基于投影梯度下降法生成对抗样本的隐私保护方法与流程

技术特征：
1.一种基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，包括：输入原始图片，利用目标检测器识别图片是否存在隐私信息，隐私信息可以是人脸信息或者别的敏感物体，目标检测器是基于卷积神经网络的检测器；通过检测，目标检测器输出隐私区域的位置信息以及分类损失2.根据权利要求1所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，根据目标检测器检测到的隐私位置信息及分类损失利用基于投影梯度下降法的扰动生成器针对隐私区域生成特定扰动，再将生成的扰动叠加至原始图像生成对抗样本。3.根据权利要求2所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，将基于原始图像生成的对抗样本再次检测隐私信息并输入扰动生成器，迭代生成对抗样本，扰动生成器基于投影梯度下降法和颜色梯度图生成对抗噪声；具体包括，将生成的对抗样本送入目标检测器，识别是否还能检测出隐私信息，若还能检测出隐私信息，根据新识别出的隐私信息及其位置信息和分类损失再次生成对抗样本。4.根据权利要求3所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，其中扰动生成器基于投影梯度下降法和颜色梯度图生成对抗噪声，扰动生成器第t 1次迭代时产生的对抗扰动δx
t 1
的方法包括：的方法包括：5.其中代表第t次迭代中的梯度值，y为隐私区域对应的标签，包括类别和类别概率信息，w为检测模型权重，表示根据对x δx
t
求导，求导过程中y和w保持固定，α代表生成扰动时每次迭代的步长，用于控制每次迭代添加的噪声的大小，β为梯度动量，用于控制梯度的更新，clip
∈
指裁剪计算，用于将生成的对抗扰动范围限制在[
‑
∈，∈]，∈是扰动范围阈值，其中若生成的对抗扰动大于∈的置为∈，小于
‑
∈的置为
‑
∈，为的2
‑
范数；π
‑
κ，κ
为基于颜色梯度图的投影计算，其中，在π
‑
κ，κ
计算中，根据输入图像x，利用边缘检测算子scharr算子计算每个颜色通道在x轴和y轴的梯度m
x
和m
y
，将其进行归一化得到和使梯度值范围在0到1之间，再根据和计算颜色梯度图m
xy
，计算方式如下所示：再根据颜色梯度图计算每个像素值的扰动，其中是位置为(i，j)的像素点的扰动值，计算方式如下：其中
‑
κ≤λ
ij
≤κ；m
ij
和x
ij
为颜色梯度图m
xy
和输入图像x中对应位置的对应元素，κ是大于0的超参数，用于控制生成扰动的范围，λ
ij
是与损失梯度和每个通道的颜色梯度相关的加权值，计算方式如下所示：
其中clip
‑
κ，κ
是裁剪操作，用于将λ
ij
的范围限制于[
‑
κ，κ]，c从1到3进行求和代表对三个颜色通道分别计算后求和。6.根据权利要求4所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，再次利用目标检测器和扰动生成器迭代生成扰动，将扰动叠加至上一步生成的对抗样本形成新的对抗样本；以此循环迭代直到产生检测不到隐私信息也不会过分降低图片质量的对抗样本；为使生成的对抗样本能有效防御检测器的检测，同时不会因为迭代次数过多导致图片质量过分降低，在迭代过程中设置三个迭代停止条件。7.根据权利要求5所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，为了保证生成的对抗扰动δx
t
能够有效的干扰隐私检测器，设置第一个迭代停止条件为当分类损失大于某个阈值即停止迭代，即为当分类损失大于某个阈值即停止迭代，即其中γ为阈值超参数，可根据需要调整。8.根据权利要求6所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，由于每次迭代新生成的对抗样本在检测时会生成不同的检测区域，而新的检测区域又会影响新的对抗样本生成，最终导致不稳定的结果；通过计算每次新生成的检测区域和真实标记区域的交并比，真实标记区域根据标签信息获得，当交并比小于某个阈值时，迭代停止，此为第二个迭代停止条件。9.根据权利要求7所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，为了不让所述方法陷入无限循环，设置一个最大迭代次数m，当迭代次数大于m时，迭代停止，此为第三个迭代停止条件。10.根据权利要求8所述的基于投影梯度下降法生成对抗样本的隐私保护方法，其特征在于，通过扰动生成器迭代生成对抗样本，在迭代过程中依次检查停止条件，当迭代停止，则输出最终生成的对抗样本，若不满足停止条件则继续迭代。

技术总结
本发明涉及一种基于投影梯度下降法生成对抗样本的隐私保护方法，对输入图片进行目标检测，识别图像中是否存在隐私信息，并通过目标检测器获取隐私区域信息和分类损失根据隐私区域信息和分类损失利用投影梯度下降法迭代生成对抗噪声，并利用颜色梯度图限制噪声的范围，再将噪声叠加至原图或者上一次迭代输出形成对抗样本。为使生成的对抗样本能有效防御目标检测器的检测并保持图片原有质量，在迭代中设置相应迭代条件，在迭代停止时输出最终的对抗样本。本发明基于投影梯度下降法生成对抗样本的隐私保护方法比现有的保护方法更有效并能更好的保证图片原有的质量。方法更有效并能更好的保证图片原有的质量。方法更有效并能更好的保证图片原有的质量。


技术研发人员：童超 李越 马伯乐
受保护的技术使用者：北京航空航天大学
技术研发日：2021.04.23
技术公布日：2021/10/19