CN113515774B

CN113515774B - 基于投影梯度下降法生成对抗样本的隐私保护方法

Info

Publication number: CN113515774B
Application number: CN202110445637.1A
Authority: CN
Inventors: 童超; 李越; 马伯乐
Original assignee: Beihang University
Current assignee: Beihang University
Priority date: 2021-04-23
Filing date: 2021-04-23
Publication date: 2024-01-12
Anticipated expiration: 2041-04-23
Also published as: CN113515774A

Abstract

本发明涉及一种基于投影梯度下降法生成对抗样本的隐私保护方法，对输入图片进行目标检测，识别图像中是否存在隐私信息，并通过目标检测器获取隐私区域信息和分类损失根据隐私区域信息和分类损失利用投影梯度下降法迭代生成对抗噪声，并利用颜色梯度图限制噪声的范围，再将噪声叠加至原图或者上一次迭代输出形成对抗样本。为使生成的对抗样本能有效防御目标检测器的检测并保持图片原有质量，在迭代中设置相应迭代条件，在迭代停止时输出最终的对抗样本。本发明基于投影梯度下降法生成对抗样本的隐私保护方法比现有的保护方法更有效并能更好的保证图片原有的质量。

Description

基于投影梯度下降法生成对抗样本的隐私保护方法

技术领域

本发明属于图像隐私保护领域(G06T 3/00、G06K 9/00)，具体涉及一种基于投影梯度下降法生成对抗样本的隐私保护方法。

背景技术

图像中包含着丰富的信息，已成为人们交流和获取信息的重要媒介。随着智能手机的普及和大量社交网络的涌现，比如微博、Facebook、Instagram等，用户能够随时随地上传自己随手抓拍的照片，通过照片来分享自己的生活。社交图片中可能隐含着用户的个人生活、家庭成员，社交关系等，在这些图片分享到社交平台的同时，图片中包含的大量个人隐私信息也随之暴露。

目前深度学习技术在计算视觉领域发展迅猛，在众多任务中代表了最先进的技术水平。利用深度学习技术，图像上存在的隐私信息可以更轻易的被挖掘和利用，除了可以给用户提供一些方便的个性化服务的同时，比如社交发现，目标跟踪，智能推荐等，也给用户的隐私安全带来隐患。

目前保护社交图片隐私安全的方法大多是从防止肉眼检测的角度进行研究。主要有两种方式，第一种通过筛选接触图片的人群进行隐私保护。具体措施为分析用户社交网络的人群特征，将人群按照亲密度分级，防止亲密度不高的人群接触到图像或者只接触到模糊化后的图像。第二种通过给图像添加隐私标签的方式进行隐私保护。具体措施为提取图像的特征并判断是否包含隐私信息，如果有将图像列为隐私图像并对用户进行警告或者将图像模糊化。但是，以上两种方式需要繁琐的人为先验知识才能够对人群或图像进行准确的划分，并且两种操作对象均为整张图像，粒度比较粗糙，容易忽略图像中未涉及隐私信息的内容，同时隐私识别之后的模糊化操作不仅会严重损坏图像的视觉质量而且对目前很多智能算法的识别干扰已失效，比如高分辨率重建算法等。

对抗样本方法通过在数据样本中设计一个微弱的干扰噪音后与原始样本相加得到对抗样本，对抗样本在人眼看来察觉不到差异，但是却可以干扰分类模型的识别准确率。目前对抗样本技术主要应用在图像分类领域，相关研究结果表明对抗样本有良好的鲁棒性，即可以同时对多个不同的深度神经网络进行干扰。目前有很多研究工作试图防御对抗样本对算法的干扰，但并没有得到共识的结论，目前为止，针对对抗样本的有效防御依然存在盲点。

本发明旨在从算法的角度来保护图像隐私，保护图像中的隐私不被深度学习的智能算法挖掘。具体来说，利用对抗样本技术，将图像上带有个人信息的物体进行“匿名化”处理，将个人信息内容隐藏在基于深度学习的检测器的“视野中”，阻止图像中隐私信息被检测，从而防止进一步的隐私分析，同时尽量减轻对图像视觉损害不影响用户的图像分享活动。隐私物体的检测与识别是图像内容隐私挖掘的前提，所以利用对抗样本的特点并很好的扩展到这些任务中使检测与识别图像中隐私目标失效是本发明的重点。

发明内容

针对现有方法存在的不足以及对抗样本方法在分类任务中的优良表现，本发明提供一种基于投影梯度下降法生成对抗样本的隐私保护方法，可以使用户发布的图片中无法检测出隐私信息。

本发明的基于投影梯度下降法生成对抗样本的隐私保护方法，包括如下步骤：

步骤1对隐私信息进行检测。首先确定隐私目标，再利用目标检测器对原始图像进行目标检测，识别图像是否存在隐私信息，该目标检测器可以是任意的基于卷积神经网络的检测器。

步骤2根据目标检测器获取隐私区域信息和分类损失。根据步骤1中检测到的隐私区域信息，物体类别及类别概率与其对应的标签，利用类别损失函数计算分类损失

步骤3迭代生成对抗样本。步骤3将前两个步骤串联起来生成对抗噪声，并设置循环控制条件，使得迭代在生成的对抗样本满足条件时停止。

步骤3.1根据步骤2得到的分类损失反向传播计算梯度值，将投影算法应用于快速梯度法，根据梯度值生成基于像素点的对抗噪声，并在此步骤中利用颜色梯度图对生成噪声进行约束，使生成的噪声不会对图像质量造成肉眼可见的损失。

步骤3.2将生成的对抗噪声叠加到原图，生成对抗样本。再对对抗样本进行目标检测，对检测出的隐私目标按照上述步骤生成对抗噪声，将噪声叠加生成新的对抗样本，以此迭代。在迭代中设置停止条件，使其生成既能有效保护图片隐私又能较好保证图像质量的对抗样本。

步骤3.3为了保证生成的对抗扰动能够有效的干扰隐私检测器，在本发明中设置了迭代停止条件1为其中X+δX_t是生成的对抗样本，即图像X加上对抗噪声δX_t，Y是隐私信息对应的标签信息，W是检测器的模型权重，γ是常数参数，表示损失阈值，即当检测器对于隐私目标的识别结果损失大于某个阈值时，迭代停止。

步骤3.4在每一次的循环迭代过程中，均会生成新的对抗扰动叠加到对抗样本中形成新的对抗样本P_t，具体来说，P_t会根据δX_t更新，更新后的P_t会进一步影响下一次迭代时产生的δX_t+1。在P_t和δX_t之间存在着双向影响，最终会导致不稳定的结果。为了解决这个问题，本发明通过计算对抗样本的目标检测区域与真实标记的区域的重合度来对生成扰动的区域进行约束，使检测到的目标区域与真实区域重合度大于阈值时保留，并只基于这些区域产生扰动。在迭代中当目标区域不存在时则迭代停止。

步骤4输出对抗样本。基于步骤3，设定最大迭代次数M，当迭代中出现步骤3中的迭代停止条件或者迭代次数大于M，迭代停止，输出对抗样本，将对抗样本输入目标检测器，检测样本中的隐私信息是否会被识别。

本发明的有益效果在于：

1.将在分类问题中表现良好的对抗样本方法迁移至图像隐私保护领域，可有效用于对图像隐私进行保护。

2.本发明的基于投影梯度下降法生成对抗样本的隐私保护方法可以使图像上的隐私信息屏蔽检测器的检测，同时生成的对抗扰动非常微小不会对图像的视觉质量带来影响。

3.基于上述效果，本发明可使用户发布在社交平台上的图片在不会对图像质量造成影响的情况下同时保护用户的隐私。

附图说明

图1为基于对抗样本的隐私保护方法的基本流程图；

图2为扰动生成器产生对抗样本流程示意图；

图3为隐私检测区域扰动生成算法流程图；

图4为对抗样本与其他保护方法的对比情况图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应当了解，以下提供的实施例仅是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的技术构思，而并非要限制本发明的范围。

本发明的基于投影梯度下降法生成对抗样本的隐私保护方法，其具体实施如图1所示，主要包括以下步骤：

步骤1：输入需要保护的图片X，利用open-cv将其进行预处理，作为模型的输入。选择目标检测器，将预训练模型或者训练好的检测器模型载入检测器，本实例选取Yolo-v4(https://arxiv.org/abs/2004.10934v1)和DarkNet(https://pjreddie.com/darknet/)作为检测器和模型预训练权重，在该实例中选取人作为隐私保护对象。

步骤2：利用目标检测器对其进行检测，获取隐私目标位置信息和分类损失。通过检测器获取到图像的m个隐私目标序列X＝(x₁,x₂,x₃,…,x_m)，m个目标对应的区域所在原图的坐标序列P＝(p₁,p₂,p₃,…,p_m)，其中x_i＝X(p_i),i∈{1,2,3,…,m}，表示图片X中用坐标p_i表示的第i个隐私目标。

步骤3：基于步骤2目标检测器检测得到的位置信息和分类损失，在该步骤利用扰动生成器生成对抗扰动，如图2所示。该步骤使用投影梯度下降法生成扰动。梯度初始值和扰动初始值δX₀分别取0和随机值，扰动的随机值用δX_rand表示：

将初始扰动叠加到原始图像，形成对抗样本，再输入目标检测器，根据步骤2得到新的目标区域，然后基于这些区域再次生成对抗扰动，以此循环迭代直到产生满意的对抗样本。第t+1次迭代时产生的对抗扰动δX_t+1的方法包括：

其中代表第t次迭代中的梯度值，Y为隐私区域对应的标签，包括类别和类别概率等信息，W为检测模型权重，/>表示根据/>对X+δX_t求导，求导过程中Y和W保持固定，α代表生成扰动时每次迭代的步长，用于控制每次迭代添加的噪声的大小，β为梯度动量，用于控制梯度的更新，Clip_∈指裁剪计算，用于将生成的对抗扰动范围限制在[-∈,∈]，∈是扰动范围阈值，其中若生成的对抗扰动大于∈的置为∈，小于-∈的置为-∈，/>为/>的2-范数。

Π_-κ,κ为基于颜色梯度图的投影计算，通过上述Clip_∈计算可对整张图像的所有像素点进行粗粒度的范围限制，使得图像质量不会失真。但它可能无法欺骗人眼，特别是当图像中存在大面积的纯颜色时，如蓝天、白墙等，所以在本发明中应用颜色梯度图对像素进行限制，只在高梯度区域改变，只调整它的强度，而不改变它的颜色。具体来说，在Π_-κ,κ计算中，根据输入图像X，利用边缘检测算子scharr算子计算每个颜色通道在x轴和y轴的梯度M_x和M_y，将其进行归一化得到和/>归一化后梯度值范围在0到1之间，再根据/>和/>计算颜色梯度图M_xy，计算方式如式(4)：

再根据颜色梯度图计算每个像素值的扰动，其中是位置为(i，j)的像素点的扰动值，计算方式如下：

m_ij和x_ij为颜色梯度图M_xy和输入图像X中对应位置的对应元素，κ是大于0的一个超参数，可根据κ通过限制λ_ij的范围控制生成扰动的范围，λ_ij是与损失梯度和每个通道的颜色梯度相关的加权值，计算方式如式(6)所示：

其中Clip_-κ,κ是一个裁剪操作，将λ_i的范围限制于[-κ,κ]，c从1到3进行求和代表对三个颜色通道分别计算后求和。

为了保证生成的对抗扰动δX_t能够有效的干扰隐私检测器，设置停止迭代的条件为：

其中γ是常数参数，表示损失阈值，即当检测器对于隐私目标的识别结果损失大于某个阈值时，迭代停止，(7)式为迭代停止条件1。

在每一次的循环迭代过程中，均会生成新的对抗扰动叠加到对抗样本中形成新的对抗样本P_t，具体来说，P_t会根据δX_t更新，更新后的P_t会进一步影响下一次迭代时产生的δX_t+1。在P_t和δX_t之间存在着双向影响，最终会导致不稳定的结果。为了解决这个问题，本发明提出如下的限制条件在每次迭代过程中筛选合理的目标区域P_t：

IoU(X(P_GT),X(P_t))>N (8)

其中IoU是交并比(Intersection over Union)， P_GT为真实标记的目标区域位置，根据标签信息获得；N是常数，代表IoU的阈值，通常被设置为0.5。

通过用(8)式来对每次迭代过程中产生对抗扰动的区域进行约束，使检测到的目标区域与真实标记的区域重合度大于0.5时作保留，并只基于这些区域产生对抗扰动。在迭代中当目标区域不存在时则迭代停止，此为迭代停止条件2。扰动生成器产生对抗样本的算法流程示意图如图3所示。

步骤4：根据步骤3中扰动生成器的方法迭代生成对抗样本，并设定最大迭代次数M以避免算法出现无限循环，当出现迭代停止条件或者迭代次数大于M时算法结束，输出最终的对抗样本，再将其输入目标检测器进行检测，确定生成的对抗样本是否能够避开目标检测器的检测。

在整个实验中，我们固定了目标检测器所有层的权重，只允许梯度反向传播到输入图像，以避免对检测器的任何影响。然后，将扰动的迭代步长α设置为2.5，将梯度动量β设置为0.2，将扰动范围阈值∈设置为5，为输入的图像生成扰动。该实验是在NVIDIA TeslaV100 GPU上进行的。

基于上述实验步骤和硬件设施，该实例在生成的对抗样本与原图对比情况如图4所示。下表所示为使用本发明所述方法在PASCAL VOC 2007数据集(http:// host.robots.ox.ac.uk/pascal/VOC/pubs/everingham10.pdf)人类子集上的防御效果(参看图4的图像(b))以及与高斯模糊(c)、马赛克(d)、低对比度(e)三种保护方法的对比情况。

所用的指标为平均召回率AR和平均失真度其中使用AR来评估我们的算法保护隐私目标不被检测的有效性。由于我们的算法是为了保护图像的隐私而设计的，而该实例中的隐私保护目标为“人”，所以我们只是在图像的“人”类别下计算AR。当预测结果的置信度评分大于0.4，预测区域与ground truth，也就是标签的IoU大于0.5时认为是真阳性。/>用于测量添加到原始图像中的干扰噪音X′_i-X_i的平均尺度，此处使用这个指标来评估干扰算法对图像视觉质量的影响。

Claims

1.一种基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，包括：

输入原始图片，利用目标检测器识别图片是否存在隐私信息，隐私信息可以是人脸信息或者别的敏感物体，目标检测器是基于卷积神经网络的检测器；

通过检测，目标检测器输出隐私区域的位置信息以及分类损失根据目标检测器检测到的隐私位置信息及分类损失/>利用基于投影梯度下降法的扰动生成器针对隐私区域生成特定扰动，再将生成的扰动叠加至原始图像生成对抗样本；将基于原始图像生成的对抗样本再次检测隐私信息并输入扰动生成器，迭代生成对抗样本，扰动生成器基于投影梯度下降法和颜色梯度图生成对抗噪声；

具体包括，将生成的对抗样本送入目标检测器，识别是否还能检测出隐私信息，若还能检测出隐私信息，根据新识别出的隐私信息及其位置信息和分类损失再次生成对抗样本；其中扰动生成器基于投影梯度下降法和颜色梯度图生成对抗噪声，扰动生成器第t+1次迭代时产生的对抗扰动δX_t+1的方法包括：

其中代表第t次迭代中的梯度值，Y为隐私区域对应的标签，包括类别和类别概率信息，W为检测模型权重，/>表示根据/>对X+δX_t求导，求导过程中Y和W保持固定，α代表生成扰动时每次迭代的步长，用于控制每次迭代添加的噪声的大小，β为梯度动量，用于控制梯度的更新，Clip_∈指裁剪计算，用于将生成的对抗扰动范围限制在[-∈,∈]，∈是扰动范围阈值，其中若生成的对抗扰动大于∈的置为∈，小于-∈的置为-∈，/>为/>的2-范数；

Π_-κ,κ为基于颜色梯度图的投影计算，其中，在Π_-κ,κ计算中，根据输入图像X，利用边缘检测算子scharr算子计算每个颜色通道在x轴和y轴的梯度M_x和M_y，将其进行归一化得到和/>使梯度值范围在0到1之间，再根据/>和/>计算颜色梯度图M_xy，计算方式如下所示：

其中-κ≤λ_ij≤κ；

m_ij和x_ij为颜色梯度图M_xy和输入图像X中对应位置的对应元素，κ是大于0的超参数，用于控制生成扰动的范围，λ_ij是与损失梯度和每个通道的颜色梯度相关的加权值，计算方式如下所示：

其中Clip_-κ,κ是裁剪操作，用于将λ_ij的范围限制于[-κ,κ]，c从1到3进行求和代表对三个颜色通道分别计算后求和。

2.根据权利要求1所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，再次利用目标检测器和扰动生成器迭代生成扰动，将扰动叠加至上一步生成的对抗样本形成新的对抗样本；以此循环迭代直到产生检测不到隐私信息也不会过分降低图片质量的对抗样本；

为使生成的对抗样本能有效防御检测器的检测，同时不会因为迭代次数过多导致图片质量过分降低，在迭代过程中设置三个迭代停止条件。

3.根据权利要求2所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，为了保证生成的对抗扰动δX_t能够有效的干扰隐私检测器，设置第一个迭代停止条件为当分类损失大于某个阈值即停止迭代，即其中γ为阈值超参数，可根据需要调整。

4.根据权利要求3所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，由于每次迭代新生成的对抗样本在检测时会生成不同的检测区域，而新的检测区域又会影响新的对抗样本生成，最终导致不稳定的结果；

通过计算每次新生成的检测区域和真实标记区域的交并比，真实标记区域根据标签信息获得，当交并比小于某个阈值时，迭代停止，此为第二个迭代停止条件。

5.根据权利要求4所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，为了不让所述方法陷入无限循环，设置一个最大迭代次数M，当迭代次数大于M时，迭代停止，此为第三个迭代停止条件。

6.根据权利要求5所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，通过扰动生成器迭代生成对抗样本，在迭代过程中依次检查停止条件，当迭代停止，则输出最终生成的对抗样本，若不满足停止条件则继续迭代。