Adaptive Hybrid Masking Strategy for Privacy-Preserving Face Recognition Against Model Inversion Attack

在训练人脸识别（FR）模型时利用个人敏感数据会带来重大的隐私问题，因为攻击者可以使用模型反演攻击（MIA）来推断出原始训练数据。现有的防御方法，如数据增强和差分隐私，已被用于缓解这个问题。然而，这些方法经常无法在隐私和准确性之间达到最佳平衡。为了解决这个限制，本文介绍了一种自适应混合掩蔽算法来抵御MIA。具体而言，采用自适应MixUp策略在频域中对人脸图像进行掩蔽。与传统的MixUp算法不同，我们修改的方法结合了频域混合。先前的研究表明，增加MixUp中混合的图像数量可以增强隐私保护，但会降低人脸识别的准确性。为了克服这种权衡，我们基于强化学习开发了一个增强的自适应MixUp策略，能够在保持令人满意的识别准确性的同时混合更多的图像。为了优化隐私保护，我们提出在策略网络的训练过程中最大化奖励函数（即FR系统的损失函数），而在FR网络的训练阶段最小化FR网络的损失函数。策略网络和人脸识别网络可以被视为训练过程中对抗的实体，最终达到更平衡的权衡。实验结果表明，我们提出的混合掩蔽方案在隐私保护和对抗MIA的识别准确性方面优于现有的防御算法。

本文旨在解决面部识别模型中个人敏感数据被用于训练时可能导致的隐私问题，特别是模型反演攻击（MIA）的问题。

本文提出了一种自适应混合遮蔽算法来对抗MIA攻击。该算法使用自适应的MixUp策略在频域中对面部图像进行遮蔽，以增强隐私保护。同时，通过强化学习来优化MixUp策略，以在保持识别准确性的同时混合更多的图像，从而实现更好的隐私保护。

本文提出的混合遮蔽方案在隐私保护和识别准确性方面优于现有的防御算法。实验结果表明，该算法在多个数据集上均表现出色。此外，本文还提出了一种基于强化学习的MixUp策略优化方法，可作为未来研究的方向。

最近的相关研究包括使用数据增强和差分隐私等方法来缓解MIA攻击的隐私问题。