( · ) 來模拟攻擊者的行爲,并保證影子模型有能力重構人臉特征,利用重構映射相似性,捕捉從面部特征到圖像的映射函數。
然後,利用影子模型的梯度信息來生成針對重構映射的對抗性噪聲來破壞從特征到人臉的映射,完成對未知重構攻擊的抵禦,保護人臉隐私安全。
同時,作者對擾動強度進行了約束,分析了擾動強度對人臉識别精度與人臉隐私安全兩者關系的影響,實現保證人臉識别精度的同時,滿足隐私安全需求。
方法總覽如下,作者将其命名爲AdvFace。
應用方面,該方法有兩種模式:
Online 模式
Offline 模式
Online 模式下,AdvFace 可以作爲即插即用的隐私增強模塊集成到已部署的人臉識别系統,有效提升人臉數據對重構攻擊的防禦能力。
Offline 模式下,服務器可以使用對抗性特征和标簽重新訓練服務器端的下遊人臉識别網絡,在保證安全性能不改變的情況下,提高人臉識别準确率。
實驗結果
AdvFace 提供了可選的人臉隐私保護強度,如下是該方法在不同保護強度下,人臉隐私保護的情況。
可以看到保護強度大于 0.15 後,隐私可以得到很好的保護。
如下是不同噪聲強度下,重構圖片的 PSNR 指标和人臉識别精度。
在保護強度爲 0.2 時,精度略有下降,但在防禦重構攻擊和精度上取得了更好的平衡(圖表中越接近左下角越優,意味精度高的同時,對重構攻擊防禦效果好)。
而在對重構攻擊的防禦上,AdvFace 的效果也明顯優于其他方法。
對于攻擊者使用重構圖片進行人臉認證的測試中,使用 AdvFace 後,攻擊成功率明顯低于其他方法。
如上所有結果表明,AdvFace 在保持人臉識别準确度的同時,有效提升了人臉識别系統對重構攻擊的防禦能力。
與此同時,它提出的重構攻擊映射的相似性,還爲防禦未知黑盒攻擊提供了理論支撐。
該成果發表于 Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. 2023,是 CCF 推薦的人工智能領域 A 類會議。
CVPR 2023 Accepted papers:https://cvpr2023.thecvf.com/Conferences/2023/AcceptedPapers
論文地址:http://arxiv.org/abs/2305.05391
