CN112907431A - 一种对对抗隐写鲁棒的隐写分析方法 - Google Patents
一种对对抗隐写鲁棒的隐写分析方法 Download PDFInfo
- Publication number
- CN112907431A CN112907431A CN202110216970.5A CN202110216970A CN112907431A CN 112907431 A CN112907431 A CN 112907431A CN 202110216970 A CN202110216970 A CN 202110216970A CN 112907431 A CN112907431 A CN 112907431A
- Authority
- CN
- China
- Prior art keywords
- image
- deep learning
- secret
- images
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000013136 deep learning model Methods 0.000 claims abstract description 42
- 238000012216 screening Methods 0.000 claims abstract description 20
- 238000004458 analytical method Methods 0.000 claims abstract description 9
- 238000013135 deep learning Methods 0.000 abstract description 17
- 238000001514 detection method Methods 0.000 abstract description 14
- 238000012986 modification Methods 0.000 description 16
- 230000004048 modification Effects 0.000 description 16
- 230000006870 function Effects 0.000 description 10
- 238000013527 convolutional neural network Methods 0.000 description 7
- 238000012549 training Methods 0.000 description 7
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 102100029469 WD repeat and HMG-box DNA-binding protein 1 Human genes 0.000 description 2
- 101710097421 WD repeat and HMG-box DNA-binding protein 1 Proteins 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 230000005484 gravity Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012804 iterative process Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 239000012050 conventional carrier Substances 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000004821 distillation Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T1/00—General purpose image data processing
- G06T1/0021—Image watermarking
- G06T1/005—Robust watermarking, e.g. average attack or collusion attack resistant
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T2201/00—General purpose image data processing
- G06T2201/005—Image watermarking
- G06T2201/0065—Extraction of an embedded watermark; Reliable detection
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种对对抗隐写鲁棒的隐写分析方法,包括:通过深度学习模型与人工特征模型对输入的待分析图像独自进行分析识别,输出两类信息,一类为每一个待分析图像的类别标签,另一类为待分析图像属于每一类别的概率;结合深度学习模型与人工特征模型的两类输出信息进行初步筛选,确定可疑图像与可信图像;将可疑图像输入至专用分类器进行分析识别,获得最终的类别标签,所述专用分类器为采用对抗载密图像训练的人工特征模型;对于初步筛选出的可信图像,将深度学习模型输出的类别标签作为最终分类结果。该方法可以提高深度学习隐写分析器在对抗载密图像上的检测能力,同时保持其在传统载密图像和载体图像上的高检测精度。
Description
技术领域
本发明涉及隐写和隐写分析技术领域,尤其涉及一种对对抗隐写鲁棒的隐写分析方法。
背景技术
图像隐写术是将秘密信息以最小的失真嵌入载体图像中的秘密通信的科学和艺术。目前,最成功的隐写方法是基于最小失真模型,它将隐写问题表述为具有扰动约束的信源编码问题。在最小失真模型的框架下,有两个任务。1)定义修改载体图像元素的修改成本;2)在最小化前面定义的任意成本的同时,设计切实可行的嵌入方法。由于栅格码(Syndrome-Trellis Codes,STCs)提供了第二项任务的接近理论约束的性能,所以现在的隐写研究多集中在代价函数的设计上,如WOW、UNIWARD、HILL和UERD等。
随着隐写术的发展,各种基于人工特征的隐写分析方法被提出,其目的是检测载密图像的存在。与其他图像分类任务一样,基于人工特征的隐写分析由两部分组成:1)高维特征提取器,可以捕捉到窃取图像所做的细微修改;2)由高维特征训练的二分类器。对于特征提取器,最成功的是空域的空域富模型(Spatial Rich Model,SRM)及其变体,和JPEG域的加伯滤波富模型(Gabor Filter Rich Model,GFR)。最广泛使用的分类器工具是集成分类器(Ensemble Classifier,EC)。
最近,受卷积神经网络(CNN)在各个领域的成功的启发,深度学习隐写分析器也被提出。对深度学习隐写分析器的研究主要集中在计算机视觉领域引入CNN的高级结构或优化器,提高特征的SNR(信噪比)。需要注意的是,这里的SNR,信号是指隐写修改,噪声是指图像内容。在引入高级结构和优化器方面,YeNet引入了Adadelta优化器,而SRNet在网络结构中引入了Adamax优化器和短接结构。为了提高特征的SNR,XuNet在第一层使用了高通滤波器,而YeNet从SRM滤波器库中选取了30个滤波器来初始化第一层的权重,SRNet取消了前7层的平均池化操作。目前,YeNet和SRNet的性能比SRM+EC和GFR+EC等基于人工特征的隐写分析器强很多。
虽然CNN在各个领域都有所突破,但人们发现它们很容易受到对抗攻击。一般来说,对抗攻击是一种通过在原始图像中加入精心设计的、微小的对抗扰动来欺骗CNN模型输出错误结果的技术。该技术产生的图像称为对抗样本。对抗攻击大致有两种类型:基于梯度的和基于优化的。
受计算机视觉领域中对抗攻击的启发,人们提出了对抗隐写术来欺骗深度学习隐写分析器。大多数的对抗隐写方法都遵循了基于梯度的对抗攻击的思想,即利用损失关于输入的梯度。然而,对抗隐写术还有一个额外的任务,那就是传递秘密信息。简单地向载密图上加入对抗扰动会使接收者无法提取秘密信息。
据我们所知,目前有四种方法在研究逆向隐写术。它们以不同的方式借用对抗攻击,避免密文提取受到干扰。Zhang等人提出ADS迭代使用快速梯度符号法(Fast GradientSign Method,FGSM)对载体图像进行添加修改,直到增强后的封面能够抵御隐写嵌入的影响。Li等人提出将载体图像划分为具有不同功能的两部分,一部分用于嵌入秘密信息,另一部分用于添加对抗扰动以欺骗深度神经网络。然而,基于天真函数的划分会减少最大相对有效载荷和纹理复杂区域的浪费。Ma等人提出根据模型损失梯度的符号来调整修改成本,因此所有像素都可以用来嵌入消息。为了避免引入过多的失真,Tang等人采用迭代过程,尽可能少地控制代价调整像素的数量。
这些方法大多能获得较高的对目标模型的攻击成功率。因此,对抗隐写术已经成为隐写分析者不得不面对的挑战。按照计算机视觉中防御对抗样本的思想,防御对抗隐写术最直接的方法是用对抗载密图像重新训练深度学习隐写分析器。然而,重新训练有两个缺陷:1)要防御各种已知的对抗隐写术,需要大量的数据集,消耗大量的时间。2)攻击者可以根据重训练的模型生成对抗样本。重训练可以使深度学习模型在解决计算机视觉任务时具有鲁棒性。然而,Tang等人的实验表明,对于深度学习隐写分析器来说,在几轮再训练中只能看到很小的改进,即在第二轮和第三轮中,漏检率分别只提高了2.02%和2.14%。
发明内容
本发明的目的是提供一种对对抗隐写鲁棒的隐写分析方法,能够适应于白盒场景下、对对抗隐写术具有鲁棒性,提高了对抗载密图像上的检测能力;
本发明的目的是通过以下技术方案实现的:
一种对对抗隐写鲁棒的隐写分析方法,包括:
通过深度学习模型与人工特征模型对输入的待分析图像独自进行分析识别,输出两类信息,一类为每一个待分析图像的类别标签,另一类为待分析图像属于每一类别的概率;结合深度学习模型与人工特征模型的两类输出信息进行初步筛选,确定可疑图像与可信图像;其中,可疑图像与可信图像用来表明深度学习模型的分类结果是否可靠;
将可疑图像输入至专用分类器进行分析识别,获得最终的类别标签,所述专用分类器为采用对抗载密图像训练的基于人工特征的隐写分析器;对于初步筛选出的可信图像,将深度学习模型输出的类别标签作为最终分类结果。
由上述本发明提供的技术方案可以看出,利用了深度学习模型与人工特征模型对对抗载密图像的输出差异进行初步筛选后再进行分类,可以提高深度学习隐写分析器在对抗载密图像上的检测能力,同时保持其在传统载密图像和载体图像上的高检测精度。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的一种对对抗隐写鲁棒的隐写分析方法的流程图;
图2为本发明实施例提供的不同softmax函数将预测结果转化为分类概率的分布直方图;
图3为本发明实施例提供的深度学习模型SRNet和人工特征模型SRM+EC对ADV-EMB(基础代价定义函数为S-UNIWARD)的漏检率比较结果;
图4为本发明实施例提供的载体、传统载密图和对抗载密图在
构成的特征空间中的位置示意图;
图5为本发明实施例提供的本发明与现有方案的漏检率比较结果;
图6为本发明实施例提供的本发明与现有方案的平均检测错误率比较结果。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
本发明实施例提供一种对对抗隐写鲁棒的隐写分析方法,如图1所示,其主要包括:
一、通过深度学习模型与人工特征模型对输入的待分析图像独自进行分析识别,输出两类信息,一类为每一个待分析图像的类别标签,另一类为待分析图像属于每一类别的概率;结合深度学习模型与人工特征模型的两类输出信息进行初步筛选,确定可疑图像与可信图像。
本发明实施例中,可疑图像与可信图像主要用来体现深度学习模型的分类结果是否准确可靠,可疑图像包括疑似的对抗载密图像,可信图像主要包括载体图像与传统载密图像。
本步骤的优选实施方式如下:
根据输出的类别标签进行筛选:对于当前待分析图像X,如果深度学习模型输出的类别标签
为载体图像类别,即,
人工特征模型输出的类别标签
为对抗载密图类别,即,
则认定为疑似的对抗载密图像;
根据输出的待分析图像属于每一类别的概率进行筛选:对于当前待分析图像X,如果深度学习模型与人工特征模型输出的类别标签为
但深度学习模型和人工特征输出的属于载体图像类别的概率pφ(0|X)和
低于设定的阈值,则认定为疑似的对抗载密图像;
通过筛选后的剩余图像,则作为可信图像。
二、将可疑图像(即,疑似的对抗载密图像)输入至专用分类器进行分析识别,获得最终的类别标签,所述专用分类器为采用对抗载密图像训练的基于人工特征的隐写分析器;对于初步筛选出的可信图像,将深度学习模型输出的类别标签作为最终分类结果。
本发明实施例中,第一个阶段中初步筛选时使用的深度学习模型、第二个阶段中用于可信图像分类的深度学习模型为同一模型,都是φ。由于初步筛选的结果是粗糙的,可疑图像中仍然包含了一定数量的载体图像,简单地用初步筛选的结果进行分类,会产生大量的虚警;而对于可信图像,可以直接复用了第一个阶段中φ的分类结果(分类结果为载体图像或者传统载密图像)。专用分类器和初步筛选阶段的人工特征模型
是不一样的,二者模型结构相同,但是训练集不同,具体来说,人工特征模型可以使用载体图像和载密图像来训练,专用分类器则采用对抗载密图像对进行训练,从而可以更好地检测对抗载密图像。
为了便于理解,下面结合深度学习模型与人工特征模型的原理来说明本发明的有效性。
目前,深度学习模型与人工特征模型均可输出类概率(也即属于每一类别的概率)。类概率被用于模型蒸馏和防御对抗样本。在本发明实施例中,类概率可用来识别对抗载密图像。
给定一个输入图像X,基于CNN的隐写分析器(深度学习模型)将生成一个原始(非标准化)预测的向量[zφ(0|X),zφ(1|X)],也就是所谓的logits。通常使用softmax函数将对数转化为类概率:
其中,0、1各自为载体图像类别、对抗载密图像类别的符号,pφ(i|X)表示输入图像X属于类别i的概率。
给定pφ(0|X),隐写分析者通常以阈值0.5对X进行分类:
然而,对于由一系列基础学习器组成并采用多数票决定标签输出的集成分类器来说,它并没有输出类概率。本发明实施例中,为了更好地识别对抗载密图像,要求集成分类器同样输出分类概率,且两种隐写分析器(深度学习和基于人工特征的集成分类器)的类概率值应具有可比性。幸运的是,可以得到为每个类投票的基分类器的数量,这可以看作是集成分类器的logits输出。最直接的归一化方法是使用softmax函数将投票转化为概率。但是,归一化输出的分布过于陡峭,集中于0和1附近,不能无法体现载体图像和对抗载密图像的差异。直接转换结果如图2的(a)部分所示。通过使用公开的隐写数据集BOSSBase 1.01和BOWS2中的15000张图像对(载体图像Cover和载密图像stego)来训练集成分类器。用来生成载密图像的隐写方法是S-UNIWARD,相对的有效载荷是每像素0.4比特每像素。为了解决这个问题,可采用了由G.Hinton等人提出的带温度的softmax函数:
其中,T是温度。随着T的数值越高,在类上产生的概率分布越柔和。本发明实施例中,设定温度值T=5.5。转化后的直方图如图2的(b)部分所示,图中使用浅灰色表示传统载密图像(Stego),使用白色表示载体图像(Cover),两类图像重叠部分为深灰色。
对抗隐写的目的旨在欺骗目标深度学习模型,而对人工特征模型影响较小。假定对抗隐写方法为ADV-EMB(基于代价调整的对抗隐写)。对于两个同样由载体和S-UNIWARD生成的载密图像进行训练的深度学习模型SRNet和人工特征模型SRM+EC。攻击的漏检率比较结果如图3所示。
由目标深度学习模型和同样训练集训练得到的人工特征模型分类标签(0和1)将所有图像划分为四组,综合深度学习模型(记为φ)和人工特征模型(记为
)对载体和传统载密的检测准确率,可以得出每组图片中,载体、传统载密图像和对抗载密图像各自所占的比重,如表1所示。
表1载体、传统载密和对抗载密各自所占的比重
可以发现,在深度学习模型的标签输出为
而人工特征模型的标签输出为
这一组中,对抗载密图像的比例很大。因此可以认为,与一个人工特征模型结合,是潜在有效的检测对抗载密图的方法。
然而仅仅将输出标签为
和
的图像全部分类为1(即载密图像,包含传统载密图像和对抗载密图像)是不够的。在新的存在对抗载密图像的情景下,合格的鲁棒的隐写分析模型应当满足两个条件:1)能够抵御对抗隐写的攻击;2)仍能有效检测载体图像和传统的载密图。而将输出标签为
和
的图片全部分类为1,一方面会错失大量标签输出为
而
的对抗载密图像,另一方面错误分大量标签输出为
而
的载体图像。
因此,本发明实施例结合深度学习模型与人工特征模型对对抗载密图像的输出差异来进行对抗载密图像的检测,具体来说:
通过初步筛选,可以解决标签输出为
而
的对抗载密图像未被识别进而仍被目标深度学习隐写分析器φ分类的问题。通过专用分类器,解决大量载体图像被粗放的分类结果误分的问题。
初步筛选过程中,标签筛选部分,则是根据深度学习模型与人工特征模型的预测标签,认为输出标签为
和
的图像是疑似的对抗载密图像,阻止其由深度学习模型φ进行最终分类。
概率输出筛选,通过分析对抗隐写的生成过程,发现虽然对抗载密图像可以有效地欺骗目标神经网络,但是不可避免地会在概率输出上暴露自己,即对抗隐写相比于载体图像,倾向于有更低的概率输出pφ(0|X)。分析过程如下:
现阶段的对抗隐写方法,均利用白盒条件下的梯度信息来生成对抗载密图。对于目标深度学习模型φ,和输入图像X,对于目标类别i,其梯度η可以表示为:
而通过代换和链式法则,可以得到在隐写分析问题中,输出概率pφ(0|X)对于输入图像X的梯度:
生成方法ADS通过生成增强载体,在增强载体上生成的载密图会仍被判别为载体,继而达到欺骗目标神经网络的目的。而增强载体则通过FGSM的方法生成。在每一轮模拟嵌入后,利用嵌入了消息的载密图对应的梯度信息修改载体,直到达到迭代上限或在增强载体上生成的载密图可以欺骗目标深度学习模型。每一轮对增强载体的修改量为:
其中,Lφ(Zi-1,0)表示标签为0的分类损失,Zi-1表示第i轮中的对抗载密图像;
最终的增强载体和原始载体之前的修改量为:
ADS通过迭代的过程和参数∈控制了对增强载体的修改幅度。旨在避免过大幅度的修改会引入的不必要的人为扰动。这样的人为扰动可能会导致ADS生成的对抗载密图像被非目标的隐写分析器识别和发现。而扰动量是梯度η的倍数,同时θ也是η的倍数,因此可以得出结论,ADS对修改幅度控制,会导致pφ(0|X)更容易有比较低的数值。
而对于ADV-EMB,虽然生成对抗载密图像的过程不同,但是最终的结果仍然相似。ADV-EMB将所有像素分成两组,一为普通组,另一为调整组。普通组的元素修改代价保持其基础修改代价不变,由UNIWARD,HILL,WOW,UED或UERD等自适应代价定义函数定义。而调整组的元素修改代价则在基础代价的基础上,根据当前像素点对应的梯度方向进行调整。在每一轮迭代过程中,调整组的元素数不断增加,直到所有元素都被纳入调整组或成功欺骗目标深度学习隐写分析器。修改代价调整的函数可以被表示如下:
其中,
分别表示+1和-1修改的原始代价,
分别表示+1和-1修改的调整后的代价,α是调整幅度参数,通常为2。
ADV-EMB的方式可以被认为使每一个实际被隐写修改的点都同时作为对抗扰动发挥了对抗性,而对抗扰动的值都被值为1/|ηi,j|的标度因子控制在±1:
通过增加被修改的像素数,对pφ(0|X)的影响和ADS通过调整修改幅度实现的是等价的。而ADV-EMB为了减少修改方向的不一致性可能带来的对抵抗非目标隐写分析器检测的能力的下降,同样在可以成功欺骗目标模型的时候就停止了进一步调整代价。这一迭代次数控制,也和ADS一样,会导致生成的对抗载密图像pφ(0|X)偏低。
通过以上分析可以得出一个较普遍的结论:对抗载密图像相比于载体图像概率pφ(0|X)更低,因此,通过设定的阈值初步筛选出疑似的对抗载密图像。
除此之外,为了尽可能地利用已掌握的信息,启发式地引入了人工特征模型的概率输出
令
作为二维特征,由一个高斯核的SVM分类器从标签输出为
的图像中,筛选出可疑的对抗载密图像,所述SVM的训练集就是深度学习模型的训练集里标签输出为
的图像,而这些图像的真实标签(载体图像为0,载密图像为1)是用于训练SVM的标签,因此,通过输出分类标签即可筛选出可疑的对抗载密图像。对于这个二维特征构成的特征空间,根据以上的推理,对抗隐写存在的范围可以被启发式地描绘如图4所示,其中,Cover表示载体图像,stego表示传统载密图像,adv表示对抗载密图像。
经过初步筛选之后,疑似的对抗载密图像将被分离,它们将作为可疑图像被送到专用的分类器进行分类。隐写分析器的最佳结构是基于深度学习的。但是,已经证明基于深度学习的隐写分析器容易受到对抗隐写的攻击。而根据Tang等人论文的实验,经过重新训练的基于深度学习的隐写分析器仍然容易受到针对更新的模型的对抗隐写的攻击。此外,ADS具有针对多个模型的版本,因此堆叠多个深度学习隐写分析模型的做法并不可取。关于计算机视觉中的对抗攻击,与对抗隐写有一定相似性,而Carlini等人证明了,基于深度学习的额外检测模型对鲁棒性几乎没有改善。
人工特征提取的过程中存在一些难以求导的操作,例如计算共生矩阵或统计直方图,以及特征提取中的截断、取整、特征约减等等操作,这使得针对基于人工特征的隐写分析器生成对抗载密图像要比基于CNN隐写分析器(深度学习模型)困难得多。此外,同时攻击两个结构完全不同的隐写分析器则更加困难。基于上述原因,本发明实施例中,利用基于人工特征的隐写分析器作为专用分类器,该专用分类器采用了对抗载密图像对进行训练,从而可以更好地检测对抗载密图像。
图5与图6展示了本发明上述方案的检测性能。
图5展示的是漏检率,其中,(a)部分为:空域中在ADV-EMB攻击下,原始SRNet和针对该SRNet设计的鲁棒模型对ADV-EMB在各嵌入率下的漏检率比较;(b)部分为:空域中在ADV-EMB攻击下,原始YeNet和针对该YeNet设计的鲁棒模型对ADV-EMB在各嵌入率下的漏检率比较;(c)部分为:空域中在ADS攻击下,原始SRNet和针对该SRNet设计的鲁棒模型对ADV-EMB在各嵌入率下的漏检率比较;(d)部分为:JPEG域中在ADV-EMB攻击下,原始SRNet和针对该SRNet设计的鲁棒模型对ADV-EMB在各嵌入率下的漏检率比较;
图6展示的是平均检测错误率,其中,(a)部分为:空域中,SRNet,YeNet,SRM+EC和基于概率输出的鲁棒隐写分析器对载体和传统载密在空域各嵌入率下的平均检测错误率比较;(b)部分为:JPEG域中,SRNet,YeNet,SRM+EC和基于概率输出的鲁棒隐写分析器对载体和传统载密在空域各嵌入率下的平均检测错误率比较。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,上述实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (2)
1.一种对对抗隐写鲁棒的隐写分析方法,其特征在于,包括:
通过深度学习模型与人工特征模型对输入的待分析图像独自进行分析识别,输出两类信息,一类为每一个待分析图像的类别标签,另一类为待分析图像属于每一类别的概率;结合深度学习模型与人工特征模型的两类输出信息进行初步筛选,确定可疑图像与可信图像;其中,可疑图像与可信图像用来表明深度学习模型的分类结果是否可靠;
将可疑图像输入至专用分类器进行分析识别,获得最终的类别标签,所述专用分类器为采用对抗载密图像训练的基于人工特征的隐写分析器;对于初步筛选出的可信图像,将深度学习模型输出的类别标签作为最终分类结果。
2.根据权利要求1所述的一种对对抗隐写鲁棒的隐写分析方法,其特征在于,所述可疑图像包括疑似的对抗载密图像,所述可信图像包括载体图像与传统载密图像;所述结合深度学习模型与人工特征模型的两类输出信息初步筛选出可疑图像与可信图像包括:
根据输出的类别标签进行筛选:对于当前待分析图像X,如果深度学习模型输出的类别标签
为载体图像类别,即,
人工特征模型输出的类别标签
为对抗载密图像类别,即,
则认定为疑似的对抗载密图像;
根据输出的待分析图像属于每一类别的概率进行筛选:对于当前待分析图像X,如果深度学习模型与人工特征模型输出的类别标签为
但深度学习模型和人工特征输出的属于载体图像类别的概率pφ(0|X)和
低于设定的阈值,则认定为疑似的对抗载密图像;
通过筛选后的剩余图像,则作为可信图像。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110216970.5A CN112907431B (zh) | 2021-02-26 | 2021-02-26 | 一种对对抗隐写鲁棒的隐写分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110216970.5A CN112907431B (zh) | 2021-02-26 | 2021-02-26 | 一种对对抗隐写鲁棒的隐写分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112907431A true CN112907431A (zh) | 2021-06-04 |
| CN112907431B CN112907431B (zh) | 2024-05-28 |
Family
ID=76108477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110216970.5A Active CN112907431B (zh) | 2021-02-26 | 2021-02-26 | 一种对对抗隐写鲁棒的隐写分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112907431B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114782697A (zh) * | 2022-04-29 | 2022-07-22 | 四川大学 | 一种对抗子领域自适应隐写检测方法 |
| CN114841983A (zh) * | 2022-05-17 | 2022-08-02 | 中国信息通信研究院 | 一种基于决策分数的图像对抗样本检测方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180068429A1 (en) * | 2015-04-15 | 2018-03-08 | Institute Of Automation Chinese Academy Of Sciences | Image Steganalysis Based on Deep Learning |
| CN112019700A (zh) * | 2020-08-14 | 2020-12-01 | 深圳大学 | 一种防止载密图像被检测的方法、智能终端及存储介质 |
-
2021
- 2021-02-26 CN CN202110216970.5A patent/CN112907431B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180068429A1 (en) * | 2015-04-15 | 2018-03-08 | Institute Of Automation Chinese Academy Of Sciences | Image Steganalysis Based on Deep Learning |
| CN112019700A (zh) * | 2020-08-14 | 2020-12-01 | 深圳大学 | 一种防止载密图像被检测的方法、智能终端及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 付章杰;王帆;孙星明;王彦;: "基于深度学习的图像隐写方法研究", 计算机学报, no. 09 * |
| 翟黎明;嘉炬;任魏翔;徐一波;王丽娜;: "深度学习在图像隐写术与隐写分析领域中的研究进展", 信息安全学报, no. 06 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114782697A (zh) * | 2022-04-29 | 2022-07-22 | 四川大学 | 一种对抗子领域自适应隐写检测方法 |
| CN114782697B (zh) * | 2022-04-29 | 2023-05-23 | 四川大学 | 一种对抗子领域自适应隐写检测方法 |
| CN114841983A (zh) * | 2022-05-17 | 2022-08-02 | 中国信息通信研究院 | 一种基于决策分数的图像对抗样本检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112907431B (zh) | 2024-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113554089B (zh) | 一种图像分类对抗样本防御方法、系统及数据处理终端 | |
| CN113538202B (zh) | 一种基于生成式隐写对抗的图像隐写方法及系统 | |
| CN110852363A (zh) | 一种基于欺骗攻击者的对抗样本防御方法 | |
| Muralidharan et al. | The infinite race between steganography and steganalysis in images | |
| CN115588226A (zh) | 一种高鲁棒性的深度伪造人脸检测方法 | |
| Li et al. | JPEG steganalysis with high-dimensional features and Bayesian ensemble classifier | |
| CN112907431B (zh) | 一种对对抗隐写鲁棒的隐写分析方法 | |
| Schöttle et al. | Detecting adversarial examples-a lesson from multimedia security | |
| CN114257697B (zh) | 一种高容量通用图像信息隐藏方法 | |
| CN112200075B (zh) | 一种基于异常检测的人脸防伪方法 | |
| Chen et al. | Holistic adversarial robustness of deep learning models | |
| Yang et al. | Design of cyber-physical-social systems with forensic-awareness based on deep learning | |
| CN115546003A (zh) | 基于对抗训练网络的后门水印图像数据集生成方法 | |
| Qin et al. | Robustness enhancement against adversarial steganography via steganalyzer outputs | |
| EP4252147A1 (en) | Copy prevention of digital sample images | |
| Doegar et al. | Image forgery detection based on fusion of lightweight deep learning models | |
| CN112560034A (zh) | 基于反馈式深度对抗网络的恶意代码样本合成方法及装置 | |
| Wang et al. | Enhancing Adversarial Embedding based Image Steganography via Clustering Modification Directions | |
| Shah et al. | Image Manipulation Detection Using Error Level Analysis | |
| Senthilkumar et al. | Pearson Correlation Coefficient based Improved Least Square-Support Vector Machine for Cyber-Attack Detection in Internet of Things | |
| Shkilev et al. | Fortifying textual integrity: Evolutionary optimization-powered watermarking for tampering attack detection in digital documents | |
| Nastoulis et al. | Banknote recognition based on probabilistic neural network models. | |
| CN113486875B (zh) | 基于词分离和自适应的跨域人脸表示攻击检测方法和系统 | |
| Manoranjitham et al. | A Comparative Study of DenseNet121 and InceptionResNetV2 model for DeepFake Image Detection | |
| Hingrajiya et al. | A novel Copy-Move forgery detection using combined ORB-PCA approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |