最新中国发明专利
/
2021-06-22

一种基于生成对抗网络的视频隐私保护方法转让专利

申请号 : CN202110409156.5

文献号 : CN112818407B

文献日 :

基本信息:

PDF:

法律信息:

相似专利:

发明人 : 刘小垒胥迤潇邓虎路海殷明勇

申请人 : 中国工程物理研究院计算机应用研究所

摘要 :

本发明公开了一种基于生成对抗网络的视频隐私保护方法,属于人工智能安全领域,解决现有技术中的隐私保护方法无法对视频进行隐私保护。本发明将点对点的图像生成系统作为对抗网络生成器,并基于视频数据集Image‑net训练得到一系列的视频对抗样本;将三种不同架构的视频分类系统作为对抗网络鉴别器,并基于一系列的对抗样本和对应的原始视频对对抗网络鉴别器进行训练,若训练后能分辨出对抗样本和原始视频的区别,根据训练后的对抗网络鉴别器的参数,利用梯度下降方法对中训练后的对抗网络生成器进行优化,并再次执行,否则,得到训练好的对抗网络生成器对隐私保护的视频进行处理,得到视频对抗样本。本发明用于视频隐私保护。

权利要求 :

1.一种基于生成对抗网络的视频隐私保护方法,其特征在于,如下步骤:S1、将点对点的图像生成系统作为对抗网络生成器,并基于视频数据集Image‑net中的原始视频训练对抗网络生成器得到一系列的视频对抗样本;

S2、将三种不同架构的视频分类系统作为对抗网络鉴别器,并基于一系列的视频对抗样本和视频对抗样本对应的原始视频对对抗网络鉴别器进行训练,若训练后的对抗网络鉴别器能分辨出步骤S1中得到的20%以上的视频对抗样本和原始视频的区别,即对抗网络鉴别器能正确分类20%以上的视频对抗样本,转到步骤S3,否则,得到训练好的对抗网络生成器,转到步骤S4;

S3、根据步骤S2中训练后的对抗网络鉴别器的参数,利用梯度下降方法对步骤S1中训练后的对抗网络生成器进行优化,并基于优化后的对抗网络生成器转到步骤S1再次执行;S4、将需要进行隐私保护的视频输入训练好的对抗网络生成器,得到视频对抗样本;所述步骤S2的具体步骤如下:

S2.1、将三种不同架构的视频分类模型I3D、C3D和CNN+LSTM在视频数据集Image‑Net上训练得到三种不同架构的视频分类系统 作为对抗网络鉴别器 ;

S2.2、将一系列的视频对抗样本 和视频对抗样本对应的原始样本输入对抗网络鉴别器 ,输出结果为 ,若训练后的对抗网络鉴别器能分辨出步骤S1中得到的20%以上的视频对抗样本和原始视频的区别,即对抗网络鉴别器能正确分类20%以上的视频对抗样本,转到步骤S3,否则,得到训练好的对抗网络生成器,转到步骤S4,其中, 表示视频对抗样本 输入对抗网络鉴别器 输出的结果,  表示视频对抗样本 输入视频分类系统 输出的结果, 表示视频对抗样本输入视频分类系统 输出的结果, 表示视频对抗样本 输入视频分类系统 输出的结果。

2.根据权利要求1所述的一种基于生成对抗网络的视频隐私保护方法,其特征在于,所述步骤S1的具体步骤如下:

S1.1、将点对点的图像生成系统作为对抗网络生成器,并从视频数据集Image‑net获取原始视频作为原始样本  , 表示第 个原始样本,表示原始样本 的第个像素点,其中, 表示第 个原始样本;

S1.2、将原始样本输入对抗网络生成器 ,得到输出 ,其中,为对抗网络生成器对每个像素点添加的扰动,即得到一系列的视频对抗样本 ,其中, 表示第 个原始样本 对应得到的视频对抗样本,表示对第 个像素点 添加的扰动。

3.根据权利要求2所述的一种基于生成对抗网络的视频隐私保护方法,其特征在于,所述步骤S3的具体步骤如下:

根据对抗网络生成器 的损失函数 ,计算损失函数对 中各参数的梯度 ,再沿着梯度下降方向调整参数,对步骤S1中训练后的对抗网络生成器进行优化,即 的参数 , 为较小的常数,并基于优化后的对抗网络生成器转到步骤S1再次执行,其中, 表示对 求期望, 表示对求期望,表示第 轮得到的梯度,表示第 轮得到对抗网络生成器神经网络的参数,是一个多维张量, 表示对抗网络鉴别器的输出, 表示对抗网络生成器的输出。

说明书 :

一种基于生成对抗网络的视频隐私保护方法

技术领域

[0001] 一种基于生成对抗网络的视频隐私保护方法,用于视频隐私保护,属于人工智能安全领域。

背景技术

[0002] 近年来,随着深度神经网络技术的发展,基于深度神经网络的视频分类技术得到了广泛的应用,这大大提高了视频内容分析的效率。但与此同时,基于深度神经网络的视频
分类系统可对视频内容进行分类,从而广泛地获取个人的行为习惯和行为模式,从而进行
大数据分析,导致了针对性的诈骗等风险,即基于深度神经网络的视频分类技术的广泛应
用特别容易造成了个人隐私的泄露,如:越来越多的平台提供个人视频上传分享功能,而不
经处理的个人视频可能会遭到基于深度神经网络的视频分类系统的分析,从而导致视频中
包含的个人隐私遭到侵害。

发明内容

[0003] 针对上述研究的问题,本发明的目的在于提供一种基于生成对抗网络的视频隐私保护方法,解决现有技术中的隐私保护方法无法对视频进行隐私保护。
[0004] 为了达到上述目的,本发明采用如下技术方案:
[0005] 一种基于生成对抗网络的视频隐私保护方法,如下步骤:
[0006] S1、将点对点的图像生成系统作为对抗网络生成器,并基于视频数据集Image‑net中的原始视频训练对抗网络生成器得到一系列的视频对抗样本;
[0007] S2、将三种不同架构的视频分类系统作为对抗网络鉴别器,并基于一系列的视频对抗样本和视频对抗样本对应的原始视频对对抗网络鉴别器进行训练,若训练后的对抗网
络鉴别器能分辨出步骤S1中得到的20%以上的视频对抗样本和原始视频的区别,即对抗网
络鉴别器能正确分类20%以上的视频对抗样本,转到步骤S3,否则,得到训练好的对抗网络
生成器,转到步骤S4;
[0008] S3、根据步骤S2中训练后的对抗网络鉴别器的参数,利用梯度下降方法对步骤S1中训练后的对抗网络生成器进行优化,并基于优化后的对抗网络生成器转到步骤S1再次执
行;
[0009] S4、将需要进行隐私保护的视频输入训练好的对抗网络生成器,得到视频对抗样本。
[0010] 进一步,所述步骤S1的具体步骤如下:
[0011] S1.1、将点对点的图像生成系统作为对抗网络生成器,并从视频数据集Image‑net获取原始视频作为原始样本 , 表示第 个原始样本,表示原
始样本 的第个像素点,其中, 表示第 个原始样本;
[0012] S1.2、将原始样本输入对抗网络生成器 ,得到输出 ,其中,为对抗网络生成器对每个像素点添加的扰动,即得到一系列的视频对抗样本
,其中, 表示第 个原始样本 对应得到的视频对抗样本,表示对第 个像素
点 添加的扰动。
[0013] 进一步,所述步骤S2的具体步骤如下:
[0014] S2.1、将三种不同架构的视频分类模型I3D、C3D和CNN+LSTM在视频数据集Image‑Net上训练得到三种不同架构的视频分类系统 作为对抗网络鉴别器 ;
[0015] S2.2、将一系列的视频对抗样本 和视频对抗样本对应的原始样本输入对抗网络鉴别器 ,输出结果为 ,若训练后的
对抗网络鉴别器能分辨出步骤S1中得到的20%以上的视频对抗样本和原始视频的区别,即
对抗网络鉴别器能正确分类20%以上的视频对抗样本,转到步骤S3,否则,得到训练好的对
抗网络生成器,转到步骤S4。其中, 表示视频对抗样本 输入对抗网络鉴别器 输出的
结果,  表示视频对抗样本 输入视频分类系统 输出的结果, 表示视频对抗样本
输入视频分类系统 输出的结果, 表示视频对抗样本 输入视频分类系统 输出的
结果。
[0016] 进一步,所述步骤S3的具体步骤如下:
[0017] 根据对抗网络生成器 的损失函数 ,计算损失函数对 中各参数的梯度 ,再沿着梯度下降方向调整参数,对步骤S1中训练后的对抗
网络生成器进行优化,即 的参数 , 为较小的常数,并基于优化后的对抗网络
生成器转到步骤S1再次执行,其中, 表示对 求期望, 表示对
求期望,表示第 轮得到的梯度,表示第 轮得到对抗网络生成器神经网络的
参数,是一个多维张量, 表示对抗网络鉴别器的输出, 表示对抗网络生成器的输
出。
[0018] 本发明同现有技术相比,其有益效果表现在:
[0019] 一、现有视频对抗样本生成技术是基于梯度下降的优化过程,通常需要数万次的迭代,本发明基于生成构造对抗样本,在对抗网络生成器训练完成后,使用时只需要将原始
视频输入生成器,经过复杂度O(1)的生成过程即可得到视频对抗样本,大大提高了视频对
抗样本生成的效率,实现了对原始视频实时地处理,提高了该方法的实用性;
[0020] 二、本发明的用户只需要很少的时间即可实现隐私保护,根据原始视频的大小,使用现有其它方法生成对抗样本通常比使用本发明消耗高一个数量级的时间,且视频大小越
大两者的差距越大。

附图说明

[0021] 图1为本发明的流程图。

具体实施方式

[0022] 下面将结合附图及具体实施方式对本发明作进一步的描述。
[0023] 一种基于生成对抗网络的视频隐私保护方法,如下步骤:
[0024] S1、将点对点的图像生成系统作为对抗网络生成器,并基于视频数据集Image‑net中的原始视频训练对抗网络生成器得到一系列的视频对抗样本;
[0025] 具体步骤如下:
[0026] S1.1、将点对点的图像生成系统作为对抗网络生成器,并从视频数据集Image‑net获取原始视频作为原始样本 , 表示第 个原始样本,表示原
始样本 的第个像素点,其中, 表示第 个原始样本;
[0027] S1.2、将原始样本输入对抗网络生成器 ,得到输出 ,其中,为对抗网络生成器对每个像素点添加的扰动,即得到一系列的视频对抗样本
,其中, 表示第 个原始样本 对应得到的视频对抗样本,表示对第 个像素
点 添加的扰动。
[0028] S2、将三种不同架构的视频分类系统作为对抗网络鉴别器,并基于一系列的视频对抗样本和视频对抗样本对应的原始视频对对抗网络鉴别器进行训练,若训练后的对抗网
络鉴别器能分辨出步骤S1中得到的20%以上的视频对抗样本和原始视频的区别,即对抗网
络鉴别器能正确分类20%以上的视频对抗样本,转到步骤S3,否则,得到训练好的对抗网络
生成器,转到步骤S4;
[0029] 具体步骤如下:
[0030] S2.1、将三种不同架构的视频分类模型I3D、C3D和CNN+LSTM在视频数据集Image‑Net上训练得到三种不同架构的视频分类系统 作为对抗网络鉴别器 ;
[0031] S2.2、将一系列的视频对抗样本 和视频对抗样本对应的原始样本输入对抗网络鉴别器 ,输出结果为 ,若训练后的
对抗网络鉴别器能分辨出步骤S1中得到的20%以上的视频对抗样本和原始视频的区别,即
对抗网络鉴别器能正确分类20%以上的视频对抗样本,转到步骤S3,否则,得到训练好的对
抗网络生成器,转到步骤S4。
[0032] 具体步骤如下:
[0033] 根据对抗网络生成器 的损失函数 ,计算损失函数对 中各参数的梯度 ,再沿着梯度下降方向调整参数,对步骤S1中训练后的对抗
网络生成器进行优化,即 的参数 , 为较小的常数,并基于优化后的对抗网络
生成器转到步骤S1再次执行,其中, 表示对 求期望, 表示对
求期望,表示第 轮得到的梯度,表示第 轮得到对抗网络生成器神经网络的
参数,是一个多维张量, 表示对抗网络鉴别器的输出, 表示对抗网络生成器的输
出。
[0034] S3、根据步骤S2中训练后的对抗网络鉴别器的参数,利用梯度下降方法对步骤S1中训练后的对抗网络生成器进行优化,并基于优化后的对抗网络生成器转到步骤S1再次执
行;
[0035] S4、将需要进行隐私保护的视频输入训练好的对抗网络生成器,得到视频对抗样本。实施例
[0036] 首先初始化GAN结构,即对抗网络生成器 的结构,将对抗网络生成器 初始化为点对点的图像生成系统;对抗网络鉴别器D由三种不同架构的视频分类模型I3D、C3D和CNN+
LSTM在视频数据集Image‑Net上训练得到视频分类系统 组合构成。
[0037] 在视频数据集Image‑Net上对初始化的GAN结构进行训练以达到纳什均衡。即首先输入一系列原始视频到对抗网络生成器 ,生成一系列的视频对抗样本。再将生成的一系列
的视频对抗样本和原始视频同时输入对抗网络鉴别器D,对对抗网络鉴别器D进行拟合,即
对对抗网络鉴别器D进行训练,若训练后的对抗网络鉴别器D能正确分类视频对抗样本和原
始视频。根据拟合后对抗网络鉴别器的参数,通过梯度下降算法对对抗网络生成器的参数
进行调整,进入下一次循环。直到对抗网络鉴别器无法正确分类对抗网络生成器 生成的视
频对抗样本,则退出循环。此时获得的对抗网络生成器 即可用于隐私保护。
[0038] 假设此时拥有一含有隐私信息的原始视频 ,将其输入对抗网络生成器 ,即可得到对应的视频对抗样本 。此时的视频对抗样本 具有使得基于深度神经网络的视频
分类系统产生误分类的能力,用上传 取代上传 ,即实现了对个人隐私信息的保护。
[0039] 本发明是利用对抗样本的原理对基于深度神经网络的视频分类系统的分析进行防御。
[0040] 现有技术对图像的处理通常采用模糊化或插值方法,对基于深度神经网络的系统分析缺乏抵抗力。部分采用了对抗样本技术的图片处理方法无法直接应用于视频对抗样本
的生成,因为视频的维度比图片高很多,导致时间代价过长。而本方法基于生成的视频对抗
样本,可以实现实时地获取视频对抗样本,在时间上具有很大优势。
[0041] 以上仅是本发明众多具体应用范围中的代表性实施例,对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案,均落在本发明权利保护范围之
内。