本发明涉及隐私保护,尤其涉及基于非对称差分隐私的图像分类模型隐私保护方法及装置。
背景技术:
1、机器学习和深度学习的模型训练过程依赖于相关数据,而更多的数据通常会提升模型的性能。然而,公开的去隐私化数据相对较少,许多模型训练需要依赖隐私数据。在智慧医疗场景中,各种诊疗图像属于敏感的隐私数据,如果诊疗图像数据泄露,将会造成巨大的损失。特别是在涉及从医疗机构这种隐私领域迁移到公共领域的诊疗图像数据和模型时,一旦泄露将无法挽回。
2、差分隐私(differential ptivacy,简称dp)是一种隐私保护方法,目标是确保在对数据进行分析和发布统计结果时,不会泄露与个体身份相关的敏感信息。在差分隐私中,敏感数据的每个个体都被视为一个输入,而噪声的添加使得分析结果对于单个个体的贡献变得不确定,这种不确定性使得攻击者无法确定特定个体的贡献,从而保护了个人的隐私。
3、在深度学习的训练和预测阶段,向模型添加噪声的差分隐私方法是近年来的研究热点。通过对数据或者训练过程参数的扰动保证本地数据的隐私性,但是对数据的扰动在保证隐私性的同时,会降低数据的有效性。所以,如何在保证差分隐私的前提下,更加精妙的添加噪声,实现隐私性与效用性的均衡是算法的重点。
4、papernot等人在2017年提出了一种称为pate(private aggregation of teacherensembles)的教师隐私聚合模型框架,如图2所示。该框架利用集成学习的思想对教师模型的预测结果进行投票统计,并在投票结果中引入噪声。然后,选择获得最高票数的预测结果作为教师模型的最终预测结果。接着,使用教师模型和公开数据集对学生分类模型进行有监督训练。最后,将学生分类模型作为公开模型进行发布。这一框架提供了一种隐私保护的教师模型聚合方法,通过添加噪声可以防止攻击者通过反演攻击来获取原始数据。
5、现有的教师隐私聚合模型在对预测标签聚合阶段所添加的噪声均为对称噪声,如标准拉普拉斯噪声以及高斯噪声。然而,使用对称噪声机制回答决策问题时会产生双侧误差,即在二分类问题时,存在双边错误。如在新冠病毒感染患病图像阳性、阴性二分类任务中,若添加对称噪声,则添加的噪声可能导致假阴型病例(即患者本身为阳性),降低了新冠病毒感染患病图像分类模型的效用。
技术实现思路
1、本发明旨在至少解决现有基于教师隐私聚合模型框架获得图像分类模型的过程中,对预测标签聚合阶段所添加的噪声均为对称噪声,在回答决策问题时会产生双侧误差,降低图像分类模型效用的技术问题,提供基于非对称差分隐私的图像分类模型隐私保护方法及装置。
2、为了实现本发明的上述目的,根据本发明的第一个方面,本发明提供了基于非对称差分隐私的图像分类模型隐私保护方法,包括:利用私有图像集训练多个教师分类模型;利用训练完成后的多个教师分类模型同时对未标记的公共图像集进行预测;统计多个教师分类模型对每张公共图像的预测结果,获得每张公共图像的预测记录,所有公共图像的预测记录组成预测记录集;对每张公共图像的预测记录进行频次分析获得每张公共图像的类别频次分布;从预测记录集中提取每张公共图像的预测记录在预设不敏感类别下的邻域记录集;根据查询函数利用每张公共图像的预测记录和邻域记录集计算非对称敏感度,基于非对称敏感度获得每张公共图像的噪声分布;在每张公共图像的类别频次分布的频次中添加符合每张公共图片的噪声分布的噪声;在公共图像的添加噪声后的类别频次分布中选取频次最大的类别作为公共图像的伪标签;利用公共图像数据集以及公共图像的伪标签训练学生分类模型,将训练完成后的学生分类模型作为图像分类模型。
3、为了实现本发明的上述目的,根据本发明的第二个方面,本发明提供了基于非对称差分隐私的图像分类模型隐私保护装置,用于实现本发明第一方面所述的基于非对称差分隐私的图像分类模型隐私保护方法,包括:教师分类模型训练模块,利用私有图像集训练多个教师分类模型;预测模块,利用训练完成后的多个教师分类模型同时对未标记的公共图像集进行预测;统计模块,统计多个教师分类模型对每张公共图像的预测结果,获得每张公共图像的预测记录,所有公共图像的预测记录组成预测记录集;对每张公共图像的预测记录进行频次分析获得每张公共图像的类别频次分布;邻域记录获取模块,从预测记录集中提取每张公共图像的预测记录在预设不敏感类别下的邻域记录集;噪声分布生成模块,根据查询函数利用每张公共图像的预测记录和邻域记录集计算非对称敏感度,基于非对称敏感度获得每张公共图像的噪声分布;噪声添加模块,在每张公共图像的类别频次分布的频次中添加符合每张公共图片的噪声分布的噪声;伪标签生成模块,在公共图像的添加噪声后的类别频次分布中选取频次最大的类别作为公共图像的伪标签;学生分类模型训练模块,利用公共图像数据集以及公共图像的伪标签训练学生分类模型,将训练完成后的学生分类模型作为图像分类模型。
4、为了实现本发明的上述目的,根据本发明的第三个方面,本发明提供了一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现本发明第一方面所述的基于非对称差分隐私的图像分类模型隐私保护方法的步骤。
5、为了实现本发明的上述目的,根据本发明的第四个方面,本发明提供了一种电子设备,所述电子设备包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明第一方面所述的基于非对称差分隐私的图像分类模型隐私保护方法。
6、本发明利用私有图像集训练多个教师分类模型,再利用训练后的多个教师分类模型对公共图像集进行预测,统计多个教师分类模型对每张公共图像的预测结果,获得每张公共图像的预测记录,根据隐私策略预先将分类模型输出的类别划分为敏感类别和不敏感类别两种,对于每条预测记录(与公共图像一一对应),从预测记录集中提取每条预测记录在预设不敏感类别下的邻域记录集,根据查询函数利用每张公共图像的预测记录和邻域记录集计算非对称敏感度,基于非对称敏感度获得每张公共图像的噪声分布,按照噪声分布对类别频次进行加噪,实现了对教师分类模型预测类别聚合后的投票结果(类别频次)分别添加单边拉普拉斯噪声,能够避免双边误差产生的同时,由于添加的噪声值也相对减少,也提升了图像分类模型的效用;
7、本发明基于教师隐私聚合模型,通过半监督知识迁移的方式,结合了非对称差分隐私保护,使得教师分类模型学习过程的数据隐私得到了(pp,∈)-adp(即隐私策略函数的差分隐私保护)的保证,隐私保护程度高;
8、本发明在教师分类模型和学生分类模型的训练中,针对非对称噪声,使用了对称交叉熵损失函数,能够平衡不同类别之间的影响,从而缓解类别不平衡问题;
9、本发明中教师分类模型能够有效地提供伪标签知识,而学生分类模型能够利用这些伪标签知识,允许分类教师模型与教师分类模型之间以及教师分类模型与学生分类模型之间的异构性。
1.基于非对称差分隐私的图像分类模型隐私保护方法,其特征在于,包括:
2.如权利要求1所述的基于非对称差分隐私的图像分类模型隐私保护方法,其特征在于,所述从预测记录集中提取每张公共图像的预测记录在预设不敏感类别下的邻域记录集,包括:
3.如权利要求1所述的基于非对称差分隐私的图像分类模型隐私保护方法,其特征在于,所述根据查询函数利用每张公共图像的预测记录和邻域记录集计算非对称敏感度,包括:
4.如权利要求1-3之一所述的基于非对称差分隐私的图像分类模型隐私保护方法,其特征在于,所述基于非对称敏感度获得每张公共图像的噪声分布,包括:
5.如权利要求4所述的基于非对称差分隐私的图像分类模型隐私保护方法,其特征在于,所述在每张公共图像的类别频次分布的频次中添加符合每张公共图片的噪声分布的噪声的步骤中,按照如下公式添加噪声:
6.如权利要求1或2或3或5所述的基于非对称差分隐私的图像分类模型隐私保护方法,其特征在于,所述利用私有图像集训练多个教师分类模型步骤中,每个教师分类模型基于私有图像集进行训练,训练中以第一对称交叉熵损失函数最小化为目标,所述第一对称交叉熵损失函数为:
7.如权利要求1或2或3或5所述的基于非对称差分隐私的图像分类模型隐私保护方法,其特征在于,所述利用公共图像数据集以及公共图像的伪标签训练学生分类模型步骤中,以第二对称交叉熵损失函数最小化为目标对学生分类模型进行训练,所述第二对称交叉熵损失函数为:
8.基于非对称差分隐私的图像分类模型隐私保护装置,用于实现权利要求1-7之一所述的基于非对称差分隐私的图像分类模型隐私保护方法,其特征在于,包括:
9.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1-7之一所述方法的步骤。
10.一种电子设备,其特征在于,所述电子设备包括:
