本发明专利技术涉及一种用于行人重识别的基于样本孤立机制的身份隐私保护方法和系统。该方法包括:给定干净图像,通过生成器学习扰动以生成相应的对抗图像;将对抗图像和干净图像输入目标模型中,分别获得对抗特征和干净特征;针对目标模型,利用对抗特征和干净特征,采用身份隔离损失、错误分类损失和错误排序损失对生成器进行训练,以生成最佳扰动;将生成的最佳扰动添加到目标人物的图像中,得到目标人物的对抗图像;通过对抗图像保护目标人物以防御恶意查询。本发明专利技术提出了一种身份隔离机制,将对抗性图像明确限制在一个孤立的位置,使得目标人物既远离原始身份,也远离任何其他身份,从而保护其不会被非法查询检索到。而保护其不会被非法查询检索到。而保护其不会被非法查询检索到。
【技术实现步骤摘要】
一种用于行人重识别的基于样本孤立机制的身份隐私保护方法和系统
[0001]本专利技术属于信息
,具体涉及一种用于行人重识别的基于样本孤立机制的身份隐私保护方法和系统。
技术介绍
[0002]随着数字时代的到来,人们对行人重识别越来越感兴趣,它从不同摄像机的数据库中返回相同的身份。现有的工作已经取得了显著的检索性能。然而,他们忽略了身份信息的泄露,这在行人重识别领域中非常重要。我们将目标人物表示为对私人保护有很高要求的重要人物,如名人或政治领袖。但是,恶意用户(入侵者)一旦获得非法访问,就可以入侵行人重识别模型。同时,入侵者可以通过社交媒体轻松获取目标人物的图像,例如从网络新闻和在线搜索引擎中下载。然后,目标人物将在密集查询(攻击)下被检索(暴露),泄露个人身份信息,例如他是谁、他的行程轨迹等。这可能进一步导致恶意攻击等不良情况,甚至是一些安全问题,例如跟踪和绑架。
[0003]从平台的角度来看,如何主动保护目标人物不被潜在入侵者恶意检索成为本方法的重点。现有方法中,对抗攻击主要通过干扰像素的方式稍微修改干净图像,生成人类难以察觉的对抗扰动图像,以高置信度输出不一致结果误导模型输出错误的预测。近期工作还为行人重识别模型的对抗攻击提供了新的视角,他们根据训练数据生成扰动,并将它们添加到干净的图像中,作为误导排名的恶意查询。这种“从对抗到干净”的攻击范式(扰动查询和干净的结果)是对抗性攻击领域中突出的学习策略。受此启发,通过对抗扰动来保护身份信息是目前的一种解决方法。
[0004]在图像检索机制中,两个开创性的工作CWDM和PPL对类似问题进行了早期探索,他们训练对抗性扰动并将它们直接添加到数据库中的私有图像中,以逃避干净但恶意的查询。这可以称为“从干净到对抗”的保护范式,即查询数据库中的干净图像(具有恶意目的)和对抗图像(受保护的目标人物)。然而,将这些基于对抗的方法简单地应用于抢先保护行人重识别将导致退化的结果。本专利技术将此归功于“重叠身份”问题。具体来说,以前的方法只关注将对抗性图像推离其原始身份,这可能会使对抗性图像移动到其他身份附近。然后,如果攻击者使用其他身份发起查询,仍然可以检索到目标人物的图像,因此极大地阻碍了保护能力。
技术实现思路
[0005]本专利技术的目的在于研究数据库图像之间保护范式的最佳关系是什么,因此,本专利技术深入研究了保护的主要目的,即最大限度地保护目标人物不被检索(暴露)。或者等效地,使目标人物与密集查询隔离(无论查询属于什么身份)。受此启发,本专利技术从如何找到最佳关系的角度重新思考“从干净到对抗”的保护范式。
[0006]本专利技术采用的技术方案如下:
[0007]一种用于行人重识别的基于样本孤立机制的身份隐私保护方法,包括以下步骤:
[0008]给定干净图像,通过生成器学习扰动以生成相应的对抗图像;
[0009]将对抗图像和干净图像输入目标模型中,分别获得对抗特征和干净特征;
[0010]针对目标模型,利用对抗特征和干净特征,采用身份隔离损失、错误分类损失和错误排序损失对生成器进行训练,以生成最佳扰动;
[0011]将生成的最佳扰动添加到目标人物的图像中,得到目标人物的对抗图像;
[0012]通过对抗图像保护目标人物以防御恶意查询。
[0013]进一步地,所述身份隔离损失最大化目标人物的对抗图像与数据库中所有干净图像的总体距离,将目标人物的对抗图像明确限制在一个孤立的位置,使目标人物既远离原始身份也远离任何其他身份,从而保护目标人物不会被非法查询检索到。
[0014]进一步地,所述身份隔离损失为:
[0015][0016]其中B表示批量大小,f(x
′
i
)表示对抗样本输出的特征,f
c
是每个身份质心的特征,C是所有训练图像的总身份数量。
[0017]进一步地,所述错误排序损失最小化对抗图像的负对的距离并最大化对抗图像的正对的距离;所述错误排序损失为:
[0018][0019]其中m是平衡边际,x
′
j
和x
′
k
分别表示图像x
′
i
的正例和负例,f(x
′
j
)表示正例样本输出的特征,f(x
′
k
)表示负例样本输出的特征。
[0020]进一步地,所述错误分类损失为:
[0021][0022]其中Y
i
是x
′
i
的真实标签,y
i
是属于真实标签的概率的预测值,由全连接分类器输出。
[0023]进一步地,通过两种攻击方式和成功保护率指标评估和量化保护能力,所述两种攻击方式为随机攻击和顺序攻击。
[0024]进一步地,所述成功保护率定义为:
[0025][0026]其中,SPR
r
表示随机攻击的成功保护率,SPR
o
表示顺序攻击的成功保护率,N
ta
是总攻击次数;检索结果返回的所有图像会与查询图像形成相似到不相似的排序列表,R
p
是目标人物图像在排序列表中第一次出现的位置;N
gallery
是数据库中图像的数量;对于顺序攻击,表示前N
ta
个图像;对于随机攻击,表示随机选择的N
ta
个图像。
[0027]一种用于行人重识别的基于样本孤立机制的身份隐私保护系统,其包括:
[0028]训练模块,用于给定干净图像,通过生成器学习扰动以生成相应的对抗图像;将对
抗图像和干净图像输入目标模型中,分别获得对抗特征和干净特征;利用对抗特征和干净特征,采用身份隔离损失、错误分类损失和错误排序损失对生成器进行训练,以生成最佳扰动;
[0029]保护模块,用于将生成的最佳扰动添加到目标人物的图像中,得到目标人物的对抗图像,通过对抗图像保护目标人物以防御恶意查询。
[0030]与现有方法相比,本专利技术提出了一种新颖的主动保护行人重新识别方法,该方法(PRIDE)通过给定一个目标人物(需要主动的保护),生成最佳扰动并将它们添加到数据库中目标人物的图像中。因此,对抗性(受保护的)图像不会被非法查询检索到。为此,本专利技术首先介绍了“重叠身份”问题,它显示了在详尽查询所有其他身份时被检索到的潜在风险。为了解决这个问题,本专利技术提出了一种身份隔离机制,以最大化对抗性图像(受保护的目标人物)与数据库中所有干净图像的总体距离。通过将对抗性图像明确限制在一个孤立的位置,目标人物既远离原始身份,也远离任何其他身份,从而保护他不会被非法查询检索到。本专利技术进一步提出了一种新的成功保护率指标和两种关键攻击(随机攻击和顺序攻击)来全面评估和量化本专利技术方法的保护能力。
附图说明
[0031]图1是主动保护行人重新识别(PRIDE)方法示意图。
[0032]图2是样本孤立机制示意图。
[00本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于行人重识别的基于样本孤立机制的身份隐私保护方法,其特征在于,包括以下步骤:给定干净图像,通过生成器学习扰动以生成相应的对抗图像;将对抗图像和干净图像输入目标模型中,分别获得对抗特征和干净特征;针对目标模型,利用对抗特征和干净特征,采用身份隔离损失、错误分类损失和错误排序损失对生成器进行训练,以生成最佳扰动;将生成的最佳扰动添加到目标人物的图像中,得到目标人物的对抗图像;通过对抗图像保护目标人物以防御恶意查询。2.根据权利要求1所述的方法,其特征在于,所述身份隔离损失最大化目标人物的对抗图像与数据库中所有干净图像的总体距离,将目标人物的对抗图像明确限制在一个孤立的位置,使目标人物既远离原始身份也远离任何其他身份,从而保护目标人物不会被非法查询检索到。3.根据权利要求2所述的方法,其特征在于,所述身份隔离损失为:其中B表示批量大小,f(x
′
i
)表示对抗样本输出的特征,f
c
是每个身份质心的特征,C是所有训练图像的总身份数量。4.根据权利要求3所述的方法,其特征在于,所述错误排序损失最小化对抗图像的负对的距离并最大化对抗图像的正对的距离;所述错误排序损失为:其中m是平衡边际,x
′
j
和x
′
k
分别表示图像x
′
i
的正例和负例,f(x
′
j
)表示正例样本输出的特征,f(x
′
k
)表示负例样本输出的特征。5.根据权利要求4所述的方法,其特征在于,所述错误分类损失为:其中Y
i
是x
′
i
的真实标签,y
...
【专利技术属性】
技术研发人员:章万千,汪林,吴大衍,李波,王伟平,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。