[发明专利]基于图像对抗的图像隐私保护方法、系统及计算机设备

说明书

本发明公开了一种基于图像对抗的图像隐私保护方法、系统及计算机设备，其中图像隐私保护方法包括：1、对原始图像进行标准化，得到标准化图像数据X；2、根据选定的图像分类器D，训练图像对抗模型F的参数；3、采用图像对抗模型F对标准化图像数据进行对抗处理，得到标准化对抗图像数据f(X)；4、对标准化对抗图像数据进行逆标准化，得到对抗图像。该方法能够得到扰乱图像识别的对抗图像。

技术领域

本发明属于图像处理技术领域，具体涉及一种图像隐私保护方法。

背景技术

近年来，由于机器学习和大数据相关技术的快速发展，图像识别在带来便利的同时，也带来隐私和道德问题。为了防止机器视觉和图像处理技术被滥用，图像对抗成为较为活跃的研究方向。图像对抗能够保留图像原本的语义(对人类而言)，同时能够屏蔽某些神经网络训练出来的模型的识别(对于机器而言)。

Goodfellow等人在2014年发现了一个现象，根据神经网络识别图像的原理——即大多数神经网络依靠梯度方向优化损失函数来提升识别的准确率这个结论。如果利用这个结论，根据神经网络识别图片时计算出的损失函数的计算图的梯度方向施加一个有符号的扰动，那么这张图片的识别就非常有可能失败，被识别成其他的结果。这是最先提出的有关图像对抗的一篇论文，随后Kurakin等人又提出了基于迭代的应用于物理世界的一种对抗方法。再随后亦有大量的论文，从各种程度上表明图像识别网络的易攻击性。

虽然现在有关图像对抗的研究很多，但缺少简单易用的对抗图像还原方法。在一些应用场景中，用户希望在不丢失过多图像语义的情况下能够不被现有的图像识别技术识别出来，同时能够将对抗图像进行还原。

随着神经网络的发展，研究者提出了一些巧妙设计的神经网络结构，如文献：arXiv:1712.02328[cs.CV]和arXiv:1802.07088[cs.LG]，研究者设计了一种天然具有可逆的特性的网络i-Revnet，利用该网络辅以填入图像额外的数据，可以正向将图像的向量转换为对抗后的图像防止被其他网络识别，也可以反向将被转换后的向量还原回去，在论文中也呈现了这一种可逆操作的成果，但是直接将图像向量保存为图像会有精度损失，无法还原，尽管这些精度损失是很细微的，但是对于神经网络是很致命的，这些精度损失会让神经网络没有办法还原出输入的数据，目前很难找到将对抗后的图像无损还原的方式。

发明内容

发明目的：本发明旨在提供一种基于图像对抗的图像隐私保护方法，该方法能够得到扰乱图像识别的对抗图像，同时还能够精确还原对抗图像。

技术方案：本发明一方面公开了一种基于图像对抗的图像隐私保护方法，包括：

S1、对原始图像进行标准化，得到标准化图像数据X；

S2、根据选定的图像分类器D，训练图像对抗模型F的参数；

S3、采用图像对抗模型F对标准化图像数据进行对抗处理，得到标准化对抗图像数据f(X)；

S4、对标准化对抗图像数据进行逆标准化，得到对抗图像。

所述图像对抗模型F为基于i-Revnet的可逆网络；还包括：

S5、在对抗图像文件后增加标准化对抗图像数据；

S6、图像还原时，读取对抗图像文件中的标准化对抗图像数据，采用对抗处理f的反向处理g从标准化对抗图像数据中还原标准化图像数据；

S7、对还原的标准化图像数据进行逆标准化，得到还原的原始图像。

另一方面，本发明公开了实现上述方法的图像隐私保护系统，包括：

图像标准化模块，用于对原始图像进行标准化；