Skip to main content
QUICK REVIEW

[論文レビュー] Adversarial Image Perturbation for Privacy Protection -- A Game Theory Perspective

Seong Joon Oh, Mario Fritz|arXiv (Cornell University)|Mar 28, 2017
Adversarial Robustness in Machine Learning参考文献 35被引用数 22
ひとこと要約

本稿は、自動認識システムに対するプライバシー保護技術としての敵対的画像摂動(AIP)をモデル化するゲーム理論的フレームワークを提案する。ユーザーと認識者を目的が相反する戦略的プレイヤーとして扱うことで、認識者による対策がいかなるものであっても、ユーザーの最大認識率を保証する最適なAIP戦略を導出し、悪意あるモデルを混乱させる一方で、善い(benign)モデルでは識別を維持する選択的AIPを導入する。

ABSTRACT

Users like sharing personal photos with others through social media. At the same time, they might want to make automatic identification in such photos difficult or even impossible. Classic obfuscation methods such as blurring are not only unpleasant but also not as effective as one would expect. Recent studies on adversarial image perturbations (AIP) suggest that it is possible to confuse recognition systems effectively without unpleasant artifacts. However, in the presence of counter measures against AIPs, it is unclear how effective AIP would be in particular when the choice of counter measure is unknown. Game theory provides tools for studying the interaction between agents with uncertainties in the strategies. We introduce a general game theoretical framework for the user-recogniser dynamics, and present a case study that involves current state of the art AIP and person recognition techniques. We derive the optimal strategy for the user that assures an upper bound on the recognition rate independent of the recogniser's counter measure. Code is available at https://goo.gl/hgvbNK.

研究の動機と目的

  • ぼかしのような従来の隠蔽手法は視覚的に不快であり、深層学習ベースの認識システムに対しては効果がないという限界を解消すること。
  • ソーシャルメディア利用者がプライバシーを求めるのと、認識システムが画像内の個人を特定しようとするという戦略的相互作用を分析すること。
  • 認識者が対策を講じても効果を発揮する、敵対的画像摂動(AIP)を用いた耐性のあるプライバシー保護メカニズムを開発すること。
  • ユーザーと認識者の相互作用を、戦略の不確実性を伴う2人零和ゲームとしてモデル化し、ユーザーに対する証明可能なプライバシー保証を導出すること。
  • 悪意あるモデルの認識を損なう一方で、承認済み(善い)モデルでは正確性を維持するように設計された選択的AIPを考案すること。

提案手法

  • ユーザーがAIPを適用し、認識者が対策を講じるという、情報が不完全な2人零和ゲームとしてユーザーと認識者の相互作用を定式化する。
  • ユーザーのAIP戦略と認識者の対策の組み合わせにおける認識率の結果をモデル化するためのゲーム理論的ペイオフ行列を導入する。
  • ゲーム理論的均衡の概念を用いて、ユーザーの最適な混合戦略を導出し、認識者の選択にかかわらず認識率の上界を保証する。
  • 複数の悪意あるモデル($\mathcal{M}$)の性能を低下させるように摂動を最適化し、同時に善いモデル($\mathcal{B}$)の性能を維持するという目的関数を用いて、選択的AIPを提案する。
  • 複数のモデルにおける摂動効果のバランスを取るために正則化項($\lambda_k$)を用いたマルチモデル最適化フレームワークを採用し、選択的で強い耐性を実現する。
  • 最先端のモデル(例:AlexNet, VGG, GoogleNet, ResNet152)と標準的な画像処理対策(例:ぼかし、ノイズ、リサイズ)を用いて、フレームワークの実証的妥当性を検証する。

実験結果

リサーチクエスチョン

  • RQ1敵対的画像摂動は、深層学習ベースの認識システムに対して、耐性があり、視覚的に魅力的なプライバシー保護技術として利用可能だろうか?
  • RQ2認識者の対策戦略がどのように選ばれても、ユーザーが認識率を上限で保証できるか?
  • RQ3認識者の戦略空間に関する知識が限定的である場合、ユーザーのプライバシー保証にどのような影響が生じるか?
  • RQ4悪意あるモデルの認識を意図的に損なうようにAIPを設計でき、同時に善いモデルの機能を維持できるか?
  • RQ5ぼかしやノイズ追加といった実世界の画像処理対策下でも、選択的AIPはどの程度有効だろうか?

主な発見

  • ゲーム理論的フレームワークにより、認識者が最良の対策を講じた場合でも、ユーザーのプライバシーが保証され、認識率の上限が5.8%に保証される。
  • 認識者が戦略空間を確率的に選択する場合、ユーザーの最適戦略により認識率は3.4%に低下し、不確実性下でもプライバシーが向上することが示された。
  • 認識者の戦略空間に関する知識が限定的である場合、認識者が未知の対策を活用すれば、ユーザーの認識率が上昇するリスク(例:8.6%)が生じる。
  • 選択的AIPは、悪意あるモデル(例:GoogleNet)の認識率を8.7%に低下させつつ、画像処理後も善いモデル(例:AlexNet)で97.9%の正確性を維持した。
  • 2つの悪意あるモデルと2つの善いモデルを含むマルチモデル設定では、選択的AIPにより悪意あるモデルの認識率は17.7%に低下し、善いモデルでは97.7%の正確性を維持した。
  • 摂動予算を1000から2000に増加させることで耐性が向上し、マルチモデル設定では悪意あるモデルの認識率が3.8%に低下した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。