[논문 리뷰] DeepObfuscator: Adversarial Training Framework for Privacy-Preserving Image Classification
DeepObfuscator는 클라우드 기반 이미지 분류 과정에서 사용자 프라이버시를 보호하기 위해 이미지에서 추출한 딥 페처를 가로막는 적대적 훈련 프레임워크이다. 학습 가능한 가로막는 네트워크를 적대적으로 훈련시켜, 이미지 재구성 품질을 감소시키고(MS-SSIM 0.9458에서 0.3175로), 민감한 속성 추론 성능을 떨어뜨리지만, 목적한 작업의 분류 정확도는 오직 2% 감소할 뿐이다.
Deep learning has been widely utilized in many computer vision applications and achieved remarkable commercial success. However, running deep learning models on mobile devices is generally challenging due to limitation of the available computing resources. It is common to let the users send their service requests to cloud servers that run the large-scale deep learning models to process. Sending the data associated with the service requests to the cloud, however, impose risks on the user data privacy. Some prior arts proposed sending the features extracted from raw data (e.g., images) to the cloud. Unfortunately, these extracted features can still be exploited by attackers to recover raw images and to infer embedded private attributes (e.g., age, gender, etc.). In this paper, we propose an adversarial training framework DeepObfuscator that can prevent extracted features from being utilized to reconstruct raw images and infer private attributes, while retaining the useful information for the intended cloud service (i.e., image classification). DeepObfuscator includes a learnable encoder, namely, obfuscator that is designed to hide privacy-related sensitive information from the features by performingour proposed adversarial training algorithm. Our experiments on CelebAdataset show that the quality of the reconstructed images fromthe obfuscated features of the raw image is dramatically decreased from 0.9458 to 0.3175 in terms of multi-scale structural similarity (MS-SSIM). The person in the reconstructed image, hence, becomes hardly to be re-identified. The classification accuracy of the inferred private attributes that can be achieved by the attacker drops down to a random-guessing level, e.g., the accuracy of gender is reduced from 97.36% to 58.85%. As a comparison, the accuracy of the intended classification tasks performed via the cloud service drops by only 2%
연구 동기 및 목표
- 원본 이미지 또는 민감한 속성을 드러낼 수 있는 특징이 추출되는 클라우드 기반 이미지 분류에서의 프라이버시 泄露 문제를 해결하기 위해.
- 의도한 분류 작업에 대한 유효성을 유지하면서 특징 내 민감한 정보를 숨기는 프레임워크를 개발하기 위해.
- 사용자 프라이버시를 훼손하지 않고 이미지 처리를 클라우드에 안전하게 오버로드할 수 있도록 하기 위해.
제안 방법
- 원본 이미지 특징을 프라이버시 보호 표현으로 변환하는 학습 가능한 인코더, 즉 가로막는 네트워크를 도입한다.
- 특징 가로막기와 작업 유효성의 이중 최적화를 위한 적대적 훈련 알고리즘을 적용한다.
- 가로막힌 특징에서 이미지를 재구성하기 위한 생성자 네트워크를 사용하며, 이에 대해 가로막는 네트워크가 속임수를 걸도록 한다.
- 재구성 품질(MS-SSIM 손실을 통한)과 민감한 속성 추론 정확도를 최소화하도록 가로막는 네트워크를 훈련한다.
- 의도한 이미지 분류 작업을 위한 높은 정확도를 유지하기 위해 분류 헤드를 통합한다.
- 재구성, 속성 추론, 분류 목표를 모두 포함하는 다중 목표 손실을 최적화하여 가로막는 네트워크를 훈련한다.
실험 결과
연구 질문
- RQ1적대적 훈련 프레임워크가 가로막힌 특징에서의 이미지 재구성 품질을 효과적으로 떨어뜨릴 수 있는가?
- RQ2가로막힌 특징에서 성별, 연령 등의 민감한 속성 추론을 얼마나 효과적으로 방지할 수 있는가?
- RQ3가로막는 과정이 의도한 이미지 분류 작업의 정확도에 얼마나 큰 영향을 미치는가?
- RQ4클라우드 기반 분류에 충분한 특징 유효성을 유지하면서도 프라이버시 보호를 극대화할 수 있는가?
주요 결과
- 가로막힌 특징에서 재구성된 이미지의 다중 척도 구조적 유사도(MS-SSIM)는 0.9458에서 0.3175로 감소하여 이미지 품질이 심각하게 떨어졌음을 나타낸다.
- 해당 공격자가 성별 속성 추론 정확도는 97.36%에서 58.85%로 감소하여 무작위 추측 수준에 가까워졌다.
- 가로막은 후 의도한 이미지 분류 작업의 정확도는 오직 2% 감소하여 유효성 유지가 뛰어나다는 것을 보여준다.
- 재구성된 이미지의 인물은 구조적 정밀도 손실이 심해 거의 식별할 수 없게 되었다.
- 프라이버시 보호와 작업 유효성 간의 균형을 성공적으로 달성하여 실생활 적용 가능성도 입증되었다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.