今天为大家推荐的论文Crafter: Facial Feature Crafting against Inversion-based Identity Theft on Deep Models来自上海交通大学向立瑶老师研究组,是一项关于人脸数据隐私保护的研究工作,已被安全领域顶级会议NDSS 2024接收:
研究背景与威胁模型:
端-云计算场景下,用户经常需要将包含隐私身份信息的人脸图像上传到云端以完成机器学习任务,比如
-
训练任务:收集大量用户图片,训练人脸表情识别模型;
-
推断任务:在人脸图像上应用事先完成训练的推荐模型。
为了保护个人隐私,用户通常在本地将原始图像编码为特征向量后再传输至云端。然而,监听传输通道的攻击者或云端攻击者依然可以从特征向量重构出原始图像(inversion attack),造成身份信息的隐私泄露。作者考虑威胁模型如下:
-
普通黑盒重构攻击。攻击者只有对于本地编码模型的query access,以及公开的非隐私身份人脸数据集。
-
普通白盒重构攻击。攻击者可以得到本地编码模型的结构与参数,以及公开的非隐私身份人脸数据集。
-
自适应黑/白盒重构攻击:在普通攻击者基础上,攻击者了解防御方的保护策略,并随之调整自己的攻击策略,从而削弱防御效果。
无论是上述哪种攻击者,其最终目的都是成功恢复用户的隐私人脸数据,从中获得隐私的身份信息(identity theft)。此场景给图像隐私信息保护提出了独特的挑战:
-
针对多种重构攻击的鲁棒性。防御算法必须对普通/自适应的黑盒/白盒重构攻击都保持鲁棒性;否则假如一个防御算法可以被自适应攻击者轻易绕过,即使它对普通攻击者有完美的防御效果,也不具有实际应用价值(false security)。这里的难点在于,现有保护通常针对特定的攻击者采取对抗优化训练框架,无法保证最终优化收敛处的防御效果针对多种攻击者保持鲁棒——发表在AAAI 2020的工作AdvLearn与CVPR 2023的工作Disco无法解决该问题。
-
身份信息隐私与数据可用性间的平衡。身份信息很难与图像中其余属性信息解耦,因此保护身份信息不被泄露通常容易同时损害编码特征中其余的人脸属性,导致可用性下降,影响云端下游任务的效果。例如发表在KDD 2020的工作TIPRDC无法在维持较好下游任务表现的同时保护身份信息。
Crafter防御算法
为了解决这些挑战,本文提出了防止重构攻击身份信息泄露的插件Crafter。如上图所示,它通过特征扰动实现保护,包含2个部分:可用性函数L_u和隐私函数L_p
-
L_u:我们通过限制特征扰动的大小来维持特征的可用性。由于云端神经网络可以容忍其输入特征上的微小扰动,最小化扰动大小可以极大程度地保留原始特征在下游任务的表现。这里与现有防御的区别在于Crafter不需要事先知道下游任务,因此具有更广泛的应用场景。
-
L_p:我们模拟一个较强的白盒重构攻击,并误导白盒攻击,使其恢复的图像在分布上靠近非隐私的公开人脸分布(平均脸),即攻击者的关于身份信息的先验知识。如下图所示,这里与现有防御的区别是,现有防御通常误导攻击者使其恢复的图像远离原始的隐私人脸分布。
Crafter的这一操作有效限制了攻击者先验与得到特征后的后验分布间距离。它优化得到的特征编码在特征空间内靠近原始的隐私分布,却在图像空间内靠近非隐私分布,因此可被视作针对自适应攻击者的poison sample,使得自适应攻击者效果下降,从而实现鲁棒隐私保护的目标。
实验结果
Crafter已经开源实现(见文后链接),并在三个人脸数据集(CelebA,LFW与VGGFace2)、六种重构攻击(两种普通白盒攻击,一种普通黑盒攻击和三种自适应攻击)、三种深度网络(ResNet18,VGG16和ResNet50)上分别进行了验证。我们使用像素级与语义级结合的四个指标全面衡量了防御效果的隐私,并在多个属性分类任务上衡量数据的可用性。
大范围的测试表明,Crafter在推断与训练任务场景下实现了针对多种重构攻击的鲁棒防御,并有效维持了下游任务上的可用性。与之相对的,现有基线防御普遍存在针对自适应攻击者不鲁棒的缺陷,且具有劣于Crafter的隐私-可用性平衡。
论文链接:https://arxiv.org/pdf/2401.07205.pdf
代码链接:https://github.com/ShimingWang98/Facial_Feature_Crafting_against_Inversion_based_Identity_Theft/tree/main
投稿作者
-
王师溟,上海交通大学博士研究生,主要研究方向为机器学习安全隐私
-
向立瑶,上海交通大学电子信息与电气工程学院约翰·霍普特克罗夫特计算机科学中心长聘教轨副教授。主要研究方向为数据安全隐私,智能物联网等,其代表性成果发表在安全、网络、数据挖掘领域国际一流会议与期刊,包括IEEE S&P,NDSS,ESORICS,INFOCOM,UbiComp,ICLR,KDD,ICDM,CIKM,IEEE TIFS,IEEE TDSC,IEEE JSAC,IEEE TMC等,为IEEE ICDCS,IEEE ICDM,IEEE MASS,IEEEE GLOBECOM等会议程序委员会成员。作为项目负责人,主持国家自然科学基金委面上项目、青年项目、上海市2019年度“科技创新行动计划”扬帆计划项目、CCF-蚂蚁科研基金项目、华为-上海交通大学网络空间安全学院创新实验室合作项目等,作为课题负责人、项目骨干参与国家自然科学基金委重点项目、科技创新2030—“新一代人工智能”重大项目。曾指导学生获得交大-华为网安创新实验室优秀个人奖。主页:http://xiangliyao.cn/
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2024-01-17 Crafter
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论