(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113626854A(43)申请公布日2021.11.09(21)申请号202110771034.0(22)申请日2021.07.08(71)申请人武汉大学地址430072湖北省武汉市武昌区珞珈山武汉大学(72)发明人沈志东钟婷(74)专利代理机构武汉科皓知识产权代理事务所(特殊普通合伙)42222代理人王琪(51)Int.Cl.G06F21/62(2013.01)G06K9/62(2006.01)G06N3/04(2006.01)G06N3/08(2006.01)权利要求书2页说明书5页附图2页(54)发明名称一种基于本地化差分隐私的图像数据隐私保护方法(57)摘要为了解决神经网络遭受攻击泄露数据以及服务器非法利用用户数据的问题，提出了一种基于本地化差分隐私的图像数据隐私保护方法。本发明首先对数据进行归一化操作，根据不同的需求场景选择不同的扰动顺序，然后利用随机响应机制和Laplace机制结合的方式对数据进行扰动，以概率p在伯努利分布中选取随机变量，根据变量值进行数据的保留或者扰动，对于需要扰动的数据，向其中添加符合Laplace分布的随机噪声。通过对扰动机制中隐私预算参数ε和抽样概率p的设置可以实现不同的隐私保护程度和数据可用性效果。最后上传到服务器进行后续的神经网络训练。CN113626854ACN113626854A权利要求书1/2页1.一种基于本地化差分隐私的图像数据隐私保护方法，其特征在于，包含以下步骤：步骤1，对图像数据进行归一化处理，使得数据范围为(0,1)；步骤2，确定数据扰动层的位置，数据扰动层添加在图像数据与第一层神经网络之间，或者添加在神经网络模型中第i个隐藏层之后，其中i<n,n为隐藏层个数；第一种方式在数据归一化后直接对数据进行扰动，然后上传到服务器，此时扰动后的数据仍然是图像数据，数据范围应该在(0,1)之间，因此需要对数据进行裁剪操作；第二种方式在神经网络模型的隐藏层中进行扰动，此时数据已经不可读，因此不需要对数据进行裁剪；步骤3，设置数据扰动层；结合随机响应机制和Laplace机制对图像数据进行加噪，提出了RRN算法，通过对隐私预算ε和随机响应机制中抽样概率p的设置来保证算法RRN算法差分隐私的定义；RRN算法首先以概率p随机在二项分布中抽取变量，然后判断变量的值，若变量为1则保留数据，否则向数据中添加Laplace随机噪声；步骤4，前面步骤的所有操作在用户本地进行，若步骤2中选择了第二种方式，则数据扰动层之前的所有步骤都需要在本地进行，完成这些步骤后，将数据上传到服务器，由服务器进行后续的神经网络模型训练步骤。2.如权利要求1所述的一种基于本地化差分隐私的图像数据隐私保护方法，其特征在于：步骤1中使用Min_Max归一化方法进行归一化处理，计算公式如下：其中，Xmax表示所有数据中的最大值，Xmin表示所有数据中的最小值，此方法归一化后的数据范围为(0,1)。3.如权利要求1所述的一种基于本地化差分隐私的图像数据隐私保护方法，其特征在于：步骤3中差分隐私的定义是，若一个随机算法K满足下式，则随机算法K满足ε‑DP；Pr[K[D]∈S]≤exp(ε)×Pr[K[D′]∈S]其中，D,D′表示只相差一个数据的相邻数据集；S表示随机算法K的所有可能输出；Pr表示事件发生的概率；ε表示隐私预算，其值代表了隐私保护的等级，ε越小，隐私保护等级越高，数据可用性越低；为了满足上述差分隐私的定义，设置选取1的概率为了使扰动机制尽量简单可行，在对数据进行扰动时向其中添加符合Laplace分布的随机噪声，Laplace噪声的概率密度为：其中，x表示符合该分布的数据，μ是Laplace分布的位置参数，b表示Laplace分布的尺度参数，该分布的期望为μ，方差为2b2；提出的RRN算法设置Laplace噪声的期望μ＝0，b＝1，因此，RRN算法的扰动机制如下所示：2CN113626854A权利要求书2/2页Y～Lap(1),其中，表示扰动图像数据的概率，ε表示隐私预算，ti表示图像像素值，Y表示符合μ＝0，b＝1时的Laplace分布Lap(1)的随机变量，表示扰动之后的图像像素值。4.如权利要求1所述的一种基于本地化差分隐私的图像数据隐私保护方法，其特征在于：步骤4的具体实现方式如下，根据用户在步骤2中做的选择不同，服务器端的功能也进行相应调整；当选择第一种方式时，服务器端需要设计好完整的神经网络模型来训练数据，或者采用现有的在图像分类方面准确率高的模型来进行训练；当选择第二种方式时，对图像进行特征提取的那部分神经网络计算需要在客户端进行，服务器只需要设计后续的神经网络模型，然后接收到用户的训练结果来进行训练。3CN113626854A