CN113222802B - 基于对抗攻击的数字图像水印方法 - Google Patents

基于对抗攻击的数字图像水印方法 Download PDF

Info

Publication number
CN113222802B
CN113222802B CN202110584340.3A CN202110584340A CN113222802B CN 113222802 B CN113222802 B CN 113222802B CN 202110584340 A CN202110584340 A CN 202110584340A CN 113222802 B CN113222802 B CN 113222802B
Authority
CN
China
Prior art keywords
image
watermark
attack
vector
neural network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110584340.3A
Other languages
English (en)
Other versions
CN113222802A (zh
Inventor
吴炼清
潘蓉
刘刚
郝慧娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN202110584340.3A priority Critical patent/CN113222802B/zh
Publication of CN113222802A publication Critical patent/CN113222802A/zh
Application granted granted Critical
Publication of CN113222802B publication Critical patent/CN113222802B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T1/00General purpose image data processing
    • G06T1/0021Image watermarking
    • G06T1/005Robust watermarking, e.g. average attack or collusion attack resistant
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Image Processing (AREA)
  • Editing Of Facsimile Originals (AREA)

Abstract

本发明公开了一种基于对抗攻击的图像水印方法。其具体步骤包括:(1)搭建神经网络;(2)生成训练集;(3)训练神经网络;(4)对载体图像进行分块;(5)对水印序列进行划分和转换;(6)利用对抗攻击生成对抗图像块得到含水印图像;(7)对含水印图像进行分块;(8)利用神经网络得到水印序列片段;(9)对水印序列片段进行拼合得到水印序列。该方法的优势是在满足水印算法不可感知性、安全性等指标的前提下,能使嵌入容量等性能随着网络模型分类能力的提升而增强,同时算法对滤波攻击、剪裁、压缩等攻击具有良好的鲁棒性。

Description

基于对抗攻击的数字图像水印方法
技术领域
本发明属于图像处理技术领域,更进一步涉及信息隐藏技术领域中的一种基于对抗攻击的数字图像水印方法。本发明可用于数字图像传播过程中的信息隐藏,可使水印信息以人类视觉不可察觉的方式嵌入到图像中,在出现版权纠纷等场景下,可通过提取过程提取水印信息,实现版权保护和身份认证。
背景技术
水印技术作为解决版权纠纷等安全问题的一个重要技术。近年来随着数字多媒体,特别是数字图像的普及,各种针对数字图像的攻击手段给图像水印技术带来了新的挑战,提出了更高的要求。图像水印技术依据人类视觉系统的特性,通过在载体图像以特殊方式嵌入额外信息,在不为人类视觉系统察觉的前提下,知识产权的所有者或者权威第三方机构能通过提取算法提取出嵌入的信息,或通过检测算法确定数字水印是否存在,避免或阻止对多媒体信息未经授权的复制和拷贝,从而满足人们对于信息安全的需求。而在现实场景下,复杂多样的攻击手段,如压缩攻击、剪裁攻击等会对含水印图像产生巨大的影响,导致信息提取不完整或者不正确。另外,高嵌入容量水印的需求也日益增多,目前的水印技术难以兼顾高嵌入容量性能和强抗攻击性。
北京工业大学在其申请的专利文献“一种高容量二值图像信息隐藏方法”(申请号:201810423420.9,申请公布号:108629728A)中公开了一种高容量二值图像信息隐藏方法。该方法在秘密信息嵌入部分使用Logistic一维混沌系统生成非周期、不收敛且不相关的混沌序列,将待嵌入信息进行置乱预处理后,通过计算像素块翻转前后图像区域连通性值确定符合人眼视觉特性的可翻转像素块,利用翻转非关键像素调节非关键像素的加权总值,实现信息嵌入。该发明在保证高不可见性的基础上,具有较高的嵌入容量。但是,该方法仍然存在的不足之处是,由于该方法是在空域嵌入水印,其生成的含水印图像的水印可能被人类视觉系统察觉的问题。此外,该方法所采用的空域算法为了提高嵌入容量,牺牲了其抗攻击性能,导致含水印图像经过压缩、剪裁等攻击后提取准确性不佳。
郑州轻工业大学在其申请的专利文献“采用预设PSNR的DWT-SVD域自适应鲁棒水印算法”(申请号:202010948552.0,申请公布号:112132731A)中公开了一种采用预设PSNR的DWT-SVD域自适应鲁棒水印方法。该方法利用离散小波变换的抗攻击性与奇异值分解的稳定性,通过修改图像左奇异矩阵第一列元素之间的大小关系嵌入水印,并修改右奇异矩阵实现质量补偿。该方法不需要使用固定嵌入参数,水印的嵌入强度依赖于嵌入参数,具体较好的抗攻击性能。但是,该方法仍然存在的不足之处是,由于原始载体数字图像本身大小以及嵌入位置的限制,该方法在提高抗攻击性的同时,无法满足高嵌入容量的需求。
Roy A等人在其发表的论文“An HVS inspired robust non-blind watermarkingscheme in YCbCr color space”(International Journal of Image and Graphics,2018,18(03):1850015.)中提出了一种以人类视觉系统为启发的YCbCr空间的图像自适应非盲目水印方案。该方法将一个修改过的水印强度参数与离散小波变换和奇异值分解(DWT-SVD)相结合,将信息嵌入到载体图像的二次变换域中,通过原始载体图像确定水印在变换域中位置和数值变化实现水印信息提取。该方法提高了图像水印对攻击的鲁棒性和视觉效果。但是,该方法无法满足高嵌入容量需求的问题以及嵌入容量受载体图像大小以及嵌入位置限制。
发明内容
本发明的目的在于针对上述已有技术存在的不足,提供一种基于对抗攻击的图像水印方法,旨在解决含水印图像中水印不可见性较差、水印鲁棒性不强的问题,同时解决载体图像限制所导致的水印嵌入容量不高的问题。
实现本发明目的的具体思路是,通过使生成的对抗图像块对载体图像分块进行逼近,使得生成的对抗图像块在视觉效果上更加趋近于载体图像分块,增强水印的不可见性。对对抗图像块进行分类时,通过利用训练好的神经网络高维空间的巨大冗余以及神经网络强大的分类能力,大幅减少了对抗图像块因各类攻击而出现从一类类别跳跃到另一个类别的问题,从而保证了提取水印时水印序列片段的提取准确性,从而增强水印的鲁棒性。通过增加训练集图像的类别数量并利用类别与水印信息的映射关系,使得单位对抗图像块能表达更多的水印信息,从而增加了水印的嵌入容量。
本发明包括水印嵌入和水印提取两个过程;
本发明水印嵌入过程的具体步骤为:
(1)构建一个输入维度为1024、输出维度为10的神经网络并设置参数:
(2)生成数据集:
(2a)搜集N种不同类别的图像,其中N≥10,每类图像不少于500张,每张图片的长、宽、通道数均为32×32×3;
(2b)对每张图像进行类别标注并生成标注文件,同时建立类别标注与水印序列片段的映射关系;
(2c)所有图像和标注文件组成训练集;
(3)训练神经网络:
将训练集输入到神经网络中,迭代更新神经网络的权值,直到损失函数收敛,得到训练好的神经网络;
(4)对载体图像进行分块:
将载体图像按照从上到下、从左到右依次切分为大小为32×32的图像块,对载体图像右边缘和下边缘大小不足32×32的边缘图像块不作处理;
(5)对二值水印序列进行划分并转换为M维向量,其中M的数值等于N的数值;
(6)利用对抗攻击方法生成对抗图像块:
(6a)将训练好的神经网络作为对抗攻击网络;
(6b)依次选取一个未选过的水印向量和对应的载体图像分块,随机生成一个1024维的对抗图像向量xadv作为对抗攻击的输入向量,将所选水印向量作为对抗攻击的输出向量目标;
(6c)将损失函数设置为
Figure BDA0003086543420000031
其中,||·||表示欧几里得二范数,ygoal表示所选的水印向量,xgoal表示所选取水印向量对应的载体图像分块,f(xadv)表示以xadv作为输入时对抗攻击网络的输出,λ表示权重系数,取值范围为[0.1,1]。通过极小化生成图像与载体图像的欧式距离将水印向量嵌入到对应的载体图像分块,又通过极小化图像类别信息与水印信息的欧式距离将每个水印向量嵌入到对应的载体图像分块;
(6d)采用反向随机梯度下降方法,用损失函数梯度
Figure BDA0003086543420000041
迭代更新对抗图像向量xadv直至损失函数收敛为止;
(6e)判断是否已选取完所有水印向量以及其对应载体图像分块,若已选取完,则执行步骤(7);否则,执行步骤(6b);
(7)获得含水印图像:
将步骤(6d)得到的每个1024维的对抗图像向量转化为32×32对抗图像块,并将所有对抗图像块与步骤(4)中不足32×32的边缘图像块拼合为含水印图像;
(8)采用与步骤(4)相同的方法对含水印图像进行分块:
(9)获得水印序列:
(9a)将每个含水印图像块依次输入到训练好的神经网络中,利用步骤(2b)利用训练好的神经网络和类别标注与水印序列片段的映射关系得到水印序列片段;
(9b)将所有水印序列片段拼合成为水印序列。
与现有技术相比,本发明具有以下优点:
第一,本发明在利用对抗攻击方法生成对抗图像块中,通过损失函数中极小化生成图像与载体图像的欧式距离的约束条件,使生成的对抗图像块在视觉效果上趋近于载体图像分块,克服了现有技术使用空域嵌入水印时生成的含水印图像的水印可能被人类视觉系统察觉的问题,使得本发明具有水印不可见性强的优点。
第二,本发明在利用对抗攻击方法生成对抗图像块中,通过损失函数中极小化图像类别信息与水印信息的欧式距离的约束条件,诱导并修改对抗图像块的类别信息,让对抗图像块的类别与水印序列片段存在稳定的映射关系,克服了现有技术经过压缩、剪裁等攻击后提取准确性不佳的问题,使得本发明具有鲁棒性良好和提取准确性高的优点。
第三,本发明利用训练好的神经网络和类别标注与水印序列片段的映射关系得到水印序列片段,克服了现有技术无法满足高嵌入容量需求的问题以及嵌入容量受载体图像大小以及嵌入位置限制的问题,使得本发明具有水印嵌入容量高,且水印的嵌入容量与神经网络模型的分类性能正相关,水印嵌入容量可随着神经网络的性能增强而提高的优点。
附图说明:
图1为本发明的流程图;
图2为本发明的仿真图;
图3为本发明仿真实验得到含水印图像经剪裁后的含水印图像;
图4为本发明水印嵌入容量随单位对抗图像块嵌入信息数量变化的折线图。
具体实施方式:
下面结合附图对本发明做详细的描述。
参照图1,对本发明方法实现的具体步骤做进一步的详细描述。
步骤1,构建一个输入维度为1024、输出维度为10的神经网络并设置参数。
搭建一个12层的神经网络,其结构依次为:第一卷积层,第二卷积层,第一池化层,第一dropout层,第三卷积层,第四卷积层,第二池化层,第二dropout层,扁平化层,第一全连接层,第三dropout层,第二全连接层。
将第一至第四卷积层的输出通道分别设置为32,32,64,64,卷积核大小分别设置为32×32,30×30,15×15,13×13,步长均设置为1;第一、第二池化层均采用最大池化方式,池化区域核的大小均设置为2×2,步长均设置为2;扁平化层的降维维度设置为2304,第一、第二全连接层神经元个数分别设置为512,10,激活函数设置为sigmoid函数,损失函数优化器选用Adam。
步骤2,生成数据集。
第一步,搜集N种不同类别的图像,其中N≥10,每类图像不少于500张,每张图片的长、宽、通道数均为32×32×3,其中长、宽32×32对应了神经网络1024的输入维度。当N的数值越大时,最终生成的图像训练集所训练出的神经网络支持的种类识别数量越多,进而使得最终每个对抗图像块所代表的水印信息越多。
第二步,接着对每张图像进行类别标注并建立类别与水印序列数值的映射关系。标注方法为人工对每张图像生成一个代表该图像类别信息的xm格式标注文件。
第三步,将所有图像和标注文件分开存储,由图像集和标注文件集共同组成训练集。
步骤3,训练神经网络。
将训练集输入到神经网络中,将损失函数设置为绝对值误差函数,采用梯度下降法迭代更新神经网络的权值,直到损失函数收敛,得到训练好的神经网络;
步骤4,对载体图像进行分块。
将载体图像按照从上到下、从左到右依次切分成大小为32×32且互不重叠的子块,按行、列信息排序得到载体图像块序列B={B1,1,B1,2,...,Bv,h},其中Bv,h表示载体图像块序列B中第v行、第h列子块,载体图像右边缘和下边缘大小不足32×32的边缘图像块不作后续处理,只记录其在载体图像中的对应位置即可;
步骤5,对二值水印序列进行划分并转换为向量。
按照下式,将二值水印序列转换为十进制水印序列如下:
Figure BDA0003086543420000063
其中s(2)表示二进制序列,s(10)表示十进制序列,||·||表示序列对应的数值大小,sv表示二进制序列中从第位到高位对应的第v位的数值。将十进制数值依次按位作为十进制序列的元素得到十进制序列。
将十进制水印序列均分为每段长度为的K水印序列片段,其中
Figure BDA0003086543420000061
水印序列末端长度不足K独自划分为一段。再将每个水印序列片段转换为M维向量,其中M的数值等于N的数值,M维向量中每一维对应的数值为:
Figure BDA0003086543420000062
其中,wi表示M维向量中第i维对应的数值。
步骤6,利用对抗攻击方法生成对抗图像块:
第一步,将训练好的神经网络作为对抗攻击网络。
第二步,依次选取一个未选过的水印向量wi和对应的载体图像分块,随机生成一个1024维的对抗图像向量xadv作为对抗攻击的初始输入向量,将所选水印向量作为对抗攻击的输出向量的逼近目标,所选水印向量对应的载体图像则作为输入对抗图像的逼近目标。对抗攻击的目的是通过后续不断迭代更新输入向量xadv最终获得视觉效果逼近载体图像分块而类别信息为水印向量代表的类别的对抗图像块。
第三步,定义损失函数:
Figure BDA0003086543420000071
其中,||·||表示欧几里得二范数,ygoal表示所选的水印向量,xgoal表示所选取水印向量对应的载体图像分块,f(xadv)表示以xadv作为输入时对抗攻击网络的输出,λ表示权重系数,取值范围为[0.1,1]。
损失函数中
Figure BDA0003086543420000072
将所选取的水印向量与以xadv作为输入时对抗攻击网络的输出的欧式距离作为一个极小化约束条件,该约束条件能够将生成的对抗图像分块的类别信息诱导为所选取的水印向量代表的类别;
Figure BDA0003086543420000073
将所选取水印向量对应的载体图像分块与对抗图像向量xadv的欧式距离作为另一个极小化约束条件,该约束条件能够使生成的对抗图像在视觉效果上逼近所选取的载体图像分块。
第四步,计算损失函数梯度
Figure BDA0003086543420000074
对抗攻击不同于神经网络训练,其目的在于使对抗图像分块的类别跳出原始类别空间,因而更新对抗图像向量xadv时使用反向随机梯度下降方法最大限度地改变对抗图像的类别信息,循环迭代更新对抗图像向量xadv直至循环次数达到50000次或者损失函数收敛。
第五步,判断是否已选取完所有水印向量以及其对应载体图像分块,若已选取完,则执行步骤7;否则,执行本步骤中的第二步进行下一个未选取的水印向量的嵌入操作。
步骤7,获得含水印图像:
将步骤6中得到的每个1024维的对抗图像向量转化为32×32对抗图像块,并将所有对抗图像块与步骤4中不足32×32的边缘图像块拼合为含水印图像。
所述水印提取过程的具体步骤为:
步骤8,采用与步骤4相同的方法对含水印图像进行分块。
步骤9,获得水印序列:
将每个含水印图像块依次输入到训练好的神经网络中,输出代表水印序列片段的向量wi,统计其中的非零元素,由于图像可能遭受各种攻击影响,因而设置阈值ξ,当水印序列向量元素大于ξ时,将该元素计作非零元素。将所有非零元素按数值大小排序,根据其在向量中对应的位置,得到水印序列片段的数值信息。
拼合所有水印序列得到完整的水印序列。
下面结合仿真图对本发明效果做进一步的描述。
1.仿真实验条件:
本发明的仿真实验的硬件平台为:处理器为四核Intel Core i7,主频为2.2GHz,内存16GB。
本发明的仿真实验的软件平台为:MacOS操作系统和python 3.5。
本发明仿真实验所使用的图像数据集为CIFAR-10数据集,该数据集共有60000张32×32彩色图像,共包括10个类,每类6000张图,仿真实验按5:1的比例将其分为包含50000张图像示例的训练集以及包含10000张图像示例的测试集。
本发明仿真实验是将随机生成一个500位二制数作为水印序列,将标准图像lena作为本发明仿真实验中的载体图像,载体图像如图2(a)所示。
2.仿真内容及其结果分析:
本发明仿真实验是将随机生成的500位二制数作为水印序列,采用本发明的方法将生成的水印序列嵌入到如图2(a)所示的载体图像中,获得含水印图像图2(b)。
为了验证本发明仿真实验的效果,分别对含水印图像的抗压缩攻击能力、抗剪裁攻击能力以及水印嵌入容量性能进行测试。
对含水印图像分别进行压缩比例为75%和50%的压缩攻击,得到如图2(c)所示的经过压缩比为75%的压缩攻击后的含水印图像和如图2(d)所示的经过压缩比为50%的压缩攻击后的含水印图像。通过计算压缩后的含水印图像的峰值信噪比(PSNR)、水印提取准确度的两个指标,分别对含水印图像的抗压缩攻击能力进行定量测试的结果如表1所示。PSNR的计算公式如下:
Figure BDA0003086543420000091
对于本实验MAX取值为255,MSE的计算公式如下:
Figure BDA0003086543420000092
其中,本发明的仿真实验中m和n取值均为512,I(p,q)为图2(a)第p行、第q列的像素值,K(p,q)为待测试图像第p行、第q列的像素值。
表1.本发明对不同图像水印的不可见性的定量分析表
对象 PSNR
含水印图像 36.43
75%压缩图像 34.46
50%压缩图像 29.32
由表1可见,本发明水印经过75%压缩比例的压缩攻击后,其PSNR仍大于30;经过50%压缩比例的压缩攻击后,其PSNR略低于30,达到人眼视觉系统对图像与参考图像可分辨的阈值,表明本发明方法经过压缩攻击后仍具有良好的不可见性。另外,通过计算成功提取的水印序列长度与水印序列总长度的比值,得到经过75%的压缩攻击的水印信息提取准确度为99.4%,经过50%的压缩攻击的水印信息提取准确度为97.4%,证明本发明具有抵抗压缩攻击的能力。
对含水印图像进行了1/4剪裁攻击,通过计算含水印图像的水印提取准确度对其抗剪裁攻击能力进行测试。经过1/4裁剪后,得到含水印的剪裁图像如图3所示,实验采用本发明方法对该剪裁图像进行水印提取,通过计算成功提取的水印序列长度与水印序列总长度的比值,结果显示水印提取准确度达到96.2%,证明本发明具有一定抗剪裁攻击的能力。
将图2(a)作为载体图像并采用步骤4进行分块,将CIFAR-10作为数据集并使用本发明方法,将1000个随机生成的十进制数作为水印序列,统计嵌入所有水印序列所需载体图像分块数量,并计算出单位图像分块的水印嵌入容量,测试水印嵌入容量性能。
图4是本发明水印嵌入容量性能随单位对抗图像块嵌入信息数量变化的折线图,其中横坐标表示单位对抗图像块嵌入信息数量;左侧标有数字的坐标表示嵌入容量密度,单位为比特每像素(BPP),右侧标有数字的坐标表示嵌入1000个随机十进制数所需图像分块的数量,单位为个。其中三角形表示的折线代表嵌入容量密度随单位对抗图像块嵌入信息数量的变化情况,另一条折线代表嵌入1000个随机十进制数所需图像分块的数量随单位对抗图像块嵌入信息数量的变化情况。
图4显示了使用CIFAR-10作为数据集时,随着单位对抗图像块嵌入信息数量的不断增加,本发明嵌入容量可达到0.3BPP,该性能已经超过了普通水印算法的嵌入能力,表明了采用本发明的含水印图像具有较高的嵌入容量。

Claims (3)

1.一种基于对抗攻击的数字图像水印方法,其特征在于,利用对抗攻击的方法,通过极小化生成图像与载体图像的欧式距离以及图像类别信息与水印信息的欧式距离来生成含水印图像,并利用训练好的神经网络对含水印图像实现水印提取;该方法步骤包括如下:
(1)构建一个输入维度为1024、输出维度为10的神经网络并设置参数:
(2)生成数据集:
(2a)搜集N种不同类别的图像,其中N≥10,每类图像不少于500张,每张图片的长、宽、通道数均为32×32×3;
(2b)对每张图像进行类别标注并生成标注文件,同时建立类别标注与水印序列片段的映射关系;
(2c)将所有图像和标注文件组成训练集;
(3)训练神经网络:
将训练集输入到神经网络中,迭代更新神经网络的权值,直到损失函数收敛为止,得到训练好的神经网络;
(4)对载体图像进行分块:
将载体图像按照从上到下、从左到右依次切分为大小为32×32的图像块,对载体图像右边缘和下边缘大小不足32×32的边缘图像块不作处理;
(5)对二值水印序列进行划分并转换为M维向量,其中M的数值等于N的数值;
所述的二值水印序列进行划分并转换为M维向量的步骤如下:
第一步,将二值水印序列转换为十进制水印序列;
第二步,将十进制水印序列均分为每段长度为K的水印序列片段,其中
Figure FDA0003913079590000011
水印序列末端长度不足K独自划分为一段;
第三步,将每个水印序列片段转换为M维向量,其中M的数值等于N的数值,M维向量中每一维对应的数值为:
Figure FDA0003913079590000012
其中,wi表示M维向量中第i维对应的数值;
(6)利用对抗攻击方法生成对抗图像块:
(6a)将训练好的神经网络作为对抗攻击网络;
(6b)依次选取一个未选过的水印向量和对应的载体图像分块,随机生成一个1024维的对抗图像向量xadv作为对抗攻击的输入向量,将所选水印向量作为对抗攻击的输出向量目标;
(6c)将损失函数设置为
Figure FDA0003913079590000021
其中,||·||表示欧几里得二范数,ygoal表示所选的水印向量,xgoal表示所选取水印向量对应的载体图像分块,f(xadv)表示以xadv作为输入时对抗攻击网络的输出,λ表示权重系数,取值范围为[0.1,1];通过极小化生成图像与载体图像的欧式距离将水印向量嵌入到对应的载体图像分块,又通过极小化图像类别信息与水印信息的欧式距离将每个水印向量嵌入到对应的载体图像分块;
(6d)采用反向随机梯度下降方法,用损失函数梯度
Figure FDA0003913079590000022
迭代更新对抗图像向量xadv,直至损失函数收敛为止;
(6e)判断是否已选取完所有水印向量以及其对应载体图像分块,若已选取完,则执行步骤(7);否则,执行步骤(6b);
(7)获得含水印图像:
将步骤(6d)得到的每个1024维的对抗图像向量转化为32×32对抗图像块,并将所有对抗图像块与步骤(4)中不足32×32的边缘图像块拼合为含水印图像;
(8)采用与步骤(4)相同的方法,对含水印图像进行分块:
(9)获得水印序列:
(9a)将每个含水印图像块依次输入到训练好的神经网络中,利用步骤(2b)利用训练好的神经网络和类别标注与水印序列片段的映射关系得到水印序列片段;
(9b)将所有水印序列片段拼合成为水印序列。
2.根据权利要求1所述的基于对抗攻击的数字图像水印方法,其特征在于,步骤(1)中所述的神经网络并设置参数如下:搭建一个12层的神经网络,其结构依次为:第一卷积层,第二卷积层,第一池化层,第一dropout层,第三卷积层,第四卷积层,第二池化层,第二dropout层,扁平化层,第一全连接层,第三dropout层,第二全连接层;将第一至第四卷积层的输出通道分别设置为32,32,64,64,卷积核大小分别设置为32×32,30×30,15×15,13×13,步长均设置为1;第一、第二池化层均采用最大池化方式,池化区域核的大小均设置为2×2,步长均设置为2;扁平化层的降维维度设置为2304,第一、第二全连接层神经元个数分别设置为512,10,激活函数设置为sigmoid函数,损失函数优化器选用Adam。
3.根据权利要求1所述的基于对抗攻击的数字图像水印方法,其特征在于,步骤(6b)中所述的对抗图像向量元素的数值范围为[0,255]。
CN202110584340.3A 2021-05-27 2021-05-27 基于对抗攻击的数字图像水印方法 Active CN113222802B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110584340.3A CN113222802B (zh) 2021-05-27 2021-05-27 基于对抗攻击的数字图像水印方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110584340.3A CN113222802B (zh) 2021-05-27 2021-05-27 基于对抗攻击的数字图像水印方法

Publications (2)

Publication Number Publication Date
CN113222802A CN113222802A (zh) 2021-08-06
CN113222802B true CN113222802B (zh) 2023-04-07

Family

ID=77098808

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110584340.3A Active CN113222802B (zh) 2021-05-27 2021-05-27 基于对抗攻击的数字图像水印方法

Country Status (1)

Country Link
CN (1) CN113222802B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113592697B (zh) * 2021-08-16 2023-11-21 齐鲁工业大学 基于卷积神经网络去噪思想的数字水印攻击方法及系统
CN113780557B (zh) * 2021-11-11 2022-02-15 中南大学 基于免疫理论的对抗图像攻击方法、装置、产品及介质
CN116308986B (zh) * 2023-05-24 2023-08-04 齐鲁工业大学(山东省科学院) 基于小波变换及注意力机制的隐蔽水印攻击算法
CN117132242B (zh) * 2023-10-26 2024-01-23 北京点聚信息技术有限公司 一种电子印章身份权限安全管理方法
CN117437108B (zh) * 2023-12-21 2024-03-08 武汉圆周率软件科技有限公司 一种针对图像数据的水印嵌入方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109582926A (zh) * 2018-11-26 2019-04-05 北京邮电大学 一种基于融合字体的抗打印扫描攻击的数字打印方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7171016B1 (en) * 1993-11-18 2007-01-30 Digimarc Corporation Method for monitoring internet dissemination of image, video and/or audio files
CN102903075B (zh) * 2012-10-15 2015-04-08 西安电子科技大学 基于图像特征点全局校正的鲁棒水印方法
CN104616244B (zh) * 2015-01-24 2018-01-09 河南师范大学 基于 bp 神经网络压缩域的图像水印嵌入与提取方法
WO2018006095A2 (en) * 2016-07-01 2018-01-04 Digimarc Corporation Image-based pose determination
CN109118420B (zh) * 2018-08-21 2022-11-25 杭州朗和科技有限公司 水印识别模型建立及识别方法、装置、介质及电子设备
CN111491170B (zh) * 2019-01-26 2021-12-10 华为技术有限公司 嵌入水印的方法及水印嵌入装置
CN110610230A (zh) * 2019-07-31 2019-12-24 国家计算机网络与信息安全管理中心 一种台标检测方法、装置及可读存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109582926A (zh) * 2018-11-26 2019-04-05 北京邮电大学 一种基于融合字体的抗打印扫描攻击的数字打印方法

Also Published As

Publication number Publication date
CN113222802A (zh) 2021-08-06

Similar Documents

Publication Publication Date Title
CN113222802B (zh) 基于对抗攻击的数字图像水印方法
Ramanjaneyulu et al. Wavelet-based oblivious image watermarking scheme using genetic algorithm
Jain et al. Robust watermarking technique for textured images
Amiri et al. Robust watermarking against print and scan attack through efficient modeling algorithm
Bolourian Haghighi et al. An effective semi-fragile watermarking method for image authentication based on lifting wavelet transform and feed-forward neural network
Pakdaman et al. A prediction based reversible image watermarking in Hadamard domain
Haghighi et al. WSMN: An optimized multipurpose blind watermarking in Shearlet domain using MLP and NSGA-II
Wen et al. A new watermarking approach based on probabilistic neural network in wavelet domain
CN114998080B (zh) 人脸防篡改水印生成方法、篡改检测方法及属性检测方法
Muñoz-Ramirez et al. A robust watermarking scheme to JPEG compression for embedding a color watermark into digital images
Kumar et al. WSOmark: An adaptive dual-purpose color image watermarking using white shark optimizer and Levenberg–Marquardt BPNN
Huang et al. Robust texture-aware local adaptive image watermarking with perceptual guarantee
Mehrish et al. Joint spatial and discrete cosine transform domain-based counter forensics for adaptive contrast enhancement
CN108648130B (zh) 一种具有版权保护和篡改定位功能的全盲数字水印方法
Roy et al. A perceptual hash based blind-watermarking scheme for image authentication
Gupta et al. A survey of watermarking technique using deep neural network architecture
Yang et al. A novel robust watermarking scheme based on neural network
Ramanjaneyulu et al. An oblivious and robust multiple image watermarking scheme using genetic algorithm
CN116342362B (zh) 深度学习增强数字水印不可感知性方法
CN113034332A (zh) 不可见水印图像、后门攻击模型构建、分类方法及系统
Huynh-The et al. Robust image watermarking framework powered by convolutional encoder-decoder network
Wajid et al. Robust and imperceptible image watermarking using full counter propagation neural networks
CN111640052B (zh) 一种基于标记码的鲁棒大容量数字水印方法
CN114549271A (zh) 一种基于DCFERNet的零水印生成以及提取方法
Wang et al. Review on digital image watermarking based on singular value decomposition

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant