[论文解读] Towards Privacy-Preserving Visual Recognition via Adversarial Training: A Pilot Study
本文提出一种对抗性训练框架,通过优化动作识别性能与隐私预算之间的权衡,学习一种退化变换以在视觉识别中保护隐私。该框架引入了预算模型重启和集成技术,以增强对未见黑客模型的泛化能力,在UCF-101和VISPR数据集上实现了强隐私保护,同时保持了高动作识别准确率。
This paper aims to improve privacy-preserving visual recognition, an increasingly demanded feature in smart camera applications, by formulating a unique adversarial training framework. The proposed framework explicitly learns a degradation transform for the original video inputs, in order to optimize the trade-off between target task performance and the associated privacy budgets on the degraded video. A notable challenge is that the privacy budget, often defined and measured in task-driven contexts, cannot be reliably indicated using any single model performance, because a strong protection of privacy has to sustain against any possible model that tries to hack privacy information. Such an uncommon situation has motivated us to propose two strategies, i.e., budget model restarting and ensemble, to enhance the generalization of the learned degradation on protecting privacy against unseen hacker models. Novel training strategies, evaluation protocols, and result visualization methods have been designed accordingly. Two experiments on privacy-preserving action recognition, with privacy budgets defined in various ways, manifest the compelling effectiveness of the proposed framework in simultaneously maintaining high target task (action recognition) performance while suppressing the privacy breach risk.
研究动机与目标
- 为解决在智能摄像头系统中保护视觉隐私的同时不损害目标任务(如动作识别)的实用性这一挑战。
- 制定一种对任何潜在黑客模型(而不仅单一对手)都稳健的任务驱动隐私预算。
- 开发一种可泛化的退化变换,以模糊隐私敏感属性,同时保留与任务相关的关键特征。
- 通过新颖的训练策略克服“∀挑战”——即确保隐私保护在所有可能的推理模型中均有效。
- 在UCF-101和VISPR数据集上建立跨数据集训练与评估的基准,用于评估隐私保护视觉识别。
提出的方法
- 该框架使用一个共享的退化网络 $f_d$,将原始视频输入转换为隐私保护表示。
- 通过并行训练两个分支:一个用于目标任务(在UCF-101上进行动作识别),使用 $f_d + f_T$;另一个用于隐私抑制(在VISPR上进行),使用 $f_d + f_b$,其中 $f_b$ 是用于隐私属性的预算模型。
- 通过对抗性训练优化退化网络 $f_d$,以最小化目标任务损失,同时最大化隐私属性预测损失。
- 该方法采用两种策略——预算模型重启与集成——以提高 $f_d$ 对未见隐私推理模型的泛化能力。
- 提出一种新颖的评估协议:采用跨数据集训练与测试——$f_d$ 在UCF-101和VISPR上进行训练,随后在UCF-101上评估动作识别性能,在VISPR上评估隐私抑制性能。
- 通过任务驱动损失 $L_B$ 定义隐私预算,该损失惩罚对敏感属性的准确预测,其中 $\mathcal{B}$ 表示需保护的隐私属性集合。
实验结果
研究问题
- RQ1对抗性训练框架能否在多样且未见的模型面前,有效平衡高动作识别性能与强隐私保护?
- RQ2如何学习一种退化变换,使其能泛化于未知的隐私推理模型,以应对“∀挑战”?
- RQ3预算模型重启与集成在多大程度上提升了隐私保护表示的鲁棒性?
- RQ4与基线方法(如简单下采样或超分辨率)相比,该框架在隐私-效用权衡方面表现如何?
- RQ5在UCF-101和VISPR上进行跨数据集训练,是否能在存在领域偏移的情况下实现有效的隐私保护识别?
主要发现
- 所提出的对抗性训练框架在VISPR-17和VISPR-7基准上,相比基线方法实现了更优的隐私-效用权衡。
- 采用预算模型集成与重启策略显著提升了退化网络 $f_d$ 的泛化能力,降低了在各类攻击者模型下的隐私泄露。
- 即使采用跨数据集训练(UCF-101用于动作识别,VISPR用于隐私抑制),该框架在两项任务上仍保持了强劲的性能。
- 简单下采样与超分辨率技术无法实现具有竞争力的权衡,凸显了对抗性训练在有效隐私保护中的必要性。
- 该框架显著降低了在VISPR-17和VISPR-7上的隐私属性预测准确率,证明了对敏感信息的有效抑制,同时保持了动作识别性能。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。