(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111415199.0 (22)申请日 2021.11.25 (71)申请人 支付宝 （杭州） 信息技 术有限公司 地址 310000 浙江省杭州市西湖区西溪路 556号8层B段801-1 1 (72)发明人 李一鸣　刘沛东　邱伟峰　江勇　 夏树涛　 (74)专利代理 机构 北京亿腾知识产权代理事务 所(普通合伙) 11309 代理人 陈霁　周良玉 (51)Int.Cl. G06F 21/62(2013.01) G06N 20/00(2019.01) (54)发明名称 用于保护图像样本集的隐私信息的方法和 装置 (57)摘要 本说明书实施例提供了一种用 于保护图像 样本集的隐私信息的方法和装置。 该方法的一具 体实施方式包括： 将待保护图像样 本集中的待保 护图像样本确定为目标样本， 其中， 上述目标样 本包括目标图像和目标标签； 确定标签与上述目 标标签不同的图像作为被选择图像； 以预训练的 图像识别模型针对上述被选择图像的处理结果 趋近于针对 上述目标图像的处理结果为目标， 调 整上述被选择图像的像素值， 得到调整 图像， 其 中， 上述图像识别模型使用上述待保护图像样本 集训练得到； 将上述目标标签设置为上述调整图 像的标签， 得到包括上述调整图像和上述目标标 签的受保护图像样本， 用于形成受保护图像样本 集。 权利要求书3页 说明书9页 附图3页 CN 114091104 A 2022.02.25 CN 114091104 A 1.一种用于保护图像样本集的隐私信息的方法， 包括： 将待保护图像样本集中的待保护图像样本确定为目标样本， 其中， 所述目标样本包括 目标图像和目标 标签； 确定标签与所述目标 标签不同的图像作为被选择图像； 以预训练的图像识别模型针对所述被选择图像的处理结果趋近于针对所述目标图像 的处理结果为目标， 调整所述被选择图像的像素值， 得到调整图像， 其中， 所述图像识别模 型使用所述待保护图像样本集训练得到； 将所述目标标签设置为所述调整图像的标签， 得到包括所述调整图像和所述目标标签 的受保护图像样本， 用于形成受保护图像样本集。 2.根据权利要求1所述的方法， 其中， 所述确定标签与 所述目标标签不同的图像作为被 选择图像， 包括： 从所述待保护图像样本集中选取 标签与所述目标 标签不同的图像作为被选择图像。 3.根据权利要求1所述的方法， 其中， 在调整所述被选择图像的像素值之前， 所述方法 还包括： 响应于确定所述受保护图像样本集对应的目标用户所使用的模型结构已知， 使用所述 待保护图像样本集， 基于所述模型 结构进行模型训练， 得到所述图像识别模型。 4.根据权利要求3所述的方法， 其中， 所述处理结果为， 所述图像识别模型的中间层的 输出向量； 所述调整所述被选择图像的像素值， 得到调整图像， 包括： 确定针对所述被选择图像的第一输出向量和针对所述目标图像的第二输出向量之间 的距离； 以最小化所述距离为目标， 调整所述被选择图像的像素值。 5.根据权利要求4所述的方法， 其中， 所述距离包括以下之一： 欧式距离， 曼哈顿距离， 差值向量的无穷阶范 数。 6.根据权利要求4所述的方法， 其中， 所述以最小化所述距离为目标， 调整所述被选择 图像的像素值， 包括： 确定所述距离相对于所述像素值的梯度； 以预定步长， 沿梯度下降的方向， 执 行预定步数的像素值调整。 7.根据权利要求1所述的方法， 其中， 在调整所述被选择图像的像素值之前， 所述方法 还包括： 响应于确定所述受保护图像样本集对应的目标用户所使用的模型结构未知， 使用所述 待保护图像样本集， 基于多个预设的预定模型结构分别进行模型训练， 得到多个图像识别 模型。 8.根据权利要求7所述的方法， 其中， 所述处理结果为， 所述多个图像识别模型的中间 层的输出向量； 所述调整所述被选择图像的像素值， 得到调整图像， 包括： 确定所述多个图像识别模型分别针对所述被选择图像的输出向量和针对所述目标图 像的输出向量之间距离的加权结果； 以最小化所述加权结果 为目标， 调整所述被选择图像的像素值。 9.根据权利要求1所述的方法， 其中， 所述方法还 包括： 针对所述目标图像确定多张被选择图像， 生成多张调整图像；权　利　要　求　书 1/3 页 2 CN 114091104 A 2将所述多张调整图像的标签均设置为目标 标签， 得到多个受保护图像样本 。 10.根据权利 要求4或8所述的方法， 其中， 图像识别 模型包括softmax层， 以及所述中间 层为所述softmax层的前一层。 11.一种用于保护图像样本集的隐私信息的装置， 包括： 第一确定单元， 配置为将待保护图像样本集中的待保护图像样本确定为目标样本， 其 中， 所述目标样本包括目标图像和目标 标签； 第二确定单 元， 配置为确定标签与所述目标 标签不同的图像作为被选择图像； 调整单元， 配置为以预训练 的图像识别模型针对所述被选择图像的处理结果趋近于针 对所述目标图像的处理结果为目标， 调整所述被选择图像的像素值， 得到调整图像， 其中， 所述图像识别模型使用所述待保护图像样本集训练得到； 生成单元， 配置为将所述目标标签设置为所述调整图像的标签， 得到包括所述调整图 像和所述目标 标签的受保护图像样本， 用于形成受保护图像样本集。 12.根据权利要求1 1所述的装置， 其中， 所述第二确定单 元进一步配置为： 从所述待保护图像样本集中选取 标签与所述目标 标签不同的图像作为被选择图像。 13.根据权利要求1 1所述的装置， 其中， 所述装置还 包括： 第一模型训练单元， 配置为响应于确定所述受保护图像样本集对应的目标用户所使用 的模型结构已知， 使用所述待保护图像样本集， 基于所述模型结构进 行模型训练， 得到所述 图像识别模型。 14.根据权利要求13所述的装置， 其中， 所述处理结果为， 所述图像识别模型的中间层 的输出向量； 所述调整单 元进一步配置为： 确定针对所述被选择图像的第一输出向量和针对所述目标图像的第二输出向量之间 的距离； 以最小化所述距离为目标， 调整所述被选择图像的像素值。 15.根据权利要求14所述的装置， 其中， 所述距离包括以下之一： 欧式距离， 曼哈顿距 离， 差值向量的无穷阶范 数。 16.根据权利要求14所述的装置， 其中， 所述以最小化所述距离为目标， 调整所述被选 择图像的像素值， 包括： 确定所述距离相对于所述像素值的梯度； 以预定步长， 沿梯度下降的方向， 执 行预定步数的像素值调整。 17.根据权利要求1 1所述的装置， 其中， 所述装 还包括： 第二模型训练单元， 配置为响应于确定所述受保护图像样本集对应的目标用户所使用 的模型结构未知， 使用所述待保护图像样本集， 基于多个预设的预定模型结构分别进行模 型训练， 得到多个图像识别模型。 18.根据权利要求17所述的装置， 其中， 所述处理结果为， 所述多个图像识别模型的中 间层的输出向量； 所述调整单 元进一步配置为： 确定所述多个图像识别模型分别针对所述被选择图像的输出向量和针对所述目标图 像的输出向量之间距离的加权结果； 以最小化所述加权结果 为目标， 调整所述被选择图像的像素值。 19.根据权利要求1 1所述的装置， 其中， 所述装置还 包括：权　利　要　求　书 2/3 页 3 CN 114091104 A 3