Recoverable Privacy-Preserving Image Classification through Noise-like Adversarial Examples

要約

クラウド コンピューティング プラットフォームの普及が進むにつれて、分類などのクラウドベースの画像関連サービス中にデータ プライバシーを確​​保することが重要になっています。
この研究では、専用の分類器を再トレーニングすることなく、平文ドメインでトレーニングされた分類器を直接適用して暗号化された画像を分類できる、新しいプライバシー保護画像分類スキームを提案します。
さらに、暗号化された画像は、秘密鍵を使用して高い忠実度で元の形式に復号化することができます (復元可能)。
具体的には、私たちが提案するスキームには、特徴抽出器とエンコーダを利用して、新しく設計されたノイズ状敵対的例（NAE）を通じて平文画像をマスクすることが含まれます。
このような NAE は、暗号化された画像にノイズのような外観をもたらすだけでなく、ターゲット分類器に暗号文を元の平文画像と同じラベルとして予測させることになります。
復号段階では、対称残差学習 (SRL) フレームワークを採用し、劣化を最小限に抑えて平文画像を復元します。
広範な実験により、1) 平文ドメインでトレーニングされた分類器の分類精度は、暗号文ドメインと平文ドメインの両方で同じままであることが実証されています。
2) 暗号化された画像は、SVHN データセットの場合は最大 51+ dB、VGGFace2 データセットの場合は 48+ dB の平均 PSNR で元の形式に復元できます。
3) 私たちのシステムは、トレーニング用とは異なるデータセットにわたる暗号化、復号化、および分類タスクに関して満足のいく一般化機能を示します。
4) 3 つの潜在的な脅威モデルに対して高レベルのセキュリティが実現されます。
コードは https://github.com/csjunjun/RIC.git で入手できます。

要約(オリジナル)

With the increasing prevalence of cloud computing platforms, ensuring data privacy during the cloud-based image related services such as classification has become crucial. In this study, we propose a novel privacypreserving image classification scheme that enables the direct application of classifiers trained in the plaintext domain to classify encrypted images, without the need of retraining a dedicated classifier. Moreover, encrypted images can be decrypted back into their original form with high fidelity (recoverable) using a secret key. Specifically, our proposed scheme involves utilizing a feature extractor and an encoder to mask the plaintext image through a newly designed Noise-like Adversarial Example (NAE). Such an NAE not only introduces a noise-like visual appearance to the encrypted image but also compels the target classifier to predict the ciphertext as the same label as the original plaintext image. At the decoding phase, we adopt a Symmetric Residual Learning (SRL) framework for restoring the plaintext image with minimal degradation. Extensive experiments demonstrate that 1) the classification accuracy of the classifier trained in the plaintext domain remains the same in both the ciphertext and plaintext domains; 2) the encrypted images can be recovered into their original form with an average PSNR of up to 51+ dB for the SVHN dataset and 48+ dB for the VGGFace2 dataset; 3) our system exhibits satisfactory generalization capability on the encryption, decryption and classification tasks across datasets that are different from the training one; and 4) a high-level of security is achieved against three potential threat models. The code is available at https://github.com/csjunjun/RIC.git.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google