文摘

解决这个问题很容易泄露隐私数据在人脸识别技术的应用程序,方法是基于微分隐私提出了隐私安全保护。首先,贝叶斯GAN进行获取训练数据以相同的分布为隐私数据,和微分隐私的算法进行训练训练数据与隐私保护获得这些标签。然后,基于该细铅字的轻量级人脸识别模型,用噪声生成标签,恢复上的梯度下降法进行人脸特征向量的攻击。最后,通过分析隐私的损失,一个精确的提供隐私保护边界。从实验的结果可以知道,拟议中的隐私安全保护方法可以有效保护下的人脸识别模型的参数信息的人脸识别技术的识别精度和减少攻击者的图像恢复。与隐私保护方法如DPSGD和脑袋,隐私保护能力强,可以应用于实际应用的隐私保护。

1。介绍

新世纪以来,互联网行业的应用和计算机技术的快速发展不仅带来了巨大的方便数据共享,也增加了隐私泄露的风险。近年来,随着网络攻击手段的不断丰富,频繁发生的安全事件,如隐私泄漏,保护隐私数据不再是隐藏敏感属性数据但更多的数据查询的准确性,最大限度地减少识别和记录的可能性,这对隐私保护构成了新的挑战,特别是今天,人脸识别技术越来越成熟。

此外,研究人员也做了很多研究人脸识别和隐私保护。首先,在人脸识别领域,Shoba等人提出可以提高人脸识别的准确性通过有效的特征提取1]。星哈等人融合先进和VGG提取和融合面部特征,然后认识的脸。这种方法的特点是,可以大大提高识别的准确性通过深度融合2]。唱等人提出了基于混合图像噪声去除方法规范约束回归模型的人脸识别图像中的噪声问题。最后,实验是在五个常用的人脸识别数据库。从结果可以知道,上述方法优于传统的回归模型(3]。Padmanabhan等人机器学习算法应用于人脸识别和验证的效率,机器学习算法在人脸识别4- - - - - -8]。刘等人提出了一个脸图像识别方法是基于奇异值处理,以便扩大数据样本集(9]。从上述研究可以看出,目前人脸识别技术主要从三个方面:一是面对图像的特征提取;另一种是图像特征分类;第三个是图像样本处理。然而,上述研究有一个共同点,那就是,为了提高人脸识别的准确性。

解决问题的隐私安全,库马尔等人提出将生物识别技术引入云计算技术,人脸识别技术等,以提高云计算环境的安全(10]。隐私保护的智能家居系统,Yassine等人应用改进的再分类器的识别方法。结果表明,安全是极大地提高了该方法。但是,一般来说,对隐私保护的研究相对较少的应用程序11]。

基于上述学者的大量研究,深度学习在隐私保护方面取得了良好的效果在人脸识别技术。因此,本研究利用贝叶斯生成对抗网络(甘斯)的深度学习获取训练数据以相同的分布为隐私数据,提出了一种微分隐私隐私安全保护方法。细铅字的轻量级的人脸识别模型生成标签与噪声,恢复上的梯度下降法进行人脸特征向量的攻击,和隐私损失分析是用于获得准确的隐私保护边界,实现人脸识别下的隐私保护技术。

2。基本方法

2.1。介绍贝叶斯甘

贝叶斯GAN甘的一种变体。贝叶斯公式是用来训练GAN实现无监督和semisupervised学习,它可以解决梯度消失的问题和培训培训过程中不稳定的氮化镓。在贝叶斯甘,权重向量 发电机和识别器可以通过迭代采样的条件后验概率12- - - - - -14]: 在哪里K类的数量;N年代样品的数量,保持标签;z代表白噪声; nd分别是小批量的数量对发电机和识别器训练样本; hyperparameters; 是发电机和识别器参数的先验概率下吗 ; 样本的概率是 属于标签 ;0意味着生成器生成样本类标签。

假设输入的贝叶斯甘 ,输出的预测分布 可以表示为(15]

在贝叶斯GAN HMC的动态梯度使一代网络的权重进行网络进行边缘化和歧视,这方法可以获得良好的性能没有任何标准的干预。

2.2。微分隐私的介绍

微分隐私保护隐私是一项新技术,它的目的是使数据查询的准确性最高,识别和记录的可能性最小。基本概念的要求是每一个元素在数据集对数据集的总体产出的影响有限。因此,这种技术可以确保攻击者后查询数据集的输出结果,攻击者还不能推断出哪个元素在数据集对输出结果的影响,然后不能推断出有关个人隐私信息的数据集来实现隐私保护。

的定义形式的微分隐私表示如下:

定义1。让所有的值的随机算法的输出结果被点到的SM是一个子集点,然后对任何一对D 相邻的数据集,满足 不同的隐私,如方程所示(4)[16]: 的参数 代表隐私保护的预算,和小的价值 ,隐私保护的水平就越高。
根据定义1微分隐私限制任何元素的影响的数据集对算法的输出结果和理论上确保了算法满足 微分隐私,可以实现通过添加噪声的实际应用。

2.3。介绍了细铅字的模型

细铅字的模型是第一个轻量级网络模型基于深可分解的卷积模型MobileNets卷积后通过添加一个重量校准模块层。卷积是一个标准层,第一层和最后一层是一个完整连接层,其他网络层relu激活函数和批处理规范化。背后的重量校准模块位于卷积层,及其具体结构如表所示1(17]。

表1
重量校准模块结构。

在表1, 代表的大小特征映射的输入,和代表的数量特征地图频道。FC1和FC2完整连接层,类似于BP神经网络。在FC1,通过添加维度是减少γ参数减少的参数。FC2的适当的γ将提高维降维前的水平。在本文中,我们γ是8。

通过重量校准模块,每个通道的重量,然后一个新特性映射可以通过学习获得的重量和权重每个通道。最后,获得特征映射是减少到1×1维通过去年的平均池层细铅字的模型,通过完整连接层和结果输出,同时,L2功能正常化进行获取特征表示。如果L2范数的值设置为1,所有功能的图像将映射到一个超球面。此功能是用来计算三重损失,根据损失和功能优化的结果,同一个类的两张图片是否可以判断点在特征空间距离。

三联体损失计算如下(18]:

的公式, 代表样本的特征表达一个,p,N分别为,pN积极的样品这是相同的吗一个和负样本的不同一个,分别。T代表的三重组合训练集,和元素的数量T。因此,相应的目标函数可以表示为

根据目标函数,当之间的距离一个N大于或等于的总和一个和之间的距离一个p损失是0;相反,会有损失。

根据上述分析,细铅字的模型使用更少的乘法和加法操作在定义网络,所以它可以提高网络的计算速度在一定程度上。然而,这个方法提高网络计算速度的能力有限,为了进一步提高网络计算速度,本文使用了高度优化的通用矩阵乘法GEMM函数卷积操作。因为主要的计算量细铅字的重点是1×1点卷积和GEMM可以直接实现1×1卷积运算,在细铅字的GEMM可以实现高效的操作。

3所示。基于微分隐私的人脸识别方法

3.1。微分隐私框架

上述基本知识的基础上,在这项研究中,隐私保护方法在人脸识别技术设计如图1。在学习策略阶段,首先,使用贝叶斯GAN火车标记为私有数据,和训练模型用于生成新的数据。然后,新生成的数据将被输入到训练贝叶斯GAN鉴别器来获取每个数据的预测概率。最后,生成的数据和相应的标记将被输入到数据处理阶段。通过这些步骤,数据学习完成。


图1
隐私保护方法在人脸识别技术。

在隐私保护阶段,主要目的是增加不确定性数据生成的标签来保护隐私,和实现本研究通过添加噪声满足拉普拉斯分布。首先,假设每个数据标签的尺寸K+l最后一个维度的数据代表虚假数据的概率值,和概率数据属于类数据是P。添加噪声方程所示(7)P和执行正常化过程方程所示(8),生成一个嘈杂的标签(19]。 在哪里γ是隐私保护参数,表示可以提供隐私保护的强度,其值越大,强提供的隐私保护。 代表了拉普拉斯分布位置0和规模γ 代表添加的噪声概率值。 标准化的结果吗

最后,数据与噪音标签用于列车最终版本的模型。为了提高该模型的准确性,研究使用的集成学习方法训练外部访问模型。首先,n从数据收集的数据训练细铅字的模型,和n细铅字的模型。然后,n细铅字的模型数据聚合为一个输出模型。最后,输入数据的最终结果可以根据多数原则,如下: 在哪里 代表这个模型的最终输出结果, 代表输入数据, 代表的数量的结果 属于类j,

在隐私保护的整个过程,因为隐私数据是进行贝叶斯GAN训练并不是在出版模式进行训练,即使外部模型参数是披露,攻击者无法得到隐私数据重建的攻击。此外,由于输入数据的出版模式是新生成的非敏感数据的贝叶斯GAN和噪声添加在隐私保护阶段,它将破坏攻击者的攻击,攻击无法重建再现清晰的隐私数据。最后,采用整体学习训练释放模型,确保了模型精度高而实现隐私保护。

3.2。隐私的损失分析

基于上述微分隐私保护方法,在人脸识别技术可以保证隐私保护。为了进一步准确地实现隐私保护,本研究使用时间会计详细分析隐私的损失,并提供一个精确的隐私保护边界。

3.2.1之上。时间的会计

会计是一个方法来准确计算隐私的损失及其基本定义如下:

定义2。假设有一个辅助输入辅助,输出 ,其隐私的损失 在哪里 代表了隐私的损失被定义为随机变量

定义3。假设随机算法的辅助输入 是辅助, 是相邻的数据集,会计可以表示为 在哪里 代表了隐私的损失的时间生成函数随机变量,可以计算如下: 此外,会计具有以下特性。

定理1(可组合性)。假设是自适应算法的集合M1,……可, ,然后,任何输出序列 , 满足[19]

定理2。对于任何 ,满足 微分隐私:

定理3。假设有相邻的数据集 ,是一个记录的算法 满足 微分隐私,每个类型的相应数量的选票新泽西可以最多相差1,和任何l辅助, 满足[20.- - - - - -23]

3.2.2。人脸识别分析模型与隐私保护隐私

的隐私分析人脸识别模型与隐私保护是由会计。首先,在模型训练的每一步, 微分隐私被选中来生成标签与隐私保护,满足和算法 微分隐私后T步骤。由于广泛的隐私界限,很难满足实际应用要求的人脸识别与隐私保护模型,所以尼古拉斯Papernot提出了更严格的隐私丢失边界的方法。该方法满足以下定理:

定理4。如果满足 微分隐私,任何输出 满足[24- - - - - -26]:

然后,对于任何辅助,d, ,满足

定理5。假设n是数据集的标签得分向量Dj满足 ,然后,

根据上面的属性,一个上限可以提供一个特定的部分向量n实现约束在一个特定的时间。使用 计算一个特定的时间,比会计将会更严格的隐私保护边界。

4所示。结果和分析

4.1。实验环境和数据来源

在这个实验中,TensorFlow的框架下,模型将训练。选择实验数据从LFW YTF,证监会的数据集。其中,伦敦时装周的数据集包括13323在线5749人的照片。YTF数据集包含了与1595年3425组YouTube视频主题和在这个实验中,选择5清楚每个视频帧图像作为实验数据。香港证监会数据集包括440万的图像标记的4030人,每人800 - 1200年的数据。

为了使实验数据集符合模型的图像输入,本研究的实验图像预处理。首先,面对探测器上运行实验图像来生成一个严格的边界框的脸。然后,生成的脸图像调整到相应的网络输入的大小和在这篇文章中,它的分辨率是224∗224。最后,满足模型的输入条件的图像可以被输入到网络进行训练。

4.2。甘与贝叶斯参数设置

在这个实验中,最初的学习速率细铅字的模型设置为0.05,阈值是0.2,使用异步更新参数梯度下降算法。为了确定的数量的影响细铅字的人脸识别的识别精度模型,引导抽样将用于提取n数据从LFW YTF数据集,分别训练n模型和结果将聚合获得人脸识别模型在不同细铅字的模型的准确性,如在图表示2。图显示人脸识别模型的准确性与N的增加,逐渐增加和准确性后趋于稳定n= 70。通过充分考虑模型的精度和尺寸,n在这项研究中设置= 50。


图2
人脸识别模型的精度在不同数量的细体铅字。
4.3。实验结果
4.3.1。贝叶斯GAN训练数据验证

为了验证贝叶斯GAN使用的有效性,本实验使用不同的氮化镓网络模型生成的训练数据的脸图像不同噪声水平下TensorFlow框架和输入人脸识别模型,并获得精度模型的结果在图表示3。生成的图表明,训练数据的贝叶斯GAN识别人脸识别模型的精度最高,这种优势更加明显和噪声的增强。这表明数据生成的贝叶斯GAN更加多样化和实际接近真正的样本分布。


图3
识别精度产生的训练样本人脸识别模型的不同的甘斯。

为了进一步验证贝叶斯GAN的有效性,本文增加了噪声的数据标签生成的网络,增加了高噪声值为0.05时,介质噪声值为0.1,与低噪声值为0.2,分别;输入的人脸识别模式培训;与不同的噪音水平和获得模型训练的结果,如图4。图显示与噪声强度的增强,数据标签的识别准确性和脸模型生成的贝叶斯GAN逐渐减少。低噪声的条件下,中噪声和高噪音,模式识别的精度可以达到99%,97%,和86%,分别。这表明贝叶斯甘有一定的有效性,从而保证人脸识别模型具有较高的识别精度,满足实际应用的需要。

(一)
(一)
(b)
(b)
(c)
(c)
图4
人脸识别模型的准确性受到不同程度的噪声。
4.3.2。细铅字的模型验证

(1)模型的比较。为了验证的有效性细铅字的模型,这个模型的参数和计算和其他人脸识别模型相比,表的代表2(17]。表显示,与其他模型相比,细铅字的模型的计算量和参数提出了研究大大减少,表明在这项研究中提出的模型具有一定的优势,和速度和数量满足需求的轻量级人脸识别模型。

表2
比较计算量和参数的不同模型。

为了进一步验证该模型的有效性和泛化能力,这项研究将验证实验数据集。不同模型的准确性对伦敦时装周的数据显示在图5,当= 0.0001,不同模型的准确性在图表示6。从实验结果可以看出,与比较模型相比,细铅字的模型的计算量和参数提出了研究大大减少,精度提高了1.5% - -3%。这表明细铅字的模型,提出了在本研究中具有一定的优势。


图5
比较不同模型的准确性。

图6
比较不同模型的准确性。

(2)鲁棒性测试。为了验证该模型的实际应用效果,本研究进行了测试在nexus 6 p移动设备,和该模型的性能与VGG16等经典网络的性能。结果在表表示3(17]。表显示细铅字的模型,提出了研究满足轻量级的网络标准,可以应用于移动设备,在速度和性能有一定的优势。

表3
鲁棒性测试结果不同的模型。
4.3.3。隐私保护方法的验证

为了验证拟议中的隐私保护方法的有效性,本研究验证这三个数据集:LFW,证监会,YTF和比较DPSGD和脑袋隐私保护方法27]。结果在表表示4(17]。表显示与比较隐私保护方法相比,提出的隐私保护方法在本研究中实现三个实验数据集上的识别精度最高,平均识别精度高于脑袋DPSGD高出1%和0.5%。这表明隐私保护策略提出了研究是有效的。

表4
模型精度的比较在不同的方法。

根据定理2、表5显示了模型精度的差分隐私保护的价值 表显示,相比之下,模型训练没有噪音标签数据,模型的准确性提出了研究降低0.34%。当失败率是10−5,一个严格的隐私边界 将生成的。这表明在本研究提出的模型能保持很高的识别精度的前提下保证隐私安全(17]。

表5
模型识别精度在不同的比较方法。

5。结论

综上所述,本研究提出了一种基于微分隐私的隐私保护方法。通过贝叶斯GAN和微分隐私保护算法,标签与隐私保护可以防止攻击者获得直接访问隐私数据训练模型。通过使用提出细铅字的轻量级人脸识别模型与噪声生成标签,恢复面部特征向量可以梯度减少,和攻击者恢复面部敏感数据的准确性是可以减少的。通过隐私损失分析,准确的隐私保护隐私数据的边界可以提供。与隐私保护方法如DPSGD和脑袋,隐私保护方法提出了研究隐私保护能力强,可以应用于隐私保护在应用人脸识别技术。虽然这个研究已经取得了一些研究成果,在实际环境中应用程序中仍存在一些问题,例如,基于微分隐私人脸识别模型采用整体学习在培训过程中,虽然这种方法确保能保持高精度的模型,其训练时间长,CNN网络与并行计算可以被认为是加快训练速度。在后续的研究中,从这个方面,还要进行进一步的讨论。

数据可用性

实验数据可从相应的作者。

的利益冲突

作者宣称没有利益冲突的这方面的工作。