CVPR 2023 | 用「影子」模拟攻击者行为，提升系统安全性

想要大幅降低人脸识别系统泄露隐私的风险？

先做个“影子模型”攻击一遍就好了。

这不是说着玩，而是浙江大学和阿里巴巴合作提出的最新方法，已被CVPR 2023接收。

一般来说，人脸识别系统都采用客户端-服务器模式，通过客户端的特征提取器从面部图像中提取特征，并将面部特征而非照片存储在服务器端进行人脸识别。

• 基于优化
• 基于学习
  
  

• Online模式
• Offline模式

AdvFace提供了可选的人脸隐私保护强度，如下是该方法在不同保护强度下，人脸隐私保护的情况。

可以看到保护强度大于0.15后，隐私可以得到很好的保护。

如下是不同噪声强度下，重构图片的PSNR指标和人脸识别精度。

在保护强度为0.2时，精度略有下降，但在防御重构攻击和精度上取得了更好的平衡（图表中越接近左下角越优，意味精度高的同时，对重构攻击防御效果好）。

而在对重构攻击的防御上，AdvFace的效果也明显优于其他方法。

对于攻击者使用重构图片进行人脸认证的测试中，使用AdvFace后，攻击成功率明显低于其他方法。

如上所有结果表明，AdvFace在保持人脸识别准确度的同时，有效提升了人脸识别系统对重构攻击的防御能力。

与此同时，它提出的重构攻击映射的相似性，还为防御未知黑盒攻击提供了理论支撑。

该成果发表于Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. 2023，是CCF推荐的人工智能领域A类会议。

本文来源：量子位

分享仅供学习参考，若有不当，请联系我们处理。