最近，人重新识别（REID）的隐私问题引起了越来越多的关注，并保留了REID方法使用的行人图像的隐私是必不可少的。去识别（DEID）方法通过删除与REID数据相关的身份来减轻隐私问题。但是，大多数现有的DEID方法倾向于删除所有与个人身份相关的信息，并损害REID任务上的识别数据的可用性。在本文中，我们旨在开发一种可以在REID人士的隐私保护和数据可用性之间实现良好权衡的技术。为了实现这一目标，我们提出了一种新颖的去识别方法，该方法是针对人雷德（Reid）明确设计的，命名人识别转移（PIS）。 PI在保留图像对之间的身份关系的同时，消除了行人图像中的绝对身份。通过利用变异自动编码器的插值属性，PI将每个行人图像从当前身份转移到具有新身份的另一个身份，从而导致图像仍然保留相对身份。实验结果表明，与现有的去识别方法相比，我们的方法在隐私保护和模型性能之间取决于更好的权衡，并且可以防御人类和模型攻击以确保数据隐私。

本文研究了行人图像的新型隐私匿名问题，该问题保留了授权模型的个人身份信息（PII），并防止PII被第三方认可。常规的匿名方法不可避免地会导致语义信息丢失，从而导致数据实用性有限。此外，现有的学习匿名技术，同时保留各种身份 - 艾尔特尔维坦公用事业，将改变行人身份，因此不适合培训强大的重新识别模型。为了探索行人图像的隐私 - 实用性权衡取舍，我们提出了一个联合学习可逆的匿名框架，该框架可以可逆地生成全身匿名图像，而对人员重新识别任务的性能很小。核心思想是，我们采用常规方法生成的脱敏图像作为初始隐私的监督，并共同训练具有恢复解码器和身份不变模型的匿名编码器。我们进一步提出了一种渐进培训策略来改善绩效，迭代地升级了最初的匿名监督。实验进一步证明了我们的匿名行人图像对隐私保护的有效性，这在保留隐私时提高了重新识别性能。代码可在\ url {https://github.com/whuzjw/privacy-reid}中获得。

由于其高识别精度，包括移动设备的面部解锁，社区访问控制系统和城市监视，因此在许多领域都使用了面部识别技术。由于非常深的网络结构可以保证当前的高精度，因此通常需要将面部图像传输到具有高计算能力以进行推理的第三方服务器。但是，面部图像在视觉上揭示了用户的身份信息。在此过程中，不受信任的服务提供商和恶意用户都可以显着增加个人隐私漏洞的风险。当前的隐私识别方法通常伴随着许多副作用，例如推理时间的显着增加或明显的识别准确性下降。本文提出了使用频域中使用差异隐私的保护隐私面部识别方法。由于利用了差异隐私，它在理论上提供了隐私的保证。同时，准确性的丧失非常小。该方法首先将原始图像转换为频域，并删除称为DC的直接组件。然后，可以根据差异隐私框架内的后端面部识别网络的丢失来学习隐私预算分配方法。最后，它为频域特征添加了相应的噪声。根据广泛的实验，我们的方法在几个经典的面部识别测试集中表现出色。

Differentially Private Stochastic Gradient Descent (DP-SGD) is a key method for applying privacy in the training of deep learning models. This applies isotropic Gaussian noise to gradients during training, which can perturb these gradients in any direction, damaging utility. Metric DP, however, can provide alternative mechanisms based on arbitrary metrics that might be more suitable. In this paper we apply \textit{directional privacy}, via a mechanism based on the von Mises-Fisher (VMF) distribution, to perturb gradients in terms of \textit{angular distance} so that gradient direction is broadly preserved. We show that this provides $\epsilon d$-privacy for deep learning training, rather than the $(\epsilon, \delta)$-privacy of the Gaussian mechanism; and that experimentally, on key datasets, the VMF mechanism can outperform the Gaussian in the utility-privacy trade-off.

联合学习已被提议作为隐私的机器学习框架，该框架使多个客户能够在不共享原始数据的情况下进行协作。但是，在此框架中，设计并不能保证客户隐私保护。先前的工作表明，联邦学习中的梯度共享策略可能容易受到数据重建攻击的影响。但是，实际上，考虑到高沟通成本或由于增强隐私要求，客户可能不会传输原始梯度。实证研究表明，梯度混淆，包括通过梯度噪声注入和通过梯度压缩的无意化混淆的意图混淆，可以提供更多的隐私保护，以防止重建攻击。在这项工作中，我们提出了一个针对联合学习中图像分类任务的新数据重建攻击框架。我们表明，通常采用的梯度后处理程序，例如梯度量化，梯度稀疏和梯度扰动，可能会在联合学习中具有错误的安全感。与先前的研究相反，我们认为不应将隐私增强视为梯度压缩的副产品。此外，我们在提出的框架下设计了一种新方法，以在语义层面重建图像。我们量化语义隐私泄漏，并根据图像相似性分数进行比较。我们的比较挑战了文献中图像数据泄漏评估方案。结果强调了在现有联合学习算法中重新审视和重新设计对客户数据的隐私保护机制的重要性。

机器学习的最新进展使其在不同领域的广泛应用程序，最令人兴奋的应用程序之一是自动驾驶汽车（AV），这鼓励了从感知到预测到计划的许多ML算法的开发。但是，培训AV通常需要从不同驾驶环境（例如城市）以及不同类型的个人信息（例如工作时间和路线）收集的大量培训数据。这种收集的大数据被视为以数据为中心的AI时代的ML新油，通常包含大量对隐私敏感的信息，这些信息很难删除甚至审核。尽管现有的隐私保护方法已经取得了某些理论和经验成功，但将它们应用于自动驾驶汽车等现实世界应用时仍存在差距。例如，当培训AVS时，不仅可以单独识别的信息揭示对隐私敏感的信息，还可以揭示人口级别的信息，例如城市内的道路建设以及AVS的专有商业秘密。因此，重新审视AV中隐私风险和相应保护方法的前沿以弥合这一差距至关重要。遵循这一目标，在这项工作中，我们为AVS中的隐私风险和保护方法提供了新的分类法，并将AV中的隐私分为三个层面：个人，人口和专有。我们明确列出了保护每个级别的隐私级别，总结这些挑战的现有解决方案，讨论课程和结论，并为研究人员和从业者提供潜在的未来方向和机会。我们认为，这项工作将有助于塑造AV中的隐私研究，并指导隐私保护技术设计。

随着移动设备和基于位置的服务越来越多地在不同的智能城市场景和应用程序中开发，由于数据收集和共享，许多意外的隐私泄漏已经出现。当与云辅助应用程序共享地理位置数据时，用户重新识别和其他敏感的推论是主要的隐私威胁。值得注意的是，四个时空点足以唯一地识别95％的个人，这加剧了个人信息泄漏。为了解决诸如用户重新识别之类的恶意目的，我们提出了一种基于LSTM的对抗机制，具有代表性学习，以实现原始地理位置数据（即移动性数据）的隐私权特征表示，以共享目的。这些表示旨在以最小的公用事业预算（即损失）最大程度地减少用户重新识别和完整数据重建的机会。我们通过量化轨迹重建风险，用户重新识别风险和移动性可预测性来量化移动性数据集的隐私性权衡权衡来训练该机制。我们报告了探索性分析，使用户能够通过特定的损失功能及其权重参数评估此权衡。四个代表性移动数据集的广泛比较结果证明了我们提出的在移动性隐私保护方面的架构的优越性以及提议的隐私权提取器提取器的效率。我们表明，流动痕迹的隐私能够以边际移动公用事业为代价获得体面的保护。我们的结果还表明，通过探索帕累托最佳设置，我们可以同时增加隐私（45％）和实用程序（32％）。

Large training data and expensive model tweaking are standard features of deep learning for images. As a result, data owners often utilize cloud resources to develop large-scale complex models, which raises privacy concerns. Existing solutions are either too expensive to be practical or do not sufficiently protect the confidentiality of data and models. In this paper, we study and compare novel \emph{image disguising} mechanisms, DisguisedNets and InstaHide, aiming to achieve a better trade-off among the level of protection for outsourced DNN model training, the expenses, and the utility of data. DisguisedNets are novel combinations of image blocktization, block-level random permutation, and two block-level secure transformations: random multidimensional projection (RMT) and AES pixel-level encryption (AES). InstaHide is an image mixup and random pixel flipping technique \cite{huang20}. We have analyzed and evaluated them under a multi-level threat model. RMT provides a better security guarantee than InstaHide, under the Level-1 adversarial knowledge with well-preserved model quality. In contrast, AES provides a security guarantee under the Level-2 adversarial knowledge, but it may affect model quality more. The unique features of image disguising also help us to protect models from model-targeted attacks. We have done an extensive experimental evaluation to understand how these methods work in different settings for different datasets.

对于准确的模型，需要更少的数据，很少有射击学习表现出许多应用程序域中的鲁棒性和通用性。但是，在不信任的环境中部署少量模型可能会引起隐私问题，例如攻击或对手可能会违反用户提供的数据的隐私。本文通过建立一种新颖的隐私保存嵌入空间来维护数据的隐私空间，从而在不信任的环境中研究了少量学习的隐私增强，从而保留了数据的隐私并保持模型的准确性。我们研究了各种图像隐私方法的影响，例如模糊，像素化，高斯噪声和差异化私有像素化（DP-PIX）对几个图像分类的影响，并提出了一种通过关节损失学习隐私表示表示的方法。经验结果表明，如何为隐私增强的少数学习而谈判如何进行隐私性折衷。

现代机器学习系统在大型数据集中培训时取得了巨大的成功。但是，这些数据集通常包含敏感信息（例如医疗记录，面部图像），导致严重的隐私问题。差异化私有生成模型（DPGM）通过生成私有化的敏感数据来避免此类隐私问题的解决方案。与其他差异私人（DP）学习者类似，DPGM的主要挑战也是如何在效用和隐私之间取得微妙的平衡。我们提出了DP $^2 $ -VAE，这是一种具有可证明的DP保证的变性自动编码器（VAE）的新型培训机制，并通过\ emph {pre-emph {pre-emph {prec-emph {pret-emph {pret-training}。在相同的DP约束下，DP $^2 $ -VAE最大程度地减少了训练过程中的扰动噪声，从而改善了实用性。 DP $^2 $ -VAE非常灵活，并且对许多其他VAE变体都很容易适应。从理论上讲，我们研究了预训练对私人数据的影响。从经验上讲，我们在图像数据集上进行了广泛的实验，以说明我们在各种隐私预算和评估指标下对基准的优越性。

本文提出了一个传感器数据匿名模型，该模型接受了分散数据的培训，并在数据实用程序和隐私之间进行了理想的权衡，即使在收集到的传感器数据具有不同的基础分布的异质环境中也是如此。我们称为Blinder的匿名模型基于以对抗性方式训练的变异自动编码器和歧视网络。我们使用模型 - 不合稳定元学习框架来调整通过联合学习训练的匿名模型，以适应每个用户的数据分布。我们在不同的设置下评估了盲人，并表明它提供了端到端的隐私保护，以增加隐私损失高达4.00％，并将数据实用程序降低高达4.24％，而最新的数据实用程序则将其降低了4.24％。对集中数据培训的匿名模型。我们的实验证实，Blinder可以一次掩盖多个私人属性，并且具有足够低的功耗和计算开销，以便将其部署在边缘设备和智能手机上，以执行传感器数据的实时匿名化。

如今，深度学习模型的所有者和开发人员必须考虑其培训数据的严格隐私保护规则，通常是人群来源且保留敏感信息。如今，深入学习模型执行隐私保证的最广泛采用的方法依赖于实施差异隐私的优化技术。根据文献，这种方法已被证明是针对多种模型的隐私攻击的成功防御，但其缺点是对模型的性能的实质性降级。在这项工作中，我们比较了差异私有的随机梯度下降（DP-SGD）算法与使用正则化技术的标准优化实践的有效性。我们分析了生成模型的实用程序，培训性能以及成员推理和模型反转攻击对学习模型的有效性。最后，我们讨论了差异隐私的缺陷和限制，并从经验上证明了辍学和L2型规范的卓越保护特性。

从公共机器学习（ML）模型中泄漏数据是一个越来越重要的领域，因为ML的商业和政府应用可以利用多个数据源，可能包括用户和客户的敏感数据。我们对几个方面的当代进步进行了全面的调查，涵盖了非自愿数据泄漏，这对ML模型很自然，潜在的恶毒泄漏是由隐私攻击引起的，以及目前可用的防御机制。我们专注于推理时间泄漏，这是公开可用模型的最可能场景。我们首先在不同的数据，任务和模型体系结构的背景下讨论什么是泄漏。然后，我们提出了跨非自愿和恶意泄漏的分类法，可用的防御措施，然后进行当前可用的评估指标和应用。我们以杰出的挑战和开放性的问题结束，概述了一些有希望的未来研究方向。

梯度泄漏攻击被认为是深度学习中的邪恶隐私威胁之一，因为攻击者在迭代培训期间隐蔽了梯度更新，而不会影响模型培训质量，但又使用泄漏的梯度逐步重建敏感培训数据，具有高攻击成功率。虽然具有差异隐私的深度学习是发布具有差异隐私保障的深度学习模型的违法标准，但我们展示了具有固定隐私参数的差异私有算法易受梯度泄漏攻击的影响。本文调查了差异隐私（DP）的梯度泄漏弹性深度学习的替代方法。首先，我们分析了差异隐私的深度学习的现有实现，它使用固定噪声方差使用固定隐私参数将恒定噪声对所有层中的梯度注入恒定噪声。尽管提供了DP保证，但该方法遭受了低精度，并且很容易受到梯度泄漏攻击。其次，通过使用动态隐私参数，我们提出了一种梯度泄漏弹性深度学习方法，差异隐私保证。与导致恒定噪声方差导致的固定参数策略不同，不同的动态参数策略存在替代技术，以引入自适应噪声方差和自适应噪声注入，其与差别私有模型训练期间的梯度更新的趋势紧密对齐。最后，我们描述了四个互补指标来评估和比较替代方法。

Deep learning (DL) methods have been widely applied to anomaly-based network intrusion detection system (NIDS) to detect malicious traffic. To expand the usage scenarios of DL-based methods, the federated learning (FL) framework allows multiple users to train a global model on the basis of respecting individual data privacy. However, it has not yet been systematically evaluated how robust FL-based NIDSs are against existing privacy attacks under existing defenses. To address this issue, we propose two privacy evaluation metrics designed for FL-based NIDSs, including (1) privacy score that evaluates the similarity between the original and recovered traffic features using reconstruction attacks, and (2) evasion rate against NIDSs using Generative Adversarial Network-based adversarial attack with the reconstructed benign traffic. We conduct experiments to show that existing defenses provide little protection that the corresponding adversarial traffic can even evade the SOTA NIDS Kitsune. To defend against such attacks and build a more robust FL-based NIDS, we further propose FedDef, a novel optimization-based input perturbation defense strategy with theoretical guarantee. It achieves both high utility by minimizing the gradient distance and strong privacy protection by maximizing the input distance. We experimentally evaluate four existing defenses on four datasets and show that our defense outperforms all the baselines in terms of privacy protection with up to 7 times higher privacy score, while maintaining model accuracy loss within 3% under optimal parameter combination.

Data trading is essential to accelerate the development of data-driven machine learning pipelines. The central problem in data trading is to estimate the utility of a seller's dataset with respect to a given buyer's machine learning task, also known as data valuation. Typically, data valuation requires one or more participants to share their raw dataset with others, leading to potential risks of intellectual property (IP) violations. In this paper, we tackle the novel task of preemptively protecting the IP of datasets that need to be shared during data valuation. First, we identify and formalize two kinds of novel IP risks in visual datasets: data-item (image) IP and statistical (dataset) IP. Then, we propose a novel algorithm to convert the raw dataset into a sanitized version, that provides resistance to IP violations, while at the same time allowing accurate data valuation. The key idea is to limit the transfer of information from the raw dataset to the sanitized dataset, thereby protecting against potential intellectual property violations. Next, we analyze our method for the likely existence of a solution and immunity against reconstruction attacks. Finally, we conduct extensive experiments on three computer vision datasets demonstrating the advantages of our method in comparison to other baselines.

数据隐私已成为机器学习（ML）日益重要的问题，其中许多方法已经发展以解决这一挑战，例如，这一挑战加密（同性恋加密（HE），差异隐私（DP）等）和协作培训（安全多方计算（MPC），分布式学习和联合学习（FL））。这些技术特别侧重于数据加密或安全本地计算。他们将中间信息转移到第三方以计算最终结果。梯度交换通常被认为是在深度学习（DL）中协同训练鲁棒模型的安全方式。然而，最近的研究表明，可以从共享梯度恢复敏感信息。特别地，生成的对抗网络（GaN）已显示有效地恢复这些信息。然而，基于GaN的技术需要附加信息，例如类标签，这些标签通常不可用才能获得隐私保留的学习。在本文中，我们表明，在FL系统中，仅通过我们所提出的生成回归神经网络（GRNN）只能通过共享梯度全额从共享梯度容易地恢复基于图像的隐私数据。我们制定攻击是回归问题，并通过最小化梯度之间的距离来优化生成模型的两个分支。我们在几种图像分类任务上评估我们的方法。结果说明我们所提出的GNN优于最先进的方法，具有更好的稳定性，更强的鲁棒性和更高的准确性。它对全球流动模型也没有收敛要求。此外，我们使用面部重新识别来展示信息泄漏。在这项工作中还讨论了一些防御策略。

联合学习（FL）已成为解决数据筒仓问题的实用解决方案，而不会损害用户隐私。它的一种变体垂直联合学习（VFL）最近引起了人们的关注，因为VFL与企业对利用更有价值的功能的需求相匹配，以构建更好的机器学习模型，同时保留用户隐私。当前在VFL中的工作集中于为特定VFL算法开发特定的保护或攻击机制。在这项工作中，我们提出了一个评估框架，该框架提出了隐私 - 私人评估问题。然后，我们将此框架作为指南，以全面评估针对三种广泛依据的VFL算法的大多数最先进的隐私攻击的广泛保护机制。这些评估可以帮助FL从业人员在特定要求下选择适当的保护机制。我们的评估结果表明：模型反转和大多数标签推理攻击可能会因现有保护机制而挫败；很难防止模型完成（MC）攻击，这需要更高级的MC靶向保护机制。根据我们的评估结果，我们为提高VFL系统的隐私保护能力提供具体建议。

最近的研究表明，训练样本可以从梯度中回收，这些梯度称为梯度反转（Gradinv）攻击。但是，仍然缺乏广泛的调查，涵盖了最近的进步和对该问题的彻底分析。在本文中，我们介绍了有关Gradinv的全面调查，旨在总结尖端研究并扩大不同领域的视野。首先，我们通过将现有攻击描述为两个范式：基于迭代和递归的攻击，提出了Gradinv攻击的分类法。特别是，我们从基于迭代的攻击中挖掘出一些关键成分，包括数据初始化，模型培训和梯度匹配。其次，我们总结了针对Gradinv攻击的新兴防御策略。我们发现这些方法侧重于三种观点，涵盖了数据的晦涩，模型改进和梯度保护。最后，我们讨论了一些有希望的方向和开放问题，以进行进一步研究。

Recent years witnessed the breakthrough of face recognition with deep convolutional neural networks. Dozens of papers in the field of FR are published every year. Some of them were applied in the industrial community and played an important role in human life such as device unlock, mobile payment, and so on. This paper provides an introduction to face recognition, including its history, pipeline, algorithms based on conventional manually designed features or deep learning, mainstream training, evaluation datasets, and related applications. We have analyzed and compared state-of-the-art works as many as possible, and also carefully designed a set of experiments to find the effect of backbone size and data distribution. This survey is a material of the tutorial named The Practical Face Recognition Technology in the Industrial World in the FG2023.