隐私保护的图像替代数据生成方法

吉林大学学报(信息科学版) ›› 2024, Vol. 42 ›› Issue (1): 59-66.

隐私保护的图像替代数据生成方法

李婉莹^a,b , 刘学艳^a,b , 杨博^a,b

吉林大学 a. 计算机科学与技术学院; b. 符号计算与知识工程教育部重点实验室, 长春 130012

收稿日期:2022-12-25 出版日期:2024-01-29 发布日期:2024-02-04
通讯作者: 杨博(1974— ), 男, 河南新乡人, 吉林大学教授, 博士, 主要从事复杂系统学习和神经符号系统研究, (Tel)86-431-85166892(E-mail)ybo@ jlu. edu. cn
作者简介: 李婉莹(1999— ), 女, 黑龙江牡丹江人, 吉林大学硕士研究生, 主要从事深度学习和对抗攻击研究, ( Tel) 86- 18245371367(E-mail)846353603@ qq. com
基金资助:
国家自然科学基金资助项目 ( U22A2098; 62172185; 62202200; 62206105 ); 国家重点研发计划基金资助项目 (2021ZD0112501; 2021ZD0112502); 吉林省重点科技研发基金资助项目(20180201067GX; 20180201044GX); 吉林省自然科学基金资助项目(20200201036JC)

Alternative Data Generation Method of Privacy-Preserving Image

LI Wanying^a,b, LIU Xueyan ^a,b , YANG Bo ^a,b

a. College of Computer Science and Technology; b. Key Laboratory of Symbolic Computing and Knowledge Engineering of Ministry of Education, Jilin University, Changchun 130012, China

Received:2022-12-25 Online:2024-01-29 Published:2024-02-04

摘要/Abstract

摘要： 针对现有图像数据集存在的隐私保护需求, 提出一种图像数据集隐私保护场景及该场景下隐私保护的图像替代数据生成方法。该场景利用经隐私保护方法处理后的替代图像数据集取代原始图像数据集, 其中替代图像与原始图像一一对应, 人类无法识别替代图像所属类别, 替代图像可训练现有的深度学习图像分类算法, 且具有较好的分类效果。同时针对上述场景, 改进了基于投影梯度下降(PGD: Project Gradient Descent) 攻击的数据隐私保护方法, 将原始 PGD 攻击目标由标签改为图像, 即图像对图像的攻击, 并使用经过对抗训练的鲁棒模型进行图像对图像攻击作为替代数据的生成方法。在标准测试集上, 替代后的 CIFAR( Canadian Institute For Advanced Research 10)数据集和 CINIC 数据集在图像分类任务上分别取得了 87. 15% 和 74. 04% 的测试正确率。实验结果表明, 该方法能在保证替代数据集对人类隐私性的前提下, 生成原始数据集的替代数据集, 并保证现有方法在该数据集上的分类性能。

关键词: 深度学习, 隐私保护, 计算机视觉, 对抗攻击, 对抗样本

Abstract: Aiming at the privacy protection requirements of existing image datasets, a privacy-preserving scenario of image datasets and a privacy-preserving image alternative data generation method is proposed. The scenario is to replace the original image dataset with an alternative image dataset processed by a privacy-preserving method, where the substitute image is in one-to-one correspondence with the original image. And humans can not identify the category of the substitute image, the substitute image can be used to train existing deep learning images classification algorithm, having a good classification effect. For this scenario, the data privacy protection method based on the PGD ( Project Gradient Descent) attack is improved, and the attack target of the original PGD attack is changed from the label to the image, that is the image-to-image attack. A robust model for image-to- image attacks as a method for generating alternative data. On the standard testset, the replaced CIFAR(Canadian Institute For Advanced Research 10)dataset and CINIC dataset achieved 87. 15% and 74. 04% test accuracy on the image classification task. Experimental results show that the method is able to generate an alternative dataset to the original dataset while guaranteeing the privacy of the alternative dataset to humans, and guarantees the classification performance of existing methods on this dataset.

Key words: deep learning')">

deep learning, privacy protection, computer vision, adversarial attack, adversarial example

中图分类号:

TP391

李婉莹, 刘学艳, 杨博. 隐私保护的图像替代数据生成方法[J]. 吉林大学学报(信息科学版), 2024, 42(1): 59-66.

LI Wanying , LIU Xueyan , YANG Bo . Alternative Data Generation Method of Privacy-Preserving Image [J]. Journal of Jilin University (Information Science Edition), 2024, 42(1): 59-66.

[1]	陈曦, 蔡现龙. 基于深度学习的人脸局部遮挡表情动态识别算法[J]. 吉林大学学报(信息科学版), 2024, 42(3): 503-508.
[2]	蔡现龙, 李阳, 陈曦. 泛化迁移深度学习下的跨模态图像行人识别算法[J]. 吉林大学学报(信息科学版), 2024, 42(1): 137-142.
[3]	刘樱琪, 宋杨, 李梓木, 罗维, 黄新睿, 王昊丰. 基于深度学习的心电信号分析检测系统 [J]. 吉林大学学报(信息科学版), 2023, 41(6): 1135-1142.
[4]	张峻豪, 吴洵, 吴宁, 曲瑞权, 孟凡儒, 张晨松. 基于 Jetson Nano 的智能果蔬采摘机器人设计[J]. 吉林大学学报(信息科学版), 2023, 41(4): 759-766.
[5]	刘世泽. 基于语义感知的行人重识别技术研究[J]. 吉林大学学报(信息科学版), 2023, 41(4): 726-731.
[6]	赵杰, 郭东. 基于平行注意力机制的对抗样本防御方法[J]. 吉林大学学报(信息科学版), 2022, 40(5): 846-855.
[7]	任爽, 田振川, 林光辉, 杨凯, 商继财. 改良 GoogLeNet 的电机滚动轴承故障诊断[J]. 吉林大学学报(信息科学版), 2022, 40(3): 371-378.