[发明专利]面向成员推理攻击的基于特征增强的深度模型隐私保护方法和装置

说明书

本发明公开了一种面向成员推理攻击的基于特征增强的深度模型隐私保护方法和装置，包括：在用于人脸识别的原始目标模型中增加用于增强特征的特征增强单元，组成增强目标模型，利用图像样本优化增强目标模型的模型参数；构建用于模拟目标模型的阴影模型，利用图样样本优化阴影模型的模型参数，依据参数优化的阴影模型的输出置信度重新定义型标签，以构建新图像样本；构建用于判别图像是否为攻击的攻击模型，利用新图像样本优化攻击模型的模型参数；利用参数优化的增强目标模型获得输入测试图像的预测置信度，并将预测置信度输入至参数优化的攻击模型，经计算获得攻击模型的预测结果，依据预测结果判断测试图像是否为原始目标模型的训练样本。

技术领域

本发明属于信息安全技术领域，具体涉及一种面向成员推理攻击的基于特征增强的深度模型隐私保护方法和装置。

背景技术

机器学习(ML)的进步已进入了现实生活中诸多场景，例如分类，推荐和自然语言处理等。现代深度神经网络(DNN)的成功主要取决于目前强大的计算能力和大量数据的可用性。机器学习即服务(MLaaS)提供商已经利用了上述两个可用性，开发了面向客户的机器学习服务。通过提供黑盒的交互接口，MLaaS允许个人或团体轻松地上传数据，利用强大的DNN并通过即用即付的方式应用多种分析服务。

但是，目前DNN模型存在重要的隐私安全风险。研究人员通过研究发现MLaaS对敏感数据(例如患者治疗记录)存在严重的安全和隐私方面的风险。即使DNN模型结构处于黑盒状态，MLaaS也会泄漏有关用于构建模型的训练数据的敏感信息。例如，成员推理攻击(MIA)就是利用上述漏洞的多种重要推理攻击之一。通过使用MIA，攻击者通过重复且复杂设计的推理请求来观测DNN模型的独特行为，从而判断输入样本是否为目标模型的训练数据。

为了应对MIA挑战，目前已经开发了几种机制。差分隐私(DP)是一种针对一般推理攻击的主要隐私保护机制，该机制基于将噪声添加到训练模型的梯度或目标函数中，已应用于不同的机器学习模型。尽管DP的鲁棒性已经被证明，但是DP的效用成本很难被限制到可接受的范围，因为在保护复杂模型和高维数据时，如果噪声太大，会带来很大的分类准确性损失。另一种防御机制是对抗正则化方法。该方法借鉴了生成式对抗网络的思路，其主要思想是将目标模型与实施成员推理的攻击模型进行对抗式训练。训练二者的过程中，一方面可以提升目标模型对攻击模型的防御能力，一方面可以增加攻击模型对目标模型的攻击能力，在结束迭代后，训练好的目标模型面对攻击能力强大的成员推理模型依然有较好的防御效果。然而，这种防御方法具有一定的局限性。对抗式训练引入了较高的时间复杂度，且经过对抗式训练的目标模型会对正常样本的预测准确率有一定程度的下降，且因为损失函数的改变，目标模型会在训练过程中出现不收敛的现象。

现有的公安系统中，对于人脸识别要求很严格，为了保证人脸识别的安全性，防攻击的人脸识别非常重要。

发明内容

鉴于上述，本发明的目的是提供一种面向成员推理攻击的基于特征增强的深度模型隐私保护方法和装置，提升对样本数据的分辨能力，以将存在严重的安全和隐私方面的风险的非正常样本分辨出来。

第一方面，实施例提供的一种面向成员推理攻击的基于特征增强的深度模型隐私保护方法，包括以下步骤：

在用于人脸识别的原始目标模型中增加用于增强特征的特征增强单元，组成增强目标模型，利用图像样本优化增强目标模型的模型参数；

构建用于模拟目标模型的阴影模型，利用图样样本优化阴影模型的模型参数，依据参数优化的阴影模型的输出置信度重新定义型标签，依据新标签和输出置信度构建新图像样本；

构建用于判别图像是否为目标模型成员样本的攻击模型，利用新图像样本优化攻击模型的模型参数；

利用参数优化的增强目标模型获得输入测试图像的预测置信度，并将预测置信度输入至参数优化的攻击模型，经计算获得攻击模型的预测结果，依据预测结果判断测试图像是否为原始目标模型的训练样本。