CN115292728A - 一种基于生成对抗网络的图像数据隐私保护方法 - Google Patents

Abstract

本发明公开了一种基于生成对抗网络的图像数据隐私保护方法，所述方法包括：获取待保护图片及对应的可训练标签，得到图片训练集,并利用该数据集训练一个基于深度神经网络的图片分类模型；利用训练好的图片分类模型和图片训练集在生成对抗网络的框架下训练生成器模型和判别器模型，其中生成器模型为每个待保护图片生成加密噪声，判别器模型保证噪声是微小且不易察觉的；生成对抗网络训练完成后，将待保护的图片输入至生成器模型得到微小的噪声，将该噪声添加到原图上即可获得加密后的图片。本发明通过对图片数据添加微小噪声将其变为不可学习图片数据，任何基于深度神经网络的模型无法从这些数据中学习到有用的知识，从而保护加密图片的数据隐私。

Description

一种基于生成对抗网络的图像数据隐私保护方法

技术领域

本发明涉及深度学习领域的图像数据隐私保护技术，尤其涉及一种基于生成对抗网络的图像数据隐私保护方法。

背景技术

深度学习的发展需要大量收集数据，包括图像数据，而这些数据大都涉及个人的隐私信息。例如，医疗影像数据，就会涉及更多的个人隐私信息，这些信息的泄露有可能造成财产损失，甚至威胁生命安全。

在传统深度学习图像数据隐私保护领域，隐私保护方法是应用于访问者可以访问深度学习模型而无法访问图像数据的场景，目的是使可以访问模型的用户无法计算推测出原始数据，进而达到隐私保护的目的。例如，当访问者与模型进行交互时，就可以通过模型的输入输出逆向推测模型所使用训练数据中的隐私信息。而本发明是应用到访问者可以访问图像数据的场景，目标是使未经授权的深度学习模型获得图像数据后，却无法利用数据进行有效训练。例如，个人照片上传互联网时，不想被用于深度学习模型训练。有一种数据投毒攻击方法也可以用于数据保护，但是这些方法对模型的攻击相当有限，更难以在现实场景中应用。而且有毒样本只能轻微降低模型的整体性能。而本发明是通过使用生成对抗网络生成不可见的噪声将正常图片数据变成不可学习图片数据，使模型在干净图像数据上的性能类似随机猜测，达到保护数据的目的。

发明内容

本发明的目的是实现深度学习中图像数据隐私保护的需求，提供一种基于生成对抗网络的图像数据隐私保护方法。

本发明的发明构思是：获取待保护图片及对应的可训练标签，得到图片训练集,并利用该数据集训练一个基于深度神经网络的图片分类模型；利用训练好的图片分类模型和图片训练集在生成对抗网络的框架下训练生成器模型和判别器模型，其中生成器模型为每个待保护图片生成加密噪声，判别器模型保证噪声是微小且不易察觉的；生成对抗网络训练完成后，将待保护的图片输入至生成器模型得到微小的噪声，将该噪声添加到原图上即可获得加密后的图片；在评估时，将加密后的图片作为训练集，任何基于深度神经网络的图片分类模型无法在该数据集上训练出高分类精度的模型。

为实现上述发明目的，本发明具体采用的技术方案如下：

一种基于生成对抗网络的图像数据隐私保护方法，其包括如下步骤：

S1：获取由训练样本组成的图片训练集，每个训练样本包含待保护图片及对应的可训练标签，并利用该图片训练集训练一个基于深度神经网络的图片分类模型；

S2：利用训练好的图片分类模型和图片训练集在生成对抗网络的框架下训练生成器模型和判别器模型，其中生成器模型用于为每个待保护图片生成加密噪声，判别器模型用于识别原始的待保护图片和添加了加密噪声后的待保护图片；

S3：生成对抗网络训练完成后，将待保护的目标图片输入至生成器模型得到加密噪声，将该加密噪声添加到原目标图片上，获得加密图片。

基于上述技术方案，本发明还可以进一步采用如下优选方式。

作为优选，所述的S1具体包括以下子步骤：

S101：获取待保护图片集合X＝{x₁,x₂,…,x_N}，其中N为图像集合中样本数目，x_i表示第i个待保护图片样本；

S102：获取待保护图片集合X中每幅图像对应的可训练标签Y＝{y1,y₂,…,y_N}，y_i表示第i个待保护图片样本对应的标签；

S103：使用参数为w的深度神经网络作为图片分类模型f_w，该模型用于将每幅图像x_i映射到标签空间，从而得到预测标签值；

S104：为了使得图片分类模型f_w预测的标签值与对应图片的真值标签值一致，对训练样本定义损失函数

为：

其中：

表示图片和标签分布的期望，l表示交叉熵损失；

S105：基于所述图片训练集训练图片分类模型f_w，根据损失函数

对模型f_w进行反向回馈以更新图片分类模型的各层的参数w，最终学习到的模型作为第一模型

作为优选，所述的S2具体包括以下子步骤：

S201：使用参数为θ的深度神经网络作为生成器模型G_θ，用于为每幅图片x_i生成与原图大小一致的加密噪声δ_i，δ_i＝G_θ(x_i)；

S202：构建生成器模型训练的主要目标函数

该函数用于促进第一模型

将每幅图片的加密噪声δ_i分类为接近真值标签值y_i的预测标签值：

其中：

表示图片和标签分布的期望，l表示交叉熵损失；

S203：构建一个基于软铰链的目标损失函数

以辅助生成器模型的训练：

其中：

表示图片和标签分布的期望，‖·‖₂表示L₂范数，c表示用户指定的噪声可接受幅值；

S204：使用参数为φ的深度神经网络作为判别器模型D_φ，针对该模型构建一个二分类目标函数

使判别器模型能够对原图片x_i和添加了加密噪声的加密图片x_i+δ_i进行分类：

其中，

表示图片和标签分布的期望；

S205：结合三项目标函数

和

针对生成器模型和判别器模型的训练构建一个最大-最小的博弈损失函数，用于交替更新各自的模型参数：

其中，α为一个权重值，用于权衡在训练生成器时

和

的相对重要程度；

S206：利用图片训练集在生成对抗网络的训练框架下训练生成器模型和判别器模型，且在模型迭代更新过程中，根据最大-最小的博弈损失函数对生成器模型和判别器模型进行反向回馈以更新两个模型的各层参数，最终学习到的生成器模型作为第二模型

作为优选，所述的S3具体包括以下子步骤：

S301：将待保护的目标图片x^*输入到第二模型

中获得加密噪声

然后将噪声δ^*附加到原始的目标图片x^*上，获得加密后的图片x′。

S302：完成加密后的图片x′具备针对深度神经网络的不可学习属性，用于安全上传或分享至各种社交媒体上。

作为优选，对于生成对抗网络训练完成后的生成器模型，在投入实际应用前序对其进行评估；在评估时，将加密后的图片作为训练集，若基于深度神经网络的图片分类模型无法在该训练集上训练后其分类精度均无法满足要求，则视为该生成器模型达到使用要求。

作为优选，对生成器模型进行评估的方法具体包括以下子步骤：

S401：在评估时，由生成器模型生成加密图片x′_i并为其标注标签y′_i，从而构成一个图片集合X′＝{x′₁,x′₂,…,x′_M}及其对应的标签集合Y′＝{y′₁,y′₂,…,y′_M}作为训练集，其中M表示训练集中的样本数量；

S402：构建参数为ψ的深度神经网络作为图片分类模型h_ψ；

S403：构建一个图片分类任务的目标函数

使得神经网络预测的标签值与对应图像的真值标签值一致：

其中，

表示图片和标签分布的期望，l表示交叉熵损失；

S404：利用S401中构建的训练集对图片分类模型h_ψ进行训练，根据损失函数

对图片分类模型h_ψ进行反向回馈以更新图片分类模型的各层参数ψ，最终学习到的模型作为第三模型

S405：获取由新的加密图片构成的测试集用于评估模型

的分类精度，X_test＝{x_test,1,x_test,2,…,x_test,K}和Y_test＝{y_test,1,y_test,2,…,y_test,K}分别表示该测试集的图片集合和其对应的标签集合，其中K表示测试集中的样本数量。

S406：将每张测试图片x_test,i输入到第三模型

中得到模型的预测标签

将所有测试图片的预测标签

和真值标签y_test,i进行对比获得第三模型

在测试集上的分类精度；如果分类精度低于阈值，则说明

无法从加密后的加密图片数据集中学习到有用的知识，图片经过第二模型

的加密能够满足保护图片拥有者数据隐私的需求。

作为优选，所述生成器模型的网络架构配合使用了卷积模块和反卷积模块，以保证输出的噪声尺度和原图尺度一致。

作为优选，所述卷积模块采用ResNet-18模型。

作为优选，所述图片分类模型采用ResNet-18模型。

作为优选，所述的步骤S301中，待加密的目标图片是用于训练生成对抗网络的图片，或者是其他任意图片。

本发明与背景技术相比，具有的有益的效果是：

本发明针对深度学习图像数据保护需求提出了一种基于生成对抗网络的图像数据隐私保护方法。该方法从实际应用场景出发，生成器模型训练完成后，在生成不可学习图片数据时只需输入原图片，无需标签等以外的信息，且这个过程只需要一次推断，方便实际部署使用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本发明实施例提供的一种基于生成对抗网络的图像数据隐私保护方法流程图。

图2为生成不可学习图片数据示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为了实现深度学习中图像数据隐私保护的需求，本发明实施例提供了一种基于生成对抗网络的图像数据隐私保护方法，如图1所示，该方法具体包括如下步骤：

S1：获取由训练样本组成的图片训练集，每个训练样本包含待保护图片及对应的可训练标签，并利用该图片训练集训练一个基于深度神经网络的图片分类模型。

在本实施例中，上述S1具体包括以下子步骤S101～S105：

S101：获取待保护图片集合X＝{x₁,x₂,…,x_N}，其中N为图像集合中样本数目，x_i表示第i个待保护图片样本。

S102：获取待保护图片集合X中每幅图像对应的可训练标签Y＝{y₁,y₂,…,y_N}，y_i表示第i个待保护图片样本对应的标签。

S103：使用参数为w的深度神经网络作为图片分类模型f_w，该模型用于将每幅图像x_i映射到标签空间，从而得到预测标签值。

S104：构建一个目标函数，使得图片分类模型f_w预测的标签值与对应图片的真值标签值一致，此处对训练样本定义的损失函数

为：

其中：

表示图片和标签分布的期望，l表示交叉熵损失。

S105：基于所述图片训练集训练图片分类模型f_w，输入图像样本作为优化问题的训练样本，根据损失函数

对模型f_w进行反向回馈以更新图片分类模型的各层的参数w，最终学习到的模型作为第一模型

S2：利用训练好的图片分类模型和图片训练集在生成对抗网络的框架下训练生成器模型和判别器模型，其中生成器模型用于为每个待保护图片生成加密噪声，判别器模型用于识别原始的待保护图片和添加了加密噪声后的待保护图片，从而保证经过训练后的生成器模型生成的噪声是微小且不易察觉的。

在本实施例中，上述S2具体包括以下子步骤S201～S206：

S201：使用参数为θ的深度神经网络作为生成器模型G_θ，用于为每幅图片x_i生成与原图大小一致的加密噪声δ_i，δ_i＝G_θ(x_i)。

S202：构建生成器模型训练的主要目标函数

该函数用于促进第一模型

将每幅图片的加密噪声δ_i分类为接近真值标签值y_i的预测标签值：

其中：

表示图片和标签分布的期望，l表示交叉熵损失。构建该损失函数的主要动机是构建噪声与标签的强虚假关联以干扰图片和标签的真实映射关系。

S203：构建一个基于软铰链(hingeloss)的目标损失函数

以辅助生成器模型的训练：

其中：

表示图片和标签分布的期望，‖·‖₂表示L₂范数，c表示用户指定的噪声可接受幅值。构建该损失函数，一方面可以使生成器的训练更加稳定，同时可以控制噪声的幅值。

S204：使用参数为φ的深度神经网络作为判别器模型D_φ，针对该模型构建一个二分类目标函数

使判别器模型能够对原图片x_i和添加了加密噪声的加密图片x_i+δ_i进行分类：

其中，

表示图片和标签分布的期望。判别器的目的是区分原图x_i和添加了加密噪声的图片x_i+δ_i，以促进生成器产生的噪声δ_i尽可能不对原图x_i造成较大影响，这样加密后图片依然可以保持其正常的效用。

S205：结合三项目标函数

和

针对生成器模型和判别器模型的训练构建一个最大-最小的博弈损失函数，用于交替更新各自的模型参数：

其中，α为一个权重值，用于权衡在训练生成器时

和

的相对重要程度。由此可见，本发明中生成器模型和判别器模型的训练范式是经典的生成对抗网络训练流程，即生成器模型最小化总目标函数，而判别器模型最大化总目标函数。

S206：利用图片训练集在生成对抗网络的训练框架下训练生成器模型和判别器模型，且在模型迭代更新过程中，输入图像样本作为优化问题的训练样本，根据最大-最小的博弈损失函数对生成器模型和判别器模型进行反向回馈以更新两个模型的各层参数，最终学习到的生成器模型作为第二模型

S3：生成对抗网络训练完成后，将待保护的目标图片输入至生成器模型得到微小不易察觉的加密噪声，将该加密噪声添加到原目标图片上，获得加密图片。

在本实施例中，上述S3具体包括以下子步骤S301～S302：

S301：将待保护的目标图片x^*输入到第二模型

中获得加密噪声

然后将噪声δ^*直接通过对应像素相加的方式附加到原始的目标图片x^*上，获得加密后的图片x^′。由于生成的噪声δ^*是微小的，因此不影响图片的正常效用。其中，待加密的目标图片x^*既可以是用于训练生成对抗网络的图片，也可以是其他任意图片，并且加密过程不依赖于图片标签信息。

需注意的是，此步骤S301中，待加密的目标图片是用于训练生成对抗网络的图片，或者是其他任意图片。

S302：完成加密后的图片x^′具备针对深度神经网络的不可学习属性，用于安全上传或分享至各种社交媒体上。

另外在本发明中，对于生成对抗网络训练完成后的生成器模型，在投入实际应用前序对其进行评估。在评估时，将加密后的图片作为训练集，若基于深度神经网络的图片分类模型无法在该训练集上训练后其分类精度均无法满足要求，则表明经过本发明的生成器模型所生成的噪声进行加密处理后，加密后图片无法被深度神经网络学习，从而满足隐私性和安全性，视为本发明上述S2中得到的生成器模型达到使用要求，即本发明的图像数据隐私保护方法是安全可靠的。

在本实施例中，对生成器模型进行评估的方法记为S4步骤，具体包括以下子步骤S401～S406：

S401：在评估时，由生成器模型生成加密图片x′_i并为其标注标签y′_i，从而构成一个图片集合X′＝{x′₁,x′₂,…,x′_M}及其对应的标签集合Y′＝{y′₁,y′₂,…,y′_M}作为训练集，其中M表示训练集中的样本数量；

S402：构建参数为ψ的深度神经网络作为图片分类模型h_ψ；

S403：构建一个图片分类任务的目标函数

使得神经网络预测的标签值与对应图像的真值标签值一致：

其中，

表示图片和标签分布的期望，l表示交叉熵损失；

S404：利用S401中构建的训练集对图片分类模型h_ψ进行训练，根据损失函数

对图片分类模型h_ψ进行反向回馈以更新图片分类模型的各层参数ψ，最终学习到的模型作为第三模型

S405：获取由新的加密图片构成的测试集用于评估模型

的分类精度，X_test＝{x_test,1,x_test,2,…,x_test,K}和Y_test＝{y_test,1,y_test,2,…,y_test,K}分别表示该测试集的图片集合和其对应的标签集合，其中K表示测试集中的样本数量。

S406：将每张测试图片x_test,i输入到第三模型

中得到模型的预测标签

将所有测试图片的预测标签

和真值标签y_test,i进行对比获得第三模型

在测试集上的分类精度；如果分类精度低于阈值，则说明

无法从加密后的加密图片数据集中学习到有用的知识，图片经过第二模型

的加密能够满足保护图片拥有者数据隐私的需求，且分类精度越低本发明的隐私保护效果越好，反之亦然。

需要说明的是，用于进行评估的加密图片x′_i和标注标签y′_i，可以是全新的数据，也可以是S1中的图片训练集经过处理后得到的数据，对此可不作限制。

本发明的上述第一模型、第二模型和第三模型均可采用任意可行的深度神经网络模型。

下面将上述图像数据隐私保护方法应用于具体的图像数据实施例中，进行图像数据保护。具体的步骤如S1～S4所述，不再赘述，下面仅展示其具体效果。

实施例

本实施例在常用的图像数据集上进行测试。

1)按照前述S1，获取图像数据集并分为训练集和测试集，利用该数据集的训练集训练一个基于深度神经网络的图片分类模型，得到第一模型。

2)按照前述S2，利用第一模型和图像数据集在生成对抗网络的框架下训练生成器模型和判别器模型，训练得到的生成器模型为第二模型。

3)按照前述S3，如图2所示，将数据集的训练集图片输入第二模型，得到微小噪声，将该噪声添加到数据集图片上，获得加密后的图片，即可上传至社交网络。

4)按照前述S4，在评估时，假设任何人可以从公共平台上下载到加密后的图片x′_i并为其标注标签y_i，从而构成一个训练集，并利用该训练集训练一个基于深度神经网络的图片分类模型，得到第三模型。将S1中图像数据集中的测试集输入第三模型，获得测试集的准确率(Accuracy)作为对本发明的图像数据隐私保护方法的性能评价。

需要说明的是，在本实施例中，用于训练形成第一模型和第二模型的图片分类模型均采用ResNet-18模型。另外，用于训练生成第二模型的生成器模型的网络架构配合使用了对应的卷积模块和反卷积模块，输入图像先经过卷积模块，卷积结果再输入反卷积模块后输出最终结果，以保证输出的噪声尺度和原图尺度一致。其中，卷积模块可采用ResNet-18模型实现，反卷积模块可采用与ResNet-18对应的反卷积网络。另外，本实施例中，用户指定的噪声可接受幅值c取8/255，权重值α取1。

本实施例是在三个常用的图像数据集上进行验证的，包括SVHN图像数据集(http://ufldl.stanford.edu/housenumbers/)、CIFAR-10图像数据集(https://www.cs.toronto.edu/～kriz/cifar.html)和ImageNet图像数据集前25类(https://www.image-net.org/)。

本实施例的结果如表1所示：

表1三个数据集的测试集准确率

¹第一模型是指用原始数据集中训练集训练出来的模型

²准确率越低说明对图片数据保护效果越好

³第三模型是指用加密后的图片作为训练集训练出来的模型

上述结果表明，本发明的方法可以使神经网络模型无法从被保护的图片数据中学习到有用的知识，从而达到数据保护的目的。

以上所述的实施例只是本发明的一种较佳的方案，然其并非用以限制本发明。有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型。因此凡采取等同替换或等效变换的方式所获得的技术方案，均落在本发明的保护范围内。

Claims (10)

1.一种基于生成对抗网络的图像数据隐私保护方法，其特征在于，包括如下步骤：

S1：获取由训练样本组成的图片训练集，每个训练样本包含待保护图片及对应的可训练标签，并利用该图片训练集训练一个基于深度神经网络的图片分类模型；

S2：利用训练好的图片分类模型和图片训练集在生成对抗网络的框架下训练生成器模型和判别器模型，其中生成器模型用于为每个待保护图片生成加密噪声，判别器模型用于识别原始的待保护图片和添加了加密噪声后的待保护图片；

S3：生成对抗网络训练完成后，将待保护的目标图片输入至生成器模型得到加密噪声，将该加密噪声添加到原目标图片上，获得加密图片。

2.如权利要求1所述的基于生成对抗网络的图像数据隐私保护方法，其特征在于，所述的S1具体包括以下子步骤：

S101：获取待保护图片集合X＝{x₁,x₂,…,x_N}，其中N为图像集合中样本数目，x_i表示第i个待保护图片样本；

S102：获取待保护图片集合X中每幅图像对应的可训练标签Y＝{y₁,y₂,…,y_N}，y_i表示第i个待保护图片样本对应的标签；

S103：使用参数为w的深度神经网络作为图片分类模型f_w，该模型用于将每幅图像x_i映射到标签空间，从而得到预测标签值；

S104：为了使得图片分类模型f_w预测的标签值与对应图片的真值标签值一致，对训练样本定义损失函数

为：

其中：

表示图片和标签分布的期望，l表示交叉熵损失；

S105：基于所述图片训练集训练图片分类模型f_w，根据损失函数

对模型f_w进行反向回馈以更新图片分类模型的各层的参数w，最终学习到的模型作为第一模型

3.如权利要求2所述的基于生成对抗网络的图像数据隐私保护方法，其特征在于，所述的S2具体包括以下子步骤：

S201：使用参数为θ的深度神经网络作为生成器模型G_θ，用于为每幅图片x_i生成与原图大小一致的加密噪声δ_i，δ_i＝G_θ(x_i)；

S202：构建生成器模型训练的主要目标函数

该函数用于促进第一模型

将每幅图片的加密噪声δ_i分类为接近真值标签值y_i的预测标签值：

其中：

表示图片和标签分布的期望，l表示交叉熵损失；

S203：构建一个基于软铰链的目标损失函数

以辅助生成器模型的训练：

其中：

表示图片和标签分布的期望，‖·‖₂表示L₂范数，c表示用户指定的噪声可接受幅值；

S204：使用参数为φ的深度神经网络作为判别器模型D_φ，针对该模型构建一个二分类目标函数

使判别器模型能够对原图片x_i和添加了加密噪声的加密图片x_i+δ_i进行分类：

其中，

表示图片和标签分布的期望；

S205：结合三项目标函数

和

针对生成器模型和判别器模型的训练构建一个最大-最小的博弈损失函数，用于交替更新各自的模型参数：

其中，α为一个权重值，用于权衡在训练生成器时

和

的相对重要程度；

S206：利用图片训练集在生成对抗网络的训练框架下训练生成器模型和判别器模型，且在模型迭代更新过程中，根据最大-最小的博弈损失函数对生成器模型和判别器模型进行反向回馈以更新两个模型的各层参数，最终学习到的生成器模型作为第二模型

4.如权利要求3所述的基于生成对抗网络的图像数据隐私保护方法，其特征在于，所述的S3具体包括以下子步骤：

S301：将待保护的目标图片x^*输入到第二模型

中获得加密噪声

然后将噪声δ^*附加到原始的目标图片x^*上，获得加密后的图片x′。

S302：完成加密后的图片x′具备针对深度神经网络的不可学习属性，用于安全上传或分享至各种社交媒体上。

5.如权利要求1所述的基于生成对抗网络的图像数据隐私保护方法，其特征在于，对于生成对抗网络训练完成后的生成器模型，在投入实际应用前序对其进行评估；在评估时，将加密后的图片作为训练集，若基于深度神经网络的图片分类模型无法在该训练集上训练后其分类精度均无法满足要求，则视为该生成器模型达到使用要求。

6.如权利要求5所述的基于生成对抗网络的图像数据隐私保护方法，其特征在于，对生成器模型进行评估的方法具体包括以下子步骤：

S401：在评估时，由生成器模型生成加密图片x′_i并为其标注标签y′_i，从而构成一个图片集合X′＝{x′₁,x′₂,…,x′_M}及其对应的标签集合Y′＝{y′₁,y′₂,…,y′_M}作为训练集，其中M表示训练集中的样本数量；

S402：构建参数为ψ的深度神经网络作为图片分类模型h_ψ；

S403：构建一个图片分类任务的目标函数

使得神经网络预测的标签值与对应图像的真值标签值一致：

其中，

表示图片和标签分布的期望，l表示交叉熵损失；

S404：利用S401中构建的训练集对图片分类模型h_ψ进行训练，根据损失函数

对图片分类模型h_ψ进行反向回馈以更新图片分类模型的各层参数ψ，最终学习到的模型作为第三模型

S405：获取由新的加密图片构成的测试集用于评估模型

的分类精度，X_test＝{x_test,1,x_test,2,…,x_test,K}和Y_test＝{y_test,1,y_test,2,…,y_test,K}分别表示该测试集的图片集合和其对应的标签集合，其中K表示测试集中的样本数量。

S406：将每张测试图片x_test,i输入到第三模型

中得到模型的预测标签

将所有测试图片的预测标签

和真值标签y_test,i进行对比获得第三模型

在测试集上的分类精度；如果分类精度低于阈值，则说明

无法从加密后的加密图片数据集中学习到有用的知识，图片经过第二模型

的加密能够满足保护图片拥有者数据隐私的需求。

7.如权利要求3所述的基于生成对抗网络的图像数据隐私保护方法，其特征在于，所述生成器模型的网络架构配合使用了对应的卷积模块和反卷积模块，以保证输出的噪声尺度和原图尺度一致。

8.如权利要求7所述的基于生成对抗网络的图像数据隐私保护方法，其特征在于，所述卷积模块采用ResNet-18模型。

9.如权利要求7所述的基于生成对抗网络的图像数据隐私保护方法，其特征在于，所述图片分类模型采用ResNet-18模型。

10.如权利要求4所述的基于生成对抗网络的图像数据隐私保护方法，其特征在于，所述的步骤S301中，待加密的目标图片是用于训练生成对抗网络的图片，或者是其他任意图片。

Images