一种基于可擦除对抗攻击的图像隐私保护装置及方法

本发明涉及计算机视觉对抗攻击和隐私保护，具体涉及一种基于可擦除对抗攻击的图像隐私保护装置及方法。

背景技术：

1、深度学习技术的发展使得许多的视觉应用任务获得了显著的性能提升，包括图像分类、人脸识别、目标检测及语义分割等等。这些相关技术给我们的生活带来了许多便利，但同时也引起了人们对这些强有力工具滥用的担忧，特别是在隐私方面。例如，ai模型可以用于在社交媒体或云平台上收集并且自动化、大规模地分析用户上传的照片和视频，从中提取出关于用户的私人信息。这些照片常常包含用户的个人身份信息、性别、外貌特征、社交习惯和喜好偏见等。一些攻击者可以利用深度学习技术自动化检测和分析这些图像以获取用户的个人画像。除此之外，这些上传的图像还有可能在未经所有者同意的情况下被人收集起来构建数据集，用于一些任务的训练。因此，在互联网上的图像隐私保护成为一个迫切需要解决的问题。由于深度学习模型的脆弱性，对抗攻击方法在图像隐私方面得到了一些探索和研究。对于分类任务，对抗攻击即是在原始图像中添加视觉不可见的扰动生成对抗样本，使得人眼无法感知二者之间的区别，而神经网络会以很高的概率将其错误分类。然而，这种攻击所带来的对抗性是无差别的，没有考虑到图像对于已获得授权的模型的可用性。一个理想的场景是，生成对抗图像样本能够阻止恶意的未授权模型进行正常的推理，而不会对已获得授权的模型产生影响。

技术实现思路

1、鉴于上述问题，本发明提供了一种基于可擦除对抗攻击的图像隐私保护装置及方法，解决了现有技术中生成的对抗攻击图像无法针对模型是否授权具备选择性的问题。

2、第一方面，本发明提供了一种基于可擦除对抗攻击的图像隐私保护方法，包括以下步骤：

3、步骤s1、对输入图像进行分离，获取下采样的第一输出图和第二输出图，所述第一输出图和第二输出图分别包含所述输入图像的不同信息；

4、步骤s2、采用第一生成器对所述第一输出图和所述第二输出图进行处理，获取扰动后的第二输出图；采用第二生成器对所述第一输出图和所述扰动后的第二输出图进行处理，获取扰动后的第一输出图；

5、步骤s3、重组所述扰动后的第一输出图和扰动后的第二输出图，获取隐私保护图像。

6、优选地，步骤s1具体包括：步骤s1-1、对输入图像进行可逆维度变换操作，将输入图像的高度和宽度分别缩小为输入图像的一半，将通道数扩大为输入图像的四倍；步骤s1-2、对维度变换后的输入图像在通道维度上进行平均分离，获取第一输出图和第二输出图，所述第一输出图和第二输出图的高度和宽度分别为输入图像的一半，通道数为输入图像的二倍。

7、优选地，步骤s2具体包括：对于第一生成器接收第一输出图x1，生成第二输出图x2的扰动，将受限的扰动叠加到第二输出图x2上，生成扰动后的第二输出图对于第二生成器接收扰动后的第二输出图生成第一输出图x1的扰动，将受限的扰动叠加到第一输出图x1上，生成扰动后的第一输出图计算方式为：

8、

9、

10、其中clip∈(·)为裁剪函数，表示限制其绝对值不超过∈。

11、优选地，步骤s3具体包括：步骤s3-1、将所述扰动后的第一输出图和扰动后的第二输出图在通道维度上进行拼接；步骤s3-2、将拼接后的图像进行可逆维度变换操作，恢复为与输入图像相同的高度、宽度和通道数，最终输出隐私保护图像。

12、优选地，训练双生成器，将其应用于步骤s2中，包括以下步骤：

13、步骤s4、构建训练图像数据集；

14、步骤s5、基于所述图像数据集，对代理模型进行预训练，获取第三生成器，所述第三生成器用于对所述输入图像添加扰动；

15、步骤s6、基于所述图像数据集和所述第三生成器，训练双生成器，将训练完成的双生成器应用于步骤s2中。

16、优选地，步骤s5具体包括：基于所述图像数据集中的图像样本，对代理模型f进行预训练，获取第三生成器第三生成器的训练采用中间特征层攻击策略，第三生成器将产生的扰动叠加在输入图像样本上，形成耦合扰动对抗样本：

17、

18、其中xori为输入图像样本，xadv_t为耦合扰动对抗样本；

19、优选地，步骤s6具体包括：基于所述图像数据集中的图像样本执行步骤s1-s3，生成隐私保护图像样本xadv；将预训练好的第三生成器的权重参数冻结；生成器和均包括3个下采样层、6个残差连接块和4个上采样层，设置训练双生成器的损失函数lall：

20、

21、其中，fl(·)表示代理模型f在第l层的特征图输出，λ1和λ2是损失项的平衡系数，表示l2范数。

22、另一方面，本发明提供了一种所述的隐私保护图像的恢复方法，包括以下步骤：

23、步骤s7、对输入的隐私保护图像进行分离，获取所述扰动后的第一输出图和扰动后的第二输出图；

24、步骤s8、采用步骤s2中的第一生成器和第二生成器对所述扰动后的第一输出图和扰动后的第二输出图进行处理，获取所述第一输出图和第二输出图；

25、步骤s9、重组所述第一输出图和第二输出图，获取原始干净图像。

26、优选地，步骤s8具体包括：对于第二生成器接收扰动后的第二输出图生成第一输出图x1的扰动，从扰动后的第一输出图移除受限的扰动，生成第一输出图x1；对于第一生成器接收第一输出图x1，生成第二输出图x2的扰动，从扰动后的第一输出图移除受限的扰动，生成第二输出图x2，计算方式为：

27、

28、

29、其中clip∈(·)为裁剪函数，表示限制其绝对值不超过∈。

30、另一方面，本发明提供了一种基于可擦除对抗攻击的图像隐私保护装置，包括以下模块：

31、输入图像划分模块，用于对输入图像进行分离，获取下采样的第一输出图和第二输出图，所述第一输出图和第二输出图分别包含所述输入图像的不同信息；

32、解耦扰动生成模块，用于采用第一生成器对所述第一输出图和所述第二输出图进行处理，获取扰动后的第二输出图；采用第二生成器对所述第一输出图和所述扰动后的第二输出图进行处理，获取扰动后的第一输出图；

33、隐私图像重组模块，用于重组所述扰动后的第一输出图和扰动后的第二输出图，获取隐私保护图像。

34、另一方面，本发明提供了一种隐私保护图像的恢复装置，包括以下模块：

35、隐私图像划分模块，用于对输入的隐私保护图像进行分离，获取所述扰动后的第一输出图和扰动后的第二输出图；

36、解耦扰动恢复模块，用于采用所述第一生成器和所述第二生成器对所述扰动后的第一输出图和扰动后的第二输出图进行处理，获取所述第一输出图和第二输出图；

37、原始图像重组模块，用于重组所述第一输出图和第二输出图，获取原始干净图像。

38、与现有技术相比，本发明至少具有如下有益效果：

39、(1)本发明提供了一种简单而有效的方法来保护图像隐私，通过生成对抗性扰动来拒绝未授权模型对图像内容的识别，同时保证了对授权模型的正常推理能力，有效地平衡了隐私保护与数据可用性之间的关系。

40、(2)本发明的通过采用两个生成器分别生成对图像不同部分的对抗性扰动，实现了对原始图像扰动的解耦，这种设计不仅提高了对抗样本的生成效率，还增强了原始图像恢复的可行性，形式上更为高效。

41、(3)本发明基于生成引导损失策略和中间特征层，生成的对抗样本能够有效迁移到不同的未知黑盒模型上，提高了对抗样本在现实世界中的应用价值和通用性，使得本发明能够更好地应对多变的攻击场景。