AnonymousNet: Natural Face De-Identification with Measurable Privacy
现有的人脸图像去识别技术要么生成图像不够真实,要么在定性和定量上无法平衡隐私和可用性。本文提出的AnonymousNet框架用以解决上述问题,以一种自然且可测量的方式来平衡可用性和增强隐私性。框架分为四个阶段:人脸属性估计;以隐私度量为导向的人脸混淆;定向自然图像合成和对抗扰动。实现了最先进的图像质量和属性预测准确率。首次表明人脸隐私是可测量的、可以分解并因此以逼真的方式进行操控以满足不同要求和应用场景。
隐私度量
-
k − k- k−Anonymity:要求数据集中的每一个记录至少有 k − 1 k-1 k−1条准标识符与其他记录无法区分,准标识符指的是可以一起用来识别个人的属性,如邮政编码或生日。在人脸数据集中,准标识符可能包含语义属性。若满足该条件,如果只有一个人的准标识符已知,那么真正的记录只能以 1 k \frac 1 k k1的概率被选择。有一些场景中k-Anonymity无法提供有效保护,对于k个个体,如果有一些相同的准标识符,则无法对这些准标识符信息进行保护。
-
l − l- l−Diversity:解决k-Anonymity的不足。对于表示具有相同标识符的一组记录的等价类,对于敏感信息它应当至少具有 l l l个“良好表示”的值。“良好表示”的直接定义是确保等价类的敏感属性有 l l l个不同的值,该定义中,不考虑 l l l个不同值的频率。对手可能会得出结论:目标身份的敏感属性具有最高频率的值。因此l-diversity有一个更强的定义,为熵l-Diversity:
E n t r o p y ( E ) ≥ log l E n t r o p y ( E ) = − ∑ s ∈ S p ( E , s ) log p ( E , s ) Entropy(E)\ge\log l\\ Entropy(E)=-\sum_{s\in S}p(E,s)\log p(E,s) Entropy(E)≥loglEntropy(E)=−s∈S∑p(E,s)logp(E,s)
其中 E E E是等价类, S S S是敏感属性的取值集合, p ( E , s ) p(E,s) p(E,s)是记录 E E E有敏感属性值 s s s的分数。 -
t − t- t−Closeness:对手有时能够获得敏感属性的全局分布,为了避免该情况,提出t-closeness,根据相应敏感值分布来更新 k − k- k−Anonymity,要求任何等价类中的敏感值分布 S E S_E SE必须接近其在整个数据集中的分布 S S S,
∀ E : d ( S , S E ) ≤ t \forall E:d(S,S_E)\le t ∀E:d(S,SE)≤t
其中 d ( S , S E ) d(S,S_E) d(S,SE)是衡量分布 S S S和 S E S_E SE的EM距离, t t t为阈值。 -
Randomness:向样本中添加随机噪声,给定一个个体样本,随机选取部分特征,然后添加高斯噪声 N ( 0 , σ ) N(0,\sigma) N(0,σ),也可以先将敏感信息识别出来后添加高斯噪声。另一种随机化方法是向数据集中添加新的样本。从更广义的角度来看,对抗性扰动也可以看作是一种随机化方法。
AnonymousNet框架共分为四个阶段:
- 人脸属性预测
采用GoogLeNet提取人脸特征,然后训练40个随机森林分类器获得人脸属性。
-
隐私导向的人脸混淆
提供每张人脸图像的语义信息和整个数据库中属性分布,在隐私保证的前提下进行人脸去识别。提出了隐私保留属性选择算法(PPAS),用来选择并更新人脸属性以至于任何属性 E E E的分布 S E S_E SE与真实分布 S S S相近。与正常的t-closeness方法不同,我们进一步在属性选择中引入随机扰动以实现 ϵ − \epsilon- ϵ−差分隐私。
PPAS算法
输出结果:属性集合 A ′ ′ \mathbb A'' A′′
- 属性集合 A ← { E 1 , ⋯ , E n } \mathbb A\leftarrow \{E_1,\cdots,E_n\} A←{E1,⋯,En};
- 属性集合 A ′ ← ∅ \mathbb A'\leftarrow \empty A′←∅;
- N ← ∥ A ∥ N\leftarrow\|\mathbb A\| N←∥A∥;
- for
i
=
1
,
⋯
,
N
i=1,\cdots, N
i=1,⋯,N
- 如果
d
(
S
,
S
E
i
)
≤
t
d(S,S_{E_i})\le t
d(S,SEi)≤t
- 将属性 E i E_i Ei加入 A ′ \mathbb A' A′
- 否则
- 将 ∽ E i \backsim E_i ∽Ei加入 A ′ \mathbb A' A′
- 如果
d
(
S
,
S
E
i
)
≤
t
d(S,S_{E_i})\le t
d(S,SEi)≤t
- 返回 A ′ ′ ← P e r t u r b a t i o n ( A , ϵ ) \mathbb A''\leftarrow Perturbation(\mathbb A, \epsilon) A′′←Perturbation(A,ϵ)
-
自然定向的去识别
为了混淆人脸图像同时保留视觉真实性,采用生成对抗网络,对抗损失为
L a d v = E [ log ( D ( x ) ) ] + E [ log ( 1 − D ( G ( x ) ) ) ] L_{adv}=\mathbb E[\log(D(x))]+\mathbb E[\log(1-D(G(x)))] Ladv=E[log(D(x))]+E[log(1−D(G(x)))]
依据StarGAN定制GAN模型,同时添加属性分类损失 L c l s L_{cls} Lcls与图像重建损失 L r e c L_{rec} Lrec,三者共同组成总的目标函数:
L = λ 1 L a d v + λ 2 L c l s + λ 3 L r e c L=\lambda_1L_{adv}+\lambda_2L_{cls}+\lambda_3L_{rec} L=λ1Ladv+λ2Lcls+λ3Lrec -
对抗扰动
假设 μ \mu μ是在 R d \mathbb R^d Rd中的图像分布, k ^ \hat k k^是一个分类器,给定一个输入图像 x x x,结果为 k ^ ( x ) \hat k(x) k^(x),通用扰动向量 v ∈ R d v\in\mathbb R^d v∈Rd能够迷惑分类器,应当满足:
∥ v ∥ p ≤ ξ P x ∼ μ ( k ^ ( x + v ) ≠ k ^ ( x ) ≥ 1 − δ ) \|v\|_p\le\xi\\ \mathbb P_{x\sim \mu}(\hat k(x+v)\ne\hat k(x)\ge1-\delta) ∥v∥p≤ξPx∼μ(k^(x+v)=k^(x)≥1−δ)
其中 ξ \xi ξ限制通用扰动向量的大小, δ \delta δ量化所有错误样本的错误率。使用迭代的方式来引入通用扰动向量。每一次迭代,使用DeepFool来确定出最小的扰动使得 k ^ \hat k k^错误分类,并将与超参数 ϵ i \epsilon_i ϵi对应的通用扰动更新为总扰动 v v v。
扫一扫
474
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
