【技术实现步骤摘要】
本专利技术涉及数据隐私,具体为一种利用隐写术构建不可学样本的方法。
技术介绍
1、近年来,研究者发现数据中毒和对抗攻击等虽然是攻击方法,能够威胁模型的性能和安全性。然而,换一个角度同样可以作为一种保护方法,保护隐私数据的安全。最近,不可学样本的概念被提出,这是一种保护数据的方法。不可学样本为私有图像提供一种误差最小化的噪声,使得一个或者多个训练样本的损失接近于零。这可以欺骗模型相信这些样本中“没有什么”可以学习,从而达到保护的目的。噪声被限制为人眼难以察觉的,因此不影响正常的图像使用。
2、隐写术,它的目的在于将秘密信息嵌入到其他非明显可见的载体中,例如图像、音频、视频等,而不引起外界的怀疑,与加密技术不同,隐写术不是将信息加密,而是将其隐藏在另一种形式的数据中,使得除了预期的接收者外,其他人无法察觉或识别隐藏的信息,目前,隐写术已经被应用于后门攻击和对抗扰动,使得攻击更加难以被发现,因此,有必要探索将隐写术应用于不可学样本,提高不可学样本的隐蔽性和保护效果。
3、针对有监督学习出来的不可学样本,现有针对自监督学习的不可学样本方法,为原始图像生成等大的扰动,这需要大量的时间成本。此外,它的保护效果也存在提升的空间,因此,针对自监督学习算法生成不可学样本是现在急需解决的问题。
技术实现思路
1、(一)解决的技术问题
2、针对现有技术的不足,本专利技术提供了一种利用隐写术构建不可学样本的方法,具备减少扰动等优点,解决了现有针对自监督学习的不可学样本方
3、(二)技术方案
4、为实现上述减少扰动目的,本专利技术提供如下技术方案:一种利用隐写术构建不可学样本的方法,包括以下步骤:
5、步骤1:选取数据样本,建立训练集和测试集;
6、步骤2:训练获取隐写网络的编码器,具体包括构建隐写网络的编码器和解码器以及影子模型;
7、步骤3:对数据样本进行分类,并对每类数据样本进行训练扰动;
8、步骤4:将原始数据样本转换为不可学样本;利用训练完成的编码器和扰动,将原始数据样本转换成为对应的不可学样本。
9、优选的,步骤1中,数据集为图像数据,在数据集中随机选择12类,每类1300张图片,分为训练集12*1000张和测试集12*300张,其中,50000张训练集,10000张测试集,训练集用于训练模型网络和扰动,测试集测试训练效果。
10、优选的,步骤2包括:
11、步骤21:设计三种损失函数:图像重建函数,密钥重建函数和对比损失函数;图像重建损失:将原始图像ioe输入到隐写编码器中输出不可学样本iue,计算原始图像与不可学样本的距离;
12、步骤22:图像重建损失:将原始图像ioe输入到隐写编码器中输出不可学样本iue,计算原始图像与不可学样本的距离为:
13、步骤23:扰动重建损失:扰动为长度为l(默认l=64)的向量,编码器将输入扰动pin包括随机扰动嵌入到原始图像中,解码器从不可学样本iue中解码出输出扰动pout,计算输入扰动与输出扰动的距离为:
14、步骤24:对比损失:将不可学样本输入到影子模型中,影子模型psd提取特征并计算出对比损失cl,公式为:lcl(iue)=cl(psd(iue));
15、步骤25:最后,利用adam优化器对编码器和解码器的参数进行优化,优化的损失函数如下:lste=λplpr(pin,pout)+λiler(ioe,iue)-λclcl(iue),最终得到训练完成的编码器。
16、优选的,步骤2中,编码器:主要由两种卷积构成,普通卷积和特殊卷积,特殊卷积由卷积、标准化和激活函数构成,多个特殊卷积连接成一个卷积处理模块;
17、首先,普通卷积处理原始图像并与扩张后的输入扰动叠加;
18、然后,利用卷积处理模型对融合输入进行特征提取,并将此时特征与初始的图像特征和扰动特征叠加;
19、最终,用卷积处理获得与原始图像同样大小的不可学样本。
20、优选的,解码器:主要由卷积块和池化层和线性层组成,不可学样本经过卷积块提取特征,经过池化层压缩特征后,在通过线性层的映射获得与输入扰动同样长度的重建密钥。
21、优选的,步骤3中,其中,dc表示原始图像训练数据集,fδ表示预训练模型,δ表示模型参数,pθ表示扰动,θ表示扰动参数;e表示训练完成的编码器,cl表示计算对比学习损失的过程。
22、优选的,影子模型:选择resnet-18作为模型主要结构,去除分类头保留主干模型用于图像特征提取,利用对比学习算法simclr,moco v2和byol先训练好。
23、优选的,步骤3包括:
24、步骤31中,在imagenet数据集选取12类数据,cifar-10数据集中含有10类数据,初始化的扰动分别为p∈r12×l和p∈r10×l;
25、步骤32中,预训练模型与影子模型结构一致,每一类原始图像被分配长度为l的扰动,将原始图像和对应扰动输入到编码器,编码器生成不可学样本,将不可学样本输入到预训练模型当中获得图像特征,并计算对比损失。
26、优选的,其中,dc表示原始图像训练数据集,fδ表示预训练模型,δ表示模型参数,pθ表示扰动,θ表示扰动参数;e表示训练完成的编码器,cl表示计算对比学习损失的过程。
27、(三)有益效果
28、与现有技术相比,本专利技术提供了一种利用隐写术构建不可学样本的方法,具备以下有益效果:
29、该利用隐写术构建不可学样本的方法,通过引入了影子模型,扰乱隐写编码器生成的图像特征,提高不可学样本的效果,通过对扰动和自监督学习模型的双重最小优化为原始图像训练扰动,利用扰动和隐写编码器将原始图像转换为不可学样本,通过隐写术从原始图像中插入长度为l的扰动形成的,减少了需要训练的参数,同样,不可学样本也能够拥有更好的隐蔽性,解决了现有针对自监督学习的不可学样本方法,为原始图像生成等大的扰动,这需要大量的计算时间成本的问题。
本文档来自技高网...【技术保护点】
1.一种利用隐写术构建不可学样本的方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种利用隐写术构建不可学样本的方法,其特征在于,步骤1中,数据集为图像数据,在数据集中随机选择12类,每类1300张图片,分为训练集12*1000张和测试集12*300张,其中,50000张训练集,10000张测试集,训练集用于训练模型网络和扰动,测试集测试训练效果。
3.根据权利要求2所述的一种利用隐写术构建不可学样本的方法,其特征在于,步骤2包括:
4.根据权利要求3所述的一种利用隐写术构建不可学样本的方法,其特征在于,步骤2中,编码器:主要由两种卷积构成,普通卷积和特殊卷积,特殊卷积由卷积、标准化和激活函数构成,多个特殊卷积连接成一个卷积处理模块;
5.根据权利要求3所述的一种利用隐写术构建不可学样本的方法,其特征在于,其中,解码器:主要由卷积块和池化层和线性层组成,不可学样本经过卷积块提取特征,经过池化层压缩特征后,在通过线性层的映射获得与输入扰动同样长度的重建密钥。
6.根据权利要求3所述的一种利用隐写术构建不可学样本的
7.根据权利要求2所述的一种利用隐写术构建不可学样本的方法,其特征在于,步骤3包括:
8.根据权利要求7所述的一种利用隐写术构建不可学样本的方法,其特征在于,其中,Dc表示原始图像训练数据集,fδ表示预训练模型,δ表示模型参数,Pθ表示扰动,θ表示扰动参数;E表示训练完成的编码器,CL表示计算对比学习损失的过程。
...【技术特征摘要】
1.一种利用隐写术构建不可学样本的方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种利用隐写术构建不可学样本的方法,其特征在于,步骤1中,数据集为图像数据,在数据集中随机选择12类,每类1300张图片,分为训练集12*1000张和测试集12*300张,其中,50000张训练集,10000张测试集,训练集用于训练模型网络和扰动,测试集测试训练效果。
3.根据权利要求2所述的一种利用隐写术构建不可学样本的方法,其特征在于,步骤2包括:
4.根据权利要求3所述的一种利用隐写术构建不可学样本的方法,其特征在于,步骤2中,编码器:主要由两种卷积构成,普通卷积和特殊卷积,特殊卷积由卷积、标准化和激活函数构成,多个特殊卷积连接成一个卷积处理模块;
5.根据权利要求3所述的一种利用隐写术构建不可学样本的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。