Skip to main content
QUICK REVIEW

[論文レビュー] Towards Privacy-Preserving Visual Recognition via Adversarial Training: A Pilot Study

Zhenyu Wu, Zhangyang Wang|arXiv (Cornell University)|Jul 22, 2018
Adversarial Robustness in Machine Learning参考文献 63被引用数 18
ひとこと要約

本稿では、アクション認識性能とプライバシー予算のトレードオフを最適化することで、視覚認識におけるプライバシー保護を実現するための敵対的訓練フレームワークを提案する。プライバシー保護の一般化を高めるために、予算モデルの再起動とアンサンブルを導入し、UCF-101およびVISPRデータセットで高いアクション認識精度を維持しながら強力なプライバシー保護を達成した。

ABSTRACT

This paper aims to improve privacy-preserving visual recognition, an increasingly demanded feature in smart camera applications, by formulating a unique adversarial training framework. The proposed framework explicitly learns a degradation transform for the original video inputs, in order to optimize the trade-off between target task performance and the associated privacy budgets on the degraded video. A notable challenge is that the privacy budget, often defined and measured in task-driven contexts, cannot be reliably indicated using any single model performance, because a strong protection of privacy has to sustain against any possible model that tries to hack privacy information. Such an uncommon situation has motivated us to propose two strategies, i.e., budget model restarting and ensemble, to enhance the generalization of the learned degradation on protecting privacy against unseen hacker models. Novel training strategies, evaluation protocols, and result visualization methods have been designed accordingly. Two experiments on privacy-preserving action recognition, with privacy budgets defined in various ways, manifest the compelling effectiveness of the proposed framework in simultaneously maintaining high target task (action recognition) performance while suppressing the privacy breach risk.

研究の動機と目的

  • スマートカメラシステムにおける視覚的プライバシー保護を、ターゲットタスク(例:アクション認識)の有用性を損なわずに実現すること。
  • 単一の敵対者に限らない、あらゆる潜在的ハッカー・モデルに対して耐性を持つ、タスク駆動型のプライバシー予算を定式化すること。
  • プライバシーに敏感な属性を曇らせるが、タスクに必要な特徴を保持する一般化可能な劣化変換を構築すること。
  • 「∀チャレンジ」(任意の推論モデルに対して普遍的なプライバシー保護を保証すること)を満たすために、新しい訓練戦略を考案すること。
  • UCF-101およびVISPRを用いたクロスデータセット学習と評価を通じて、プライバシー保護型視覚認識のベンチマークを確立すること。

提案手法

  • フレームワークは、生動画入力をプライバシー保護型表現に変換する共有の劣化ネットワーク $f_d$ を使用する。
  • 2つのパイプラインを並列に学習する:1つはUCF-101におけるターゲットタスク(アクション認識)用の $f_d + f_T$、もう1つはVISPRにおけるプライバシー抑制用の $f_d + f_b$($f_b$ はプライバシー属性用の予算モデル)。
  • 劣化ネットワーク $f_d$ は敵対的訓練により最適化され、ターゲットタスクの損失を最小化すると同時に、プライバシー属性予測損失を最大化するように設計される。
  • $f_d$ の未観測のプライバシー推論モデルに対する一般化を向上させるために、予算モデルの再起動とアンサンブルの2つの戦略を採用する。
  • 新しい評価プロトコルとして、クロスデータセット学習とテストを採用:$f_d$ はUCF-101とVISPRで学習され、その後UCF-101でアクション認識、VISPRでプライバシー抑制の評価が行われる。
  • プライバシー予算は、感度の高い属性の正確な予測を罰するタスク駆動型損失 $L_B$ によって定義され、$\mathcal{B}$ は保護すべきプライバシー属性の集合を表す。

実験結果

リサーチクエスチョン

  • RQ1敵対的訓練フレームワークは、多様で未観測のモデルに対しても、アクション認識の高い性能と強力なプライバシー保護の両立を効果的に実現できるか?
  • RQ2未知のプライバシー推論モデルに一般化できる劣化変換をどのように学習できるか? すなわち、「∀チャレンジ」をどのように克服できるか?
  • RQ3予算モデルの再起動とアンサンブルは、プライバシー保護表現のロバスト性をどの程度向上させるか?
  • RQ4単純なダウンサンプリングやスーパーレゾリューションと比較して、提案手法はプライバシー・ユーティリティトレードオフにおいて優れているか?
  • RQ5UCF-101とVISPRを用いたクロスデータセット学習によって、ドメインシフトが存在する中でも、有効なプライバシー保護認識が可能になるか?

主な発見

  • 提案された敵対的訓練フレームワークは、VISPR-17およびVISPR-7ベンチマークにおいて、ベースライン手法に比べて優れたプライバシー・ユーティリティトレードオフを達成した。
  • 予算モデルのアンサンブルと再起動の活用により、劣化ネットワーク $f_d$ の一般化性能が顕著に向上し、多様な攻撃者モデルに対するプライバシー漏洩が低減された。
  • UCF-101(アクション認識)とVISPR(プライバシー抑制)でクロスデータセット学習を行っても、両タスクで高い性能を維持した。
  • 単純なダウンサンプリングやスーパーレゾリューション手法では、競争力のあるトレードオフが達成できず、有効なプライバシー保護のためには敵対的訓練の必要性が浮き彫りになった。
  • VISPR-17およびVISPR-7におけるプライバシー属性予測の正確性が低下したことで、感度の高い情報の効果的な抑制が実証された一方で、アクション認識性能は保持された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。