zZh的小窝

靡不有初 鲜克有终

0%

[论文阅读] LowKey: Leveraging Adversarial Attacks to Protect Social Media Users from Facial Recognition

发表于 更新于 分类于 > 阅读次数: Valine:
本文字数: 2.3k 阅读时长 ≈ 2 分钟
ICLR2021 LowKey: 利用对抗攻击保护社交媒体用户免于人脸识别

题目:LowKey: Leveraging Adversarial Attacks to Protect Social Media Users from Facial Recognition

作者:Valeriia Cherepanova, Micah Goldblum, Harrison Foley, Shiyuan Duan, John P. Dickerson, Gavin Taylor, Tom Goldstein

链接:文章链接

1 摘要翻译

人脸识别系统越来越多地被私营企业、政府机构以及消费者服务和大规模监控项目的承包商使用。这些系统通常是通过抓取社交媒体资料来获取用户图片。对抗扰动已经被提出用来绕过面部识别系统。然而,现有的方法在大规模系统和商业api上失败了。我们开发了我们自己的对抗性滤波器,它占了整个图像处理流程,并且对包括人脸检测和大规模数据库在内的工业级流程非常有效。此外,我们发布了一个易于使用的网络工具,显著降低了Amazon Rekognition和Microsoft Azure人脸识别API的准确性,将它们的准确性降低到1%以下。

基本问题

  • 解决问题:首个提出利用对抗样本思路保护人脸隐私
  • 贡献
    1. 我们设计了一种针对人脸识别模型的黑盒对抗攻击。我们的算法移动gallery faces的特征空间表示,使它们不匹配相应的probe图像,同时保持图像质量
    2. 我们在商业黑盒api(包括Amazon Rekognition和Microsoft Azure Face)上测试方法的性能,这些api的内部工作原理尚未公开。我们与现有的数据投毒替代方案Fawkes进行了全面的比较,我们发现,Fawkes在每个实验中都是无效的,但我们的方法始终阻止了面部识别。
    3. 我们发布了一个简单易用的网络工具LowKey
  • 相似方案, Fawkes的问题
    • Fawkes假设人脸识别从业者根据每个人的数据训练他们的模型。
    • 作者主要使用图像分类器。相比之下,商业系统使用FR特定的head和loss进行训练,而不是分类器使用的标准交叉熵损失
    • 作者在非常小的数据集上进行评估,且该系统只使用top-1精确度进行评估。
    • 虽然原论文描述了人眼无法察觉Fawkes的扰动,但实验表明,情况恰恰相反
    • Fawkes还没有发布应用程序或网络工具

2 Method

为了提高黑盒迁移性,使用集成模型攻击。对于每个集成的模型,目标函数都考虑与原图的特征空间的差距,包括使用和不使用高斯模糊。同时使用LPIPS来作为感知相似度损失。

其中\(x\)是原图像,\(x'\)是扰动图像,\(f_i\)表示第i个模型,\(G\)是高斯平滑函数,\(A\)表示人脸检测和人脸对齐为112x112图像。

使用迭代符号梯度上升方法求解。

集成模型是IR-152和ResNet-152,用ArcFace和CosFace做损失训练的4个模型。

注意,LowKey是通过更改gallery set中的图像来实现上传真实图像的人脸隐私保护的。

3 Experiments

3.1 Experiments Setting

文中的实验是使用FaceScrub数据集,去除接近重复的图像,选择每个身份的1/10的图像作为probe images,剩下的图像插入gallery set中。随机选择100个身份使用LowKey保护,模拟大规模用户中少量使用LowKey做隐私保护的用户。

3.2 在商业API上实验

略过,效果比Fawkes好很多

3.3 补充实验

Ensemble and Transferability

使用不同模型做白盒和黑盒进行实验,发现集成模型具有更好的黑盒迁移性。

Gaussian Smoothing

我们在我们的目标函数中加入高斯平滑作为预处理步骤,以使我们的扰动更平滑和更稳健。直觉上,这提高了被攻击图像的有效性,即使应用了去噪滤波器。加入模糊,可以迫使对抗扰动是基于低频的图像修改,而不是“噪声”。

生成的图像也表明,扰动变得平滑,且没有尖锐线条和高频的振荡。

并且实验表明,加入了高斯平滑后,在Rank-50精度上与不加高斯平滑一样好,但是却更有鲁棒性。

Run-time

生成一张用2080TI要32s,略过。

Robustness to Image Compression

如jpg格式保存图像会有压缩损失。实验表明会略微降低性能,但是攻击仍然十分有效。

Scalability to All Image Sizes

对不同大小图像的保护能力也很重要,因为在生成对抗扰动的时候,将人脸缩放到了112x112大小,恢复的时候,若原始人脸过大或过小,都会导致攻击能力大幅下降。

实验也验证了这个结果。

Discussion

在这项工作中,我们开发了一个工具,以保护用户免受未经授权的面部识别。我们的工具在用户图片上传到社交媒体之前对其进行预处理。这些预处理后的图像对于第三方机构收集来进行面部识别是无用的。虽然我们已经证明了LowKey对于商业黑箱api是非常有效的,但它不能100%地保护用户,可能会被专门设计的健壮系统所绕过。因此,我们希望用户在公开个人信息时仍保持谨慎。一个有趣的未来方向是生产更具美感的对抗性过滤器,以促进该工具的更广泛使用。然而,可能没有免费的午餐,如果没有可见的干扰,人们无法欺骗最先进的面部识别系统。最后,我们注意到,我们推广这一工具的目标之一是提高人们对面部识别及其引发的道德问题的更广泛认识。可以在lowkey.umiacs.umd.edu网址找到LowKey工具。

总结与思考

  1. 本方法生成的图像质量还是太差,使用LPIPS作为可感知性损失,有没有其他更好的方法代替。
  2. 如何解决大图像攻击效果不佳的问题?
-------------本文结束感谢阅读-------------