[論文レビュー] DeepObfuscator: Adversarial Training Framework for Privacy-Preserving Image Classification
DeepObfuscator は、クラウドベースの画像分類におけるユーザーのプライバシーを保護するため、画像から抽出された深層特徴を難読化する対抗的訓練フレームワークである。学習可能な難読化ネットワークを対抗的に訓練することで、画像再構成品質(MS-SSIM が 0.9458 から 0.3175 に低下)を低下させるとともに、個人情報の推定精度(性別の精度が 97.36% から 58.85% に低下)を低下させつつ、意図したタスクの分類精度はわずか 2% の低下に抑えている。
Deep learning has been widely utilized in many computer vision applications and achieved remarkable commercial success. However, running deep learning models on mobile devices is generally challenging due to limitation of the available computing resources. It is common to let the users send their service requests to cloud servers that run the large-scale deep learning models to process. Sending the data associated with the service requests to the cloud, however, impose risks on the user data privacy. Some prior arts proposed sending the features extracted from raw data (e.g., images) to the cloud. Unfortunately, these extracted features can still be exploited by attackers to recover raw images and to infer embedded private attributes (e.g., age, gender, etc.). In this paper, we propose an adversarial training framework DeepObfuscator that can prevent extracted features from being utilized to reconstruct raw images and infer private attributes, while retaining the useful information for the intended cloud service (i.e., image classification). DeepObfuscator includes a learnable encoder, namely, obfuscator that is designed to hide privacy-related sensitive information from the features by performingour proposed adversarial training algorithm. Our experiments on CelebAdataset show that the quality of the reconstructed images fromthe obfuscated features of the raw image is dramatically decreased from 0.9458 to 0.3175 in terms of multi-scale structural similarity (MS-SSIM). The person in the reconstructed image, hence, becomes hardly to be re-identified. The classification accuracy of the inferred private attributes that can be achieved by the attacker drops down to a random-guessing level, e.g., the accuracy of gender is reduced from 97.36% to 58.85%. As a comparison, the accuracy of the intended classification tasks performed via the cloud service drops by only 2%
研究の動機と目的
- 抽出された特徴が元の画像や個人情報を露呈する可能性がある、クラウドベースの画像分類におけるプライバシー漏洩を解決すること。
- 意図した分類タスクの有用性を保持しつつ、特徴に含まれる機微な情報を隠蔽するフレームワークを開発すること。
- ユーザーのプライバシーを損なわず、画像処理をクラウドに安全にオフロードできるようにすること。
提案手法
- 元の画像特徴をプライバシー保護型表現に変換する学習可能なエンコーダー(難読化ネットワーク)を導入する。
- 特徴の難読化とタスクの有用性の両方を同時に最適化する対抗的訓練アルゴリズムを採用する。
- 難読化された特徴から画像を再構成するジェネレータネットワークを用い、難読化ネットワークがその再構成を欺くようにする。
- 再構成品質(MS-SSIM 損失を用いて)と個人属性推定精度の両方を最小化するように難読化ネットワークを訓練する。
- 意図した画像分類タスクの高精度を維持するため、分類ヘッドを統合する。
- 再構成、属性推定、分類の目的を統合したマルチオブジェクティブ損失を用いて難読化ネットワークを最適化する。
実験結果
リサーチクエスチョン
- RQ1対抗的訓練フレームワークは、難読化された特徴から再構成された画像の品質を効果的に低下させることができるか?
- RQ2性別や年齢などの個人属性を、難読化された特徴からどれだけ効果的に推定を防げるか?
- RQ3難読化プロセスによって、意図した画像分類タスクの精度はどの程度低下するか?
- RQ4プライバシー保護を最大化しつつ、クラウドベースの分類に十分な特徴の有用性を保持できるか?
主な発見
- 難読化された特徴から再構成された画像のマルチスケール構造的類似度(MS-SSIM)は 0.9458 から 0.3175 に低下し、画像品質が著しく劣化していることが示された。
- 攻撃者が性別属性を推定する精度は 97.36% から 58.85% に低下し、ランダム推測レベルに近づいた。
- 難読化後、意図した画像分類タスクの分類精度はわずか 2% の低下に抑えられ、高い有用性の維持が確認された。
- 再構成画像の人物は、構造的忠実度の著しい損失により、ほとんど識別不能になった。
- プライバシー保護とタスク有用性の両立に成功し、実世界への導入に実用的であることが示された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。