祝贺实验室团队博士生高俊尧一篇论文“Re-ID-leak: Membership Inference Attacks Against Person Re-identification”被International Journal of Computer Vision录用。
人员重新识别(Re-ID)由于其流行的现实应用而迅速发展。它带来了从训练数据集中暴露私人数据的重大风险。本文旨在通过进行成员推理(MI)攻击来量化这种风险。大多数现有的MI攻击方法都侧重于分类模型,而Re-ID则遵循独特的训练和推理范式。Re-ID是一项细粒度的识别任务,涉及复杂的特征嵌入,现有MI算法常用的模型输出(例如logits和loss)在推理过程中无法访问。
由于Re-ID模型的是图像对之间的相对关系而不是单个语义,因此我们进行了形式和实证分析,表明训练集和测试集之间样本间相似性的分布变化是隶属度推断的关键因素,并且存在于大多数Re-ID数据集和模型中。
因此,我们提出了一种基于样本间相似度分布的新颖的MI攻击方法,该方法涉及对一组锚定图像进行采样来表示以目标图像为条件的相似度分布。接下来,我们根据攻击者掌握的信息考虑两种攻击场景。在“一对一”场景中,攻击者可以访问目标Re-ID模型和数据集,我们提出了一个锚选择器模块来选择准确表示相似性分布的锚。相反,在“一对多”场景中,类似于现实世界的应用程序,攻击者无法访问目标Re-ID模型和数据集,从而导致域转移问题,我们提出了两种对齐策略。
此外,我们引入了补丁注意力模块作为锚选择器的替代品。实验评估证明了我们提出的方法在两种攻击场景中的Re-ID任务中的有效性。