文章提出了一種對抗訓練框架來防止從原始圖片中抽取特徵並獲取隱私信息,同時保留雲端服務需要的信息。提出的算法模擬抽取特徵嘗試重構圖片的攻擊者和保護隱私的防禦者之間的對抗。
DeepObfuscator由四部分組成:混淆器(O)、分類器(C)、對抗重建器(AR)、對抗分類器(AC)。對抗訓練的關鍵點在於最大化對抗重建器的重建誤差和對抗分類器的分類誤差,同時最小化分類器的誤差。
貢獻:
1.提出了第一個在防禦重建攻擊和隱私泄露的同時保持分類準確率的的對抗訓練框架
2.第一個通過實驗展示了重建攻擊和隱私泄露攻擊是不互相包含的
3.在CelebAdataset上定量評估了DeepObfuscator
系統結構:
混淆器(O)
混淆器是一個有輸入層、多個卷積層、最大池化層和BN層組成的編碼器,被訓練用來在保留分類任務可用的信息的同時隱藏隱私信息。
分類器(C)
分類器與混淆器一起作爲一個完整的CNN模型訓練。一個服務提供者可以根據分類任務和可獲得的資源選擇任何神經網絡結構。在文章系統中使用VGG16。分類器使用交叉熵作爲損失函數。
對抗分類器(AC)
攻擊者可以通過竊聽特徵作爲輸入,隱私信息作爲標籤訓練對抗分類器。攻擊者可以通過將竊聽信息送入訓練過的對抗分類器推斷出隱私特徵。在DeepObfuscator中,在分類器和對抗分類器上應用相同的結構。然而攻擊者可以選擇任何結構作爲對抗分類器。使用不同結構在分類器和對抗分類器上不會在表現上有很大的差異。對抗分類器的損失函數也是交叉熵。
當防禦隱私泄露攻擊時,爲了降低對抗分類器的表現來提升分類器的精度,使用提出的對抗訓練步驟來訓練混淆器。
對抗重建器(AR)
對抗重建器用於利用竊聽特徵還原原始圖片。攻擊者可以使用任何神經網絡作爲對抗重建器。然而最糟糕的情況是攻擊者知道混淆器的結構並據此構建一個把每一層逆向操作的最有力的重建器。在DeepObfuscator中,使用這種最有力的重建器。
作爲攻擊者時,對抗重建器的訓練使得重構出的圖片與原圖不斷接近。在DeepObfuscator中,使用MS-SSIM作爲評價標準。MS-SSIM的值在0-1之間,值越大,兩張圖片越相似。
防禦者期望能降低重建圖片的質量。生成額外的高斯噪聲圖片,使訓練對抗重建器恢復的圖片與高斯噪聲圖片更加接近而分類效果被保持。
對抗訓練算法:
在進行對抗訓練前,首先不考慮隱私問題將混淆器和分類器結合起來來優化分類任務的結果。同樣地對對抗訓練器和對抗重建器進行預訓練。
每一個epoch內對抗訓練的迭代分爲四個batch。在開始的兩個batch中,訓練混淆器來防禦對抗重建器和對抗分類器同時保持分類器不變。第三和第四個batch中通過模擬攻擊者來優化對抗重建器和對抗分類器,但混淆器和分類器的參數固定。
最終優化分類器來提升分類準確率。