Skip to main content
QUICK REVIEW

[논문 리뷰] Adversarial Image Perturbation for Privacy Protection -- A Game Theory Perspective

Seong Joon Oh, Mario Fritz|arXiv (Cornell University)|2017. 03. 28.
Adversarial Robustness in Machine Learning참고 문헌 35인용 수 22
한 줄 요약

이 논문은 자동 인식 시스템에 대비하여 개인정보 보호 기법으로 악성 이미지 편향(Adversarial Image Perturbation, AIP)을 게임 이론적 프레임워크로 모델링한다. 사용자와 인식 시스템을 목적을 반대로 가진 전략적 플레이어로 간주함으로써, 사용자의 최대 인식률을 보장하는 최적의 AIP 전략을 도출하며, 악성 모델은 혼란스럽게 하고 정상 모델은 유지하는 선택적 AIP를 제안한다.

ABSTRACT

Users like sharing personal photos with others through social media. At the same time, they might want to make automatic identification in such photos difficult or even impossible. Classic obfuscation methods such as blurring are not only unpleasant but also not as effective as one would expect. Recent studies on adversarial image perturbations (AIP) suggest that it is possible to confuse recognition systems effectively without unpleasant artifacts. However, in the presence of counter measures against AIPs, it is unclear how effective AIP would be in particular when the choice of counter measure is unknown. Game theory provides tools for studying the interaction between agents with uncertainties in the strategies. We introduce a general game theoretical framework for the user-recogniser dynamics, and present a case study that involves current state of the art AIP and person recognition techniques. We derive the optimal strategy for the user that assures an upper bound on the recognition rate independent of the recogniser's counter measure. Code is available at https://goo.gl/hgvbNK.

연구 동기 및 목표

  • 흐림처리와 같은 전통적인 가림 기법은 빛의 시각적 불쾌감과 함께 딥러닝 기반 인식 시스템에 효과가 없음을 해결하기 위해.
  • 소셜 미디어 사용자가 개인정보를 보호하고자 하는 것과 이미지 내 개인을 식별하고자 하는 인식 시스템 간의 전략적 상호작용을 분석하기 위해.
  • 인식 시스템이 대응 조치를 취하더라도 효과적인 보존 기법을 유지할 수 있도록 악성 이미지 편향(AIP)을 활용한 강건한 개인정보 보호 메커니즘을 개발하기 위해.
  • 사용자-인식 시스템 간의 상호작용을 전략적 두 플레이어 게임으로 모델링함으로써, 사용자에게 증명 가능한 개인정보 보호 보장을 도출하기 위해.
  • 악성 모델의 인식을 저해하면서도 정상 모델의 정확도를 유지하는 선택적 AIP를 설계하기 위해.

제안 방법

  • 사용자가 AIP를 적용하고 인식 시스템이 대응 조치를 취하는 불완전한 정보를 가진 두 플레이어, 제로섬 게임으로 사용자-인식 시스템 상호작용을 수식화한다.
  • 사용자의 AIP 전략과 인식 시스템의 대응 조치 조합에 따른 인식률 결과를 모델링하기 위해 게임 이론적 수익 행렬을 도입한다.
  • 게임 이론적 균형 개념을 활용해 사용자의 최적 혼합 전략을 유도함으로써, 인식 시스템의 선택과 무관하게 인식률 상한선을 확보한다.
  • 악성 모델($\mathcal{M}$)의 성능을 저하시키면서도 정상 모델($\mathcal{B}$)의 성능을 유지하기 위해, 공동 최적화 목표를 활용해 선택적 AIP를 제안한다.
  • 다중 모델 최적화 프레임워크에 정규화 항($\lambda_k$)을 도입하여 여러 모델 간 편향 효과를 균형 있게 조절함으로써 선택적 강건성을 실현한다.
  • 최신 모델들(예: AlexNet, VGG, GoogleNet, ResNet152)과 표준 이미지 처리 대응 조치(예: 흐림처리, 노이즈, 크기 조정)를 사용해 프레임워크의 실증적 검증을 수행한다.

실험 결과

연구 질문

  • RQ1악성 이미지 편향(AIP)은 딥러닝 기반 인식 시스템에 대비해 강력하고 미적 감각을 고려한 개인정보 보호 기법으로 사용될 수 있는가?
  • RQ2인식 시스템이 어떤 대응 조치를 선택하든, 사용자가 인식률을 상한선으로 보장할 수 있는가?
  • RQ3인식 시스템의 전략 공간에 대한 지식이 제한적일 경우, 사용자의 개인정보 보장에 어떤 영향을 미치는가?
  • RQ4악성 모델의 인식을 선택적으로 저해하면서도 정상 모델의 정확도를 유지할 수 있도록 AIP를 설계할 수 있는가?
  • RQ5실제 이미지 처리 대응 조치(예: 흐림처리, 노이즈 추가) 상황에서 선택적 AIP는 얼마나 효과적인가?

주요 결과

  • 게임 이론적 프레임워크는 인식 시스템이 최적의 대응 조치를 취하더라도 사용자의 개인정보가 보장되며, 인식률 상한선이 5.8%로 보장된다.
  • 인식 시스템이 전략 공간을 무작위로 선택할 경우, 사용자의 최적 전략은 인식률을 3.4%로 낮추어 불확실성 하에서 개인정보 보호가 향상됨을 보여준다.
  • 인식 시스템의 전략 공간에 대한 지식이 제한적일 경우, 인식 시스템이 알려지지 않은 대응 조치를 악용할 경우 사용자의 인식률이 높아질 위험이 있다(예: 8.6%).
  • 선택적 AIP는 악성 모델(예: GoogleNet)의 인식률을 8.7%로 낮추면서도, 이미지 처리 후 정상 모델(예: AlexNet)의 정확도를 97.9% 유지한다.
  • 두 개의 악성 모델과 두 개의 정상 모델이 포함된 다중 모델 환경에서 선택적 AIP는 악성 모델의 인식률을 17.7%로 낮추고, 정상 모델의 정확도는 97.7% 유지한다.
  • 편향 예산을 1000에서 2000으로 증가시키면 강건성이 향상되어 다중 모델 환경에서 악성 모델의 인식률이 3.8%로 감소한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.