汪 濤，張玉書+，趙若宇，溫文媖，朱友文

1.南京航空航天大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，南京 211106

2.江西財(cái)經(jīng)大學(xué) 信息管理學(xué)院，南昌 330013

隨著在線社交網(wǎng)絡(luò)的發(fā)展，人們?nèi)粘Ｉ畹纳鐣?huì)交往和信息交換方式發(fā)生了巨大的改變。目前，越來(lái)越多的人傾向于在社交網(wǎng)絡(luò)上共享圖像以表達(dá)自己和與他人互動(dòng)。然而，在線圖像中作為通用身份標(biāo)識(shí)符的人臉信息一經(jīng)泄露，將對(duì)用戶隱私構(gòu)成巨大威脅。一方面，不可信第三方在社交網(wǎng)絡(luò)中任意收集用戶的人臉圖像來(lái)構(gòu)建人臉庫(kù)，之后依托于高性能的人臉識(shí)別系統(tǒng)對(duì)用戶行為進(jìn)行大規(guī)模的監(jiān)控。另一方面，人臉圖像中包含的大量軟生物屬性（如性別、年齡、種族等）可以被自動(dòng)識(shí)別技術(shù)提取并與現(xiàn)有數(shù)據(jù)庫(kù)進(jìn)行匹配，從而進(jìn)一步推斷用戶的敏感信息。出于隱私考慮而簡(jiǎn)單地限制發(fā)布人臉圖像盡管是一個(gè)可行的解決方案，但極大地降低了用戶分享圖片的樂(lè)趣，開(kāi)發(fā)基于深度學(xué)習(xí)的隱私保護(hù)技術(shù)來(lái)解決技術(shù)本身帶來(lái)的問(wèn)題會(huì)更有效。

為保護(hù)社交網(wǎng)絡(luò)上用戶的人臉隱私，一類方法[1-5]旨在生成一個(gè)參考人臉來(lái)替代原始人臉從而完全去除可識(shí)別信息。雖然這類方法達(dá)到了令人滿意的去識(shí)別效果，但是由于生成人臉和原始人臉的視覺(jué)外觀存在顯著的差異，使得用戶的好友也無(wú)法在視覺(jué)上感知圖像中人臉的身份，違背了用戶上傳個(gè)人圖像的初衷。

因此，另一類方法[6-11]通過(guò)在面部區(qū)域添加具有對(duì)抗性的擾動(dòng)，以躲避未知識(shí)別系統(tǒng)的檢測(cè)而不阻礙人類對(duì)身份的感知。TIP-IM（targeted identityprotection iterative method）[8]允許用戶在分享個(gè)人圖像之前為人臉佩戴上具有對(duì)抗性的隱私面具。通過(guò)這種方式，圖像中人臉的身份無(wú)法被未知人臉識(shí)別模型以及商業(yè)應(yīng)用程序編程接口（application programming interfaces，APIs）所識(shí)別，但是依舊可以被人類感知?？紤]到特定于圖像的隱私面具不僅耗時(shí)而且安全性較低，OPOM（one person one mask）[10]利用優(yōu)化理論為用戶生成一個(gè)定制的隱形斗篷，其可以被添加到該用戶的所有圖像中，進(jìn)一步提高了隱私保護(hù)的實(shí)時(shí)性和實(shí)用性。盡管如此，如圖1 所示，這些方法生成的對(duì)抗性人臉依舊存在能被人眼感知的不自然擾動(dòng)，影響了用戶的視覺(jué)體驗(yàn)。為了緩解擾動(dòng)帶來(lái)的不良視覺(jué)效果，AMT-GAN（adversarial makeup transfer generative adversarial network）[11]利用廣泛可見(jiàn)的化妝作為布局?jǐn)_動(dòng)的關(guān)鍵思想，合成了具有目標(biāo)人臉妝容和目標(biāo)人臉身份的對(duì)抗人臉。但是化妝對(duì)普通用戶不具有通用性，一般來(lái)說(shuō)，成年女性更喜歡化妝，而兒童、老人以及成年男性對(duì)化妝較為反感。

圖1 本文方案與主流方案的結(jié)果圖Fig.1 Results of proposed scheme and mainstream schemes

目前，短視頻記錄平臺(tái)、直播分享平臺(tái)等都支持人臉自動(dòng)美顏的功能。加上用戶自身對(duì)美的追求，在社交網(wǎng)絡(luò)平臺(tái)發(fā)布自拍之前對(duì)人臉進(jìn)行適當(dāng)?shù)拿李佉沧兊迷絹?lái)越普遍。不同于化妝主要對(duì)眼影和唇彩進(jìn)行濃烈的渲染，人臉美顏[12-14]在于去除皮膚瑕疵以及微調(diào)五官的比例，因此適當(dāng)?shù)拿李伕菀妆挥脩羲邮?。如果能夠通過(guò)人臉美顏實(shí)現(xiàn)對(duì)人臉的隱私保護(hù)將具有重大的現(xiàn)實(shí)意義。如圖2所示，現(xiàn)有人臉美顏技術(shù)生成的結(jié)果注重保留原始身份，使得美顏人臉與原始人臉的身份相似度較高，因此無(wú)法直接用于人臉隱私保護(hù)。

圖2 美顏人臉與原始人臉的身份匹配置信度Fig.2 Confidences of identity matching between beautified face and original face

為此，本文考慮通過(guò)人臉美顏來(lái)遮蓋擾動(dòng)信息，從而提高對(duì)抗性人臉在視覺(jué)上的自然性?？偟膩?lái)說(shuō)，本文主要貢獻(xiàn)如下：

（1）探究了通過(guò)美顏來(lái)保護(hù)人臉隱私的可能性，這相對(duì)化妝來(lái)說(shuō)更易被用戶所接受；

（2）提出了一種基于美顏的身份對(duì)抗方案，通過(guò)在人臉上產(chǎn)生類似美顏的擾動(dòng)，以對(duì)抗未知的人臉識(shí)別系統(tǒng)；

（3）為身份損失添加了對(duì)抗性閾值，防止身份特征的過(guò)度偏離而導(dǎo)致的人臉區(qū)域扭曲。

1 本文方法

本文提出了一種身份對(duì)抗方案Adv-beauty，該方案能夠在全臉產(chǎn)生類似美顏的擾動(dòng)，換句話說(shuō)美顏帶來(lái)的像素變化遮蓋了擾動(dòng)信息，緩解了擾動(dòng)信息帶來(lái)的不良視覺(jué)效果。此外，該方案能夠?qū)W習(xí)更好的泛化特征來(lái)對(duì)抗未知人臉識(shí)別系統(tǒng)。

1.1 Adv-beauty框架

如圖3 所示，Adv-beauty 由四個(gè)組件組成，分別是生成器G、美顏轉(zhuǎn)換器F、美顏鑒別器D和人臉匹配器M。首先，原始人臉x∈RH×W×3輸入到美顏轉(zhuǎn)換器中生成美顏人臉F(x)=xbeauty，同時(shí)也輸入到生成器中生成對(duì)抗人臉G(x)=xadv。隨后美顏鑒別器判定美顏人臉xbeauty的美顏效果為真，判斷對(duì)抗人臉xadv的美顏效果為假。生成器通過(guò)與鑒別器進(jìn)行多輪對(duì)抗性的訓(xùn)練，最終生成的對(duì)抗人臉xadv也會(huì)具有美顏效果。此外，人臉匹配器為對(duì)抗人臉xadv添加了身份特征約束，使得生成器鼓勵(lì)對(duì)抗人臉xadv的身份特征遠(yuǎn)離原始特征，從而使得人臉匹配器輸出結(jié)果為不匹配。在人臉匹配器和美顏鑒別器對(duì)生成器的雙重約束下，生成器最終會(huì)生成具有美顏效果的對(duì)抗性人臉。

圖3 Adv-beauty框架圖Fig.3 Framework of Adv-beauty

1.2 模型結(jié)構(gòu)

1.2.1 生成器

生成器的網(wǎng)絡(luò)結(jié)構(gòu)如圖4所示，該結(jié)構(gòu)參考了自動(dòng)編碼器的架構(gòu)，以有效在高級(jí)特征層中處理原始人臉，使得生成的對(duì)抗性人臉更加自然。具體地，生成器接受輸入大小為256×256×3 的人臉圖像。輸入圖像經(jīng)過(guò)連續(xù)的5個(gè)核尺寸為4和步幅為2的卷積層（Conv）用于下采樣，得到了大小為8×8×1 024的高級(jí)特征；之后，高級(jí)特征經(jīng)過(guò)5 個(gè)核尺寸為4 和步幅為2的轉(zhuǎn)置卷積層（DeConv）用于下采樣，最初輸出256×256×3 大小的對(duì)抗人臉圖像。其中，在每個(gè)卷積層后面添加了一個(gè)批歸一化層（batch normalization，BN）和一個(gè)LeakyReLU 激活層（LReLU），用來(lái)穩(wěn)定和加速模型的訓(xùn)練。特別地，最后一個(gè)轉(zhuǎn)置卷積層只添加了Tanh 激活函數(shù)以將特征映射為RGB 圖像。此外，在卷積層和轉(zhuǎn)置卷積層之間添加了U-Net中的跳躍連接層，緩解了梯度消失的問(wèn)題和深度網(wǎng)絡(luò)訓(xùn)練中的網(wǎng)絡(luò)退化，同時(shí)保留了網(wǎng)絡(luò)中間層輸出的低級(jí)特征，例如顏色、輪廓等。

圖4 生成器的網(wǎng)絡(luò)結(jié)構(gòu)圖Fig.4 Network structure diagram of generator

1.2.2 美顏轉(zhuǎn)化器

美顏轉(zhuǎn)化器通過(guò)去除皮膚瑕疵和微調(diào)五官比例將原始人臉轉(zhuǎn)化為美顏人臉。現(xiàn)有的美顏技術(shù)較為成熟，它們采用基于深度學(xué)習(xí)的方式來(lái)檢測(cè)人臉和定位人臉關(guān)鍵點(diǎn)，之后運(yùn)用計(jì)算機(jī)圖像學(xué)的方法來(lái)實(shí)現(xiàn)人臉的美顏。本文方案采用曠世科技的自動(dòng)美顏API（https://www.faceplusplus.com.cn/face-beautify/）作為美顏轉(zhuǎn)化器。

考慮到高強(qiáng)度的美顏會(huì)明顯改變?cè)既四樀耐庥^，使得原始身份無(wú)法被人類所識(shí)別，因此本文方案固定了美顏轉(zhuǎn)化器的相關(guān)參數(shù)。以本文方案采用的曠視科技美顏API為例，設(shè)定美白程度、磨皮程度、瘦臉程度、大眼程度均為50%。

1.2.3 美顏鑒別器

美顏鑒別器需要鑒定對(duì)抗人臉的美顏效果為假以及美顏人臉的美顏效果為真。不同于傳統(tǒng)鑒別器[15]利用全連接層輸出真或假的分類結(jié)果，PatchGAN[16]被設(shè)計(jì)成全卷積的形式對(duì)每個(gè)感受野輸出分類結(jié)果，更加關(guān)注人臉的局部結(jié)構(gòu)和細(xì)節(jié)特征，將更利于對(duì)美顏效果的評(píng)估。因此選用PatchGAN 作為美顏鑒別器。

1.2.4 人臉匹配器

與大部分人臉隱私保護(hù)的工作一致，采用預(yù)訓(xùn)練的人臉匹配器作為輔助模型來(lái)幫助生成器的訓(xùn)練。由于需要對(duì)抗的目標(biāo)敵手是未知的識(shí)別模型，選取了兩種先進(jìn)的人臉匹配器FaceNet[17]和Cosface[18]，它們都在公共人臉圖像數(shù)據(jù)集上具有高準(zhǔn)確度，通過(guò)集成它們的預(yù)測(cè)結(jié)果來(lái)學(xué)習(xí)更泛化的特征以對(duì)抗未知識(shí)別模型。

1.3 損失函數(shù)

Adv-beauty 在三種損失的加權(quán)和下進(jìn)行監(jiān)督訓(xùn)練，它們分別是對(duì)抗損失、身份損失和重構(gòu)損失。接下來(lái)，詳細(xì)介紹每種損失的細(xì)節(jié)。

1.3.1 對(duì)抗損失

生成對(duì)抗網(wǎng)絡(luò)中采用的對(duì)抗損失能夠增強(qiáng)生成圖像的清晰度和視覺(jué)質(zhì)量。作為生成對(duì)抗網(wǎng)絡(luò)的變種，Adv-beauty中的對(duì)抗損失目的是學(xué)習(xí)美顏人臉的分布，從而引導(dǎo)生成器生成具有較強(qiáng)真實(shí)感和美化效果的人臉圖像。同時(shí)，采用WGAN-GP（Wasserstein GAN gradient penalty）[19]中的梯度懲罰項(xiàng)來(lái)提高判別器的擬合能力，以穩(wěn)定對(duì)抗訓(xùn)練的過(guò)程。具體地，美顏鑒別器的輸入為一對(duì)圖像，當(dāng)輸入圖像對(duì)為(x,xadv)時(shí)，輸出為假；當(dāng)輸入圖像對(duì)為(x,xbeauty)時(shí)，輸出為真。生成器和美顏鑒別器的對(duì)抗損失分別表示為：

其中，x和xadv分別表示原始人臉和對(duì)抗人臉，D(·)表示美顏鑒別器預(yù)測(cè)輸入的人臉是否為美顏人臉的概率，Ex(f(y))表示在給定條件變量y的情況下f(y)在其分布下的期望值，λgp為梯度懲罰的系數(shù)。

1.3.2 身份損失

為了使對(duì)抗人臉不被未授權(quán)的人臉識(shí)別器所檢測(cè)，加入人臉匹配器來(lái)監(jiān)督生成器的訓(xùn)練，使得對(duì)抗人臉與原始人臉的輸出結(jié)果為不匹配。主流方案采用最大化原始人臉身份特征和對(duì)抗人臉身份特征的余弦相似度來(lái)實(shí)現(xiàn)對(duì)抗過(guò)程，身份損失為：

其中，M(?,?)為人臉匹配器輸出的身份特征相似度。

由于公式未能控制對(duì)抗人臉的身份變化程度，當(dāng)人臉相似度越來(lái)越低時(shí)，對(duì)抗人臉的部分區(qū)域會(huì)發(fā)生顯著的變化，如鼻子扭曲及明顯斑點(diǎn)?？紤]到現(xiàn)有人臉識(shí)別系統(tǒng)多采用匹配閾值來(lái)判定兩張人臉是否匹配，因此只需要控制身份相似度低于匹配閾值即可完成對(duì)抗。為此，本文同樣設(shè)置了一種對(duì)抗性閾值，當(dāng)身份相似度低于該閾值時(shí)，身份損失便不再下降，將公式表示的身份損失修改為：

其中，ξ為對(duì)抗性閾值。對(duì)抗性閾值會(huì)小于匹配閾值，在本文中根據(jù)實(shí)驗(yàn)結(jié)果，將ξ設(shè)置為0.5。

此外，為進(jìn)一步提高對(duì)抗人臉的可遷移性以對(duì)抗未知識(shí)別系統(tǒng)的攻擊，在訓(xùn)練中使用增強(qiáng)輸入多樣性的集成訓(xùn)練策略。具體地，聯(lián)合FaceNet 和Cosface識(shí)別模型的輸出試圖逼近未知目標(biāo)模型的決策邊界。通過(guò)調(diào)整圖像的大小以及添加一定的高斯噪聲作為輸入的變化函數(shù)來(lái)增強(qiáng)輸入的多樣性。因此，進(jìn)一步將公式表示的身份損失修改為：

其中，MF(?)和MC(?)分別表示FaceNet 和Cosface 輸出的結(jié)果，T(?)表示輸入的變化函數(shù)，α控制了不同集成模型對(duì)結(jié)果的影響程度，本文中設(shè)置為0.5。

1.3.3 重構(gòu)損失

添加重構(gòu)損失用來(lái)保留原始圖像的更多細(xì)節(jié)，同時(shí)也使得對(duì)抗人臉的美顏效果更好。具體地，采用美顏人臉和對(duì)抗人臉的平均絕對(duì)誤差L1損失來(lái)保留更多的圖像細(xì)節(jié)：

1.3.4 總損失

最終，生成器和鑒別器的總目標(biāo)損失定義為：

其中，λ1和λ2分別為身份損失和重構(gòu)損失的權(quán)重，以平衡生成器的輸出結(jié)果。

2 實(shí)驗(yàn)結(jié)果與分析

2.1 實(shí)驗(yàn)設(shè)置

2.1.1 數(shù)據(jù)集

由于不同種族對(duì)美的定義不同，本實(shí)驗(yàn)只針對(duì)黃種人的美化對(duì)抗開(kāi)展了實(shí)驗(yàn)。實(shí)驗(yàn)采用Seepretyface數(shù)據(jù)集用于訓(xùn)練和測(cè)試，該數(shù)據(jù)集包含了50 000張圖像且涵蓋了不同性別、不同年齡段以及不同顏值的人臉。原始圖像分辨率為1 024×1 024，選取了數(shù)據(jù)集中的10 000張圖像用于訓(xùn)練和1 000張圖像用于測(cè)試。

2.1.2 實(shí)驗(yàn)環(huán)境及參數(shù)設(shè)置

本文基于Pytorch 深度學(xué)習(xí)框架，采用NVIDIA GeForce RTX 3080 GPU進(jìn)行計(jì)算。訓(xùn)練時(shí)采用Adam優(yōu)化器，其中β1=0.5，β2=0.99。所有訓(xùn)練圖像調(diào)整至256×256分辨率，輸入圖像的批量大小設(shè)置為4，初始學(xué)習(xí)率設(shè)置為0.000 2，之后調(diào)整為0.000 1。訓(xùn)練中，首先不加入身份損失，讓生成器和鑒別器交替訓(xùn)練，設(shè)置λ2=100，等訓(xùn)練穩(wěn)定后再加入身份損失訓(xùn)練少量批次，設(shè)置λ1=2.5。

2.1.3 基準(zhǔn)方案

選取了三種典型的對(duì)抗人臉生成方案作為基準(zhǔn)方案，它們分別是PGD（projected gradient descent）[20]、FGSM（fast gradient sign method）[21]和GAP（generative adversarial perturbation）[22]，其中PGD 和FGSM基于迭代優(yōu)化的方式找到最佳擾動(dòng)，GAP 和本文一樣利用GAN（generative adversarial network）模型學(xué)習(xí)到每張圖像的泛化擾動(dòng)。同時(shí)將它們?cè)嫉姆诸悡p失函數(shù)替換為身份特征損失，選擇FaceNet 作為它們需要對(duì)抗的白盒人臉識(shí)別模型。

2.2 對(duì)抗性閾值選擇

對(duì)抗性閾值用于防止身份特征的過(guò)分偏離而導(dǎo)致的人臉區(qū)域扭曲。如果對(duì)抗性閾值設(shè)置過(guò)大，身份信息將會(huì)大部分保留，隱私保護(hù)性能較差；如果對(duì)抗性閾值設(shè)置過(guò)小，身份信息丟失嚴(yán)重，視覺(jué)質(zhì)量變差。對(duì)抗性閾值的取值需要小于匹配閾值（實(shí)驗(yàn)中為0.75），從0.1～0.7 間隔0.2 取值作為對(duì)抗性閾值開(kāi)展相應(yīng)實(shí)驗(yàn)。結(jié)果如圖5所示，其中藍(lán)色數(shù)字表示對(duì)抗人臉與原始人臉的相似度。在對(duì)抗性閾值為0.1時(shí)，人臉的鼻子兩邊會(huì)發(fā)生扭曲，同時(shí)眼周出現(xiàn)其他顏色斑點(diǎn)。當(dāng)取值為0.5 時(shí)，對(duì)抗人臉既能保持較高的視覺(jué)質(zhì)量也能有效降低身份相似度，因此，本文方案選擇0.5作為對(duì)抗性閾值。

圖5 不同對(duì)抗性閾值下的對(duì)抗人臉及相應(yīng)的置信度Fig.5 Adversarial faces with different adversarial thresholds and corresponding confidence levels

2.3 視覺(jué)評(píng)估

圖6 展示了Adv-beauty 在Seepretyface 黃 種人數(shù)據(jù)集上生成的結(jié)果，其中第一行和第三行是數(shù)據(jù)集中的原始圖像，第二行和第四行分別為對(duì)應(yīng)的對(duì)抗圖像。通過(guò)觀察可以發(fā)現(xiàn)，所提出的方案能夠?qū)θ四樳M(jìn)行美顏，包括磨皮、美白、瘦臉等效果。相較于原始人臉，Adv-beauty 生成的人臉五官更加精致，皮膚更加白皙。

圖6 本文方案生成的對(duì)抗人臉圖像Fig.6 Adversarial face images generated by proposed scheme

圖7展示了基準(zhǔn)方案生成的結(jié)果，能明顯注意到對(duì)抗人臉上存在不同形狀的擾動(dòng)信息，其中非人臉區(qū)域也存在擾動(dòng)信息，影響了用戶的視覺(jué)體驗(yàn)，并不利于社交網(wǎng)絡(luò)的圖片分享。

圖7 基準(zhǔn)方案生成的對(duì)抗圖像Fig.7 Adversarial images generated by other schemes

2.4 身份保護(hù)評(píng)估

為了評(píng)估所提出的方案對(duì)人臉隱私保護(hù)的有效性，在五種人臉識(shí)別模型上測(cè)試了Adv-beauty的對(duì)抗性能，分別是FaceNet[17]、CosFace[18]、Arcface[23]、SENet[24]和Mobileface[25]。當(dāng)原始人臉的身份特征相似度小于身份匹配閾值時(shí)，定義身份保護(hù)成功，即I(x,) ＜δ，其中x為原始人臉，為對(duì)抗人臉，δ為匹配閾值（實(shí)驗(yàn)中設(shè)置為0.75）。采用成功保護(hù)率（successful protection rate，SPR）作為身份保護(hù)評(píng)估的指標(biāo)。

m為測(cè)試樣本數(shù)量。

表1 給出基準(zhǔn)方案和本文方案在不同人臉識(shí)別模型下的成功保護(hù)率?？梢园l(fā)現(xiàn)傳統(tǒng)對(duì)抗擾動(dòng)方法PGD 和FGSM 對(duì)FaceNet 的成功保護(hù)率已經(jīng)達(dá)到了100%，說(shuō)明此類迭代優(yōu)化方法對(duì)白盒模型最為有效，同時(shí)它們對(duì)SENet和Mobileface達(dá)到了近一半的成功保護(hù)率。然而，它們對(duì)CosFace 和ArcFace 的成功保護(hù)率幾乎為0，無(wú)法抵抗部分未知模型的攻擊。GAP利用了生成對(duì)抗網(wǎng)絡(luò)來(lái)生成對(duì)抗擾動(dòng)，其保護(hù)效果較PGD 和FGSM 有明顯提升，對(duì)SENet 和Mobileface 有比較好的泛化作用，對(duì)CosFace 和ArcFace 也起到一定的對(duì)抗效果但依舊不夠理想。而本文方法雖然不能在所有模型上達(dá)到最優(yōu)的成功保護(hù)率，但對(duì)這些模型都能起到令人滿意的對(duì)抗效果，泛化效果較強(qiáng)?？偟膩?lái)說(shuō)，本文方案較基準(zhǔn)方案能夠更好地抵抗人臉識(shí)別模型的攻擊。

表1 不同方案對(duì)抗人臉識(shí)別模型的成功保護(hù)率Table 1 Successful protection rates of different adversarial schemes against face recognition models

隨著對(duì)抗樣本的發(fā)展，一些人臉比對(duì)商業(yè)APIs會(huì)定期更新人臉比對(duì)算法，從而抵抗對(duì)抗樣本的攻擊。如果所設(shè)計(jì)的人臉隱私保護(hù)方案能夠抵抗人臉比對(duì)商業(yè)APIs 將更具有現(xiàn)實(shí)意義。因此，在國(guó)內(nèi)的人臉比對(duì)商業(yè)APIs上開(kāi)展了對(duì)抗實(shí)驗(yàn)。

表2 展示了不同方案生成的人臉與原始人臉在三種國(guó)內(nèi)商業(yè)APIs 上的比對(duì)結(jié)果的平均置信度，分別是曠視科技（https://www.faceplusplus.com.cn/facecomparing/）、阿里云（https://vision.aliyun.com/experience/detail?tagName=facebody&children=CompareFace）和訊飛云（https://www.xfyun.cn/services/xf-face-comparisonrecg#anchor264312），其中平均置信度越小表示人臉的相似度越低，即身份保護(hù)效果越好。需要注意的是，每種APIs的匹配閾值并不一致。由表2可知，GAP獲得的置信度最高，抵御人臉比對(duì)APIs的效果最差。這是因?yàn)樗诜侨四槄^(qū)域也產(chǎn)生了部分?jǐn)_動(dòng)，但先進(jìn)的人臉比對(duì)APIs只保留人臉區(qū)域用于識(shí)別。PGD和FGSM 也降低了人臉比對(duì)置信度，但效果并不明顯。Adv-beauty 生成的對(duì)抗人臉與原始人臉的身份比對(duì)置信度在所有方案中達(dá)到了最低水平，因此所提出的方案相較基準(zhǔn)方案隱私保護(hù)效果更好。

2.5 效率評(píng)估

表3 展示了所提出的方案與基準(zhǔn)方案平均生成一張對(duì)抗人臉?biāo)枰臅r(shí)間以及所使用模型的參數(shù)。PGD 和FGSM 都是基于迭代優(yōu)化的方法生成對(duì)抗擾動(dòng)，因此相對(duì)GAP 來(lái)說(shuō)耗時(shí)更長(zhǎng)，但它們無(wú)需模型參數(shù)。本文提出的方案需要同時(shí)考慮對(duì)人臉進(jìn)行美顏，在模型結(jié)構(gòu)上要比GAP 復(fù)雜，模型參數(shù)也相對(duì)更多。由于深度模型能夠借助GPU 并行地處理數(shù)據(jù)，本文方案和GAP在時(shí)間效率上差異并不明顯。

表3 對(duì)抗人臉生成的平均時(shí)間和模型參數(shù)Table 3 Average time and model parameter of adversarial faces generation

2.6 討論

不同于基準(zhǔn)方案直接在人臉圖像上添加擾動(dòng)，這易被對(duì)抗防御方法所檢測(cè)，Adv-beauty產(chǎn)生的擾動(dòng)聚焦在身份的特征級(jí)上而不是像素級(jí)上，因此生成的對(duì)抗人臉更加自然，很難被檢測(cè)。然而，隨著人臉識(shí)別技術(shù)的不斷發(fā)展，Adv-beauty產(chǎn)生的特征級(jí)的擾動(dòng)可能被人臉識(shí)別技術(shù)所去除，使得身份信息無(wú)法被保護(hù)。

本文方案嚴(yán)格固定了美顏參數(shù)，無(wú)法滿足用戶對(duì)美顏的個(gè)性化需求，因此很難在現(xiàn)實(shí)場(chǎng)景中得到應(yīng)用。如何提供可控的美顏和隱私保護(hù)是需要解決的重要問(wèn)題。

3 結(jié)束語(yǔ)

現(xiàn)有基于對(duì)抗擾動(dòng)的人臉隱私保護(hù)工作生成的人臉在視覺(jué)上并不自然，為此，本文提出了一種基于美顏的對(duì)抗性人臉生成方案Adv-beauty。該方案利用人臉匹配器和美顏鑒別器協(xié)同監(jiān)督生成器的訓(xùn)練過(guò)程，使得生成器在原始人臉上產(chǎn)生類似美顏的擾動(dòng)，或者說(shuō)用美顏帶來(lái)的像素變化遮蓋擾動(dòng)。此外，還加入了對(duì)抗性閾值來(lái)防止身份過(guò)度遠(yuǎn)離造成的人臉扭曲。在Seepretyface黃種人的數(shù)據(jù)集上開(kāi)展的充分實(shí)驗(yàn)表明，Adv-beauty不僅能夠生成較為自然的美顏人臉，同時(shí)能夠有效防御多種人臉識(shí)別模型和商業(yè)人臉比對(duì)APIs的攻擊。