CN115018688A - 一种基于dct系数的生成网络模型水印方法及应用 - Google Patents

Abstract

本发明公开了一种基于DCT系数的生成网络模型水印方法，包括如下步骤：步骤1、创建训练图像数据集；步骤2、利用DCT变换在训练图像中嵌入不可见图像水印，步骤2.1、读取RGB图像为32*32*3的矩阵，提取图像中的蓝色通道B，即其中32*32*1的部分矩阵；步骤2.2、将训练图像在蓝色通道B中分割为大小为2*2的分块；步骤2.3、对每一个2*2方块进行DCT变换后在用水印的值乘以10后覆盖方块右下角的值，嵌入一位水印；步骤2.4、对2*2方块进行逆DCT变化，并更新原方块的值；步骤3、将步骤2中的带有不可见水印的训练图像投入生成图像任务的神经网络中训练，得到带水印的网络模型。该方法在神经网络模型的原始损失上加上水印损失，同时处理训练集图像，在训练集图像中嵌入DCT水印。

Description

一种基于DCT系数的生成网络模型水印方法及应用

技术领域

本发明涉及人工智能安全技术领域，具体指一种基于DCT系数的生成网络模型水印方法及应用。

背景技术

伴随着人工智能应用于越来越多的领域，人工智能产业化在迅速发展。看似高端的人工智能技术已经在不知不觉中走进了我们的生活，越来越多的设备和应用中搭载了人工智能技术，例如物体识别，人脸识别，智能翻译，图像恢复等功能。随着设备计算能力的提高和5G的发展，我们可以在手机上使用到这些AI的服务。然而这些服务都是建立在以神经网络模型为代表的人工智能中，所以如何保证神经网络模型的安全和保护神经网络模型的版权成为了一个迫切的问题。

人工智能是新一轮科技革命和产业变革的重要驱动力量，如何保证它蓬勃健康的发展是我们需要关注的。一个神经网络模型的功能和准确性都是建立在模型所有者对模型结构和模型训练不断探索研究的努力中，同时一个模型的训练也需要花费大量的资源和时间，所以模型需要得到版权保护，避免它被以不正当手段盗取，使得攻击者谋取非法利益。人工智能安全作为网络安全的一部分，有很多的研究人员对此展开了研究。在不影响其原本性能的基础上嵌入隐秘信息到模型载体中，从而达到模型保护的作用。

目前在人工智能模型水印研究方面还有许多问题亟待解决，例如：1)模型取证困难，大多数方法都需要访问模型的参数或者需要控制模型的输入来获取水印2)大部分的模型水印都是针对分类神经网络模型，对于生成性网络模型的适用性不高，还需要更深入的研究3)模型水印的鲁棒性不强，嵌入的方式相对单一。人工智能模型水印的持续研究，有利于降低人工智能安全风险，确保网络空间的和谐，稳定和安全。

在人工智能模型水印的研究中，大部分的水印方案可以分为两类，即白盒水印和黑盒水印。白盒水印是依赖于模型参数的水印嵌入方法，这种在模型参数中携带水印信息的方法虽然能够提取的水印能够达到很好的准确率，但是它要求验证者能够获取整个模型的参数，在取证过程中有一定难度。黑盒水印使用预定义的输入作为触发器控制模型的输出即在模型中插入后门集，能够根据触发器的内容输入触发模型的一些特定的输出，这种方法不需要访问整个模型的参数，更容易取证，但是这种方法也要求我们能够对模型有一些特殊的输入。根据近几年新提出的无盒水印方法，所以我们提出了一种基于DCT系数的生成网络模型水印。尽管目前已经提出了一些有效的无盒水印方法，但是大多数方法都是通过另外训练一个新的网络来嵌入和提取水印，需要占用额外的训练资源。我们提出的方法是在模型训练过程中训练水印嵌入方法，使模型水印能够更加轻量化。

发明内容

针对现有技术的不足，本发明提出了基于DCT系数的生成网络模型水印方法及应用，在神经网络模型的原始损失上加上水印损失，同时处理训练集图像，在训练集图像中嵌入DCT水印。这样在保证原始模型任务的同时，神经网络能够学习如何嵌入DCT水印，从而使模型水印能够更加轻量化。

为了解决上述技术问题，本发明的技术方案为：

一种基于DCT系数的生成网络模型水印方法，包括如下步骤：

步骤1、创建训练图像数据集；

步骤2、利用DCT变换在训练图像中嵌入不可见图像水印

步骤2.1、读取RGB图像为32*32*3的矩阵，提取图像中的蓝色通道B，即其中32*32*1的部分矩阵；

步骤2.2、将训练图像在蓝色通道B中分割为大小为2*2的分块；

步骤2.3、对每一个2*2方块进行DCT变换后在用水印的值乘以10后覆盖方块右下角的值，嵌入一位水印；

步骤2.4、对2*2方块进行逆DCT变化，并更新原方块的值；

步骤3、将步骤2中的带有不可见水印的训练图像投入生成图像任务的神经网络中训练，得到带水印的网络模型。

作为优选，所述步骤2还包括步骤2.5、重复步骤2.3和步骤2.4，直至嵌入水印长度为256位。

作为优选，所述步骤2.3中生成的每一张训练图像中都包含有可提取的不可见水印。

作为优选，步骤3具体实现如下：

步骤3.1、将含有不可见水印的训练图像打包为tfrecords文件用作生成图像任务的神经网络的训练，在学习原始任务的同时学习嵌入不可见水印；

步骤3.2、初始化神经网络的参数；

步骤3.3、训练神经网络，在原始任务损失的基础上加上模型水印的损失L_wm，减少提取的水印和目标水印之间的距离。

其中，α表示水印的影响系数，X表示网络生成数据的分布，key表示水印密钥，w_o表示原水印；

步骤3.4、经过n轮训练后得到可生成带水印的网络模型。

作为优选，所述步骤3.1中用于训练的神经网络采用ProGAN模型。

本发明还公开了一种基于DCT的生成网络模型水印方法的应用，其特征在于，当带水印的网络模型的所有权产生争议的时候，验证者只需要收集由该带水印的网络模型生成的图像，并用DCT水印提取算法提取图像中的不可见水印，并与持有水印进行比对，如果比对成功就能证明模型的所有权归属。

本发明具有以下的特点和有益效果：

1、能够根据收集到的生成图像判断该模型的所有权，不需要依赖模型的输入也不需要访问模型本身的参数，从而大大降低了模型取证的难度。

2、模型水印利用不可见水印机制保护网络模型和输出的图像，只有密钥的所有者才能够提取水印，有效降低了人工智能安全风险，确保网络空间的和谐，稳定和安全。

3、该方法可以应用于不同的图像生成任务的神经网络，不需要修改原网络的结构同时不影响模型性能，使得模型水印更加轻量化。

4、综上可以看出，该方法不仅能够降低取证难度，高效的提取水印，并能够确保提取水印的准确率，另外提出在模型训练过程中训练水印嵌入方法，使模型水印能够更加轻量化。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中含不可见水印的训练集生成和模型水印嵌入的框架图。

图2为本发明实施例中DCT不可见水印嵌入的流程图。

图3为本发明实施例中DCT不可见水印提取的流程图。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本发明中的具体含义。

本发明提供了一种基于DCT系数的生成网络模型水印方法，如图1所示，包括如下步骤：

步骤1、创建训练图像数据集。

本实施例中，训练图像数据集采用danbooru图像库中的7万张图像，并全部转为PNG图像作为本实施例中的训练图像数据集。

步骤2、利用DCT变换在训练图像中嵌入不可见图像水印

具体的，如图2所示，包括如下步骤：

步骤2.1、读取RGB图像为32*32*3的矩阵，提取图像中的蓝色通道B，即其中32*32*1的部分矩阵；

步骤2.2、将训练图像在蓝色通道B中分割为大小为2*2的分块；

步骤2.3、对每一个2*2方块进行DCT变换后在用水印的值乘以10后覆盖方块右下角的值，嵌入一位水印，生成的每一张训练图像中都包含有可提取的不可见水印；

步骤2.4、对2*2方块进行逆DCT变化，并更新原方块的值，其中所更新的原方块的值即步骤2.2中的大小为2*2的分块；

步骤2.5、重复步骤2.3和步骤2.4，直至嵌入水印长度为256位。

需要说明的是，其中水印签名即嵌入的不可见图像水印，是通过密钥作为随机数组种子生成长度为256的密钥数组，64*64的水印图像经过双线性插值拓展为256*256后通过奇异值分解，求均值等操作后提取出图像中的特征与密钥数组进行异或操作得到水印签名。

步骤3、将步骤2中的带有不可见水印的训练图像投入生成图像任务的神经网络中训练，得到带水印的网络模型。

具体的，步骤3具体实现如下：

步骤3.1、将含有不可见水印的训练图像打包为tfrecords文件用作生成图像任务的神经网络的训练，在学习原始任务的同时学习嵌入不可见水印；

步骤3.2、初始化神经网络的参数；

步骤3.3、训练神经网络，在原始任务损失的基础上加上模型水印的损失L_wm，减少提取的水印和目标水印之间的距离。

其中，α表示水印的影响系数，X表示网络生成数据的分布，key表示水印密钥，w_o表示原水印；

上述技术方案中，考虑到嵌入水印的任务，通过在原始任务损失的基础上加上模型水印的损失L_wm，使生成图像的质量能够达到更好。

步骤3.4、经过n轮训练后得到可生成带水印的网络模型。

本实施例中训练的次数n不少与1000次。

进一步的，所述步骤3.1中用于训练的神经网络采用ProGAN模型。

可以理解的，ProGAN模型是一种渐进式生成高分辨率图像表现优秀的训练模型，其损失函数使用WGAN-GP损失和ACGAN损失，学习率设置为0.001，优化器使用Adam优化器，随机初始向量呈标准正态分布。

本发明还公开了一种基于DCT的生成网络模型水印方法的应用，如图3所示，当带水印的网络模型的所有权产生争议的时候，验证者只需要收集由该带水印的网络模型生成的图像，并用DCT水印提取算法提取图像中的不可见水印，并与持有水印进行比对，如果比对成功就能证明模型的所有权归属。

需要说明的是，DCT水印提取算法如图3中DCT水印提取过程所示，对载体图像进行RGB分离，提取蓝色通道图像，对图像进行分块，定位信息存储点提取水印信息，用归一化相关系数NC计算提取的水印信息和原水印图像的相似度。

以上结合附图对本发明的实施方式作了详细说明，但本发明不限于所描述的实施方式。对于本领域的技术人员而言，在不脱离本发明原理和精神的情况下，对这些实施方式包括部件进行多种变化、修改、替换和变型，仍落入本发明的保护范围内。

Claims (6)

1.一种基于DCT系数的生成网络模型水印方法，其特征在于，包括如下步骤：

步骤1、创建训练图像数据集；

步骤2、利用DCT变换在训练图像中嵌入不可见图像水印

步骤2.1、读取训练图像为32*32*3的矩阵，提取图像中的蓝色通道B，即其中32*32*1的部分矩阵；；

步骤2.2、将训练图像在蓝色通道B中分割为大小为2*2的分块；

步骤2.3、对每一个2*2方块进行DCT变换后在用水印的值乘以10后覆盖方块右下角的值，嵌入一位水印，生成的每一张训练图像中都包含有可提取的不可见水印；

步骤2.4、对2*2方块进行逆DCT变化，并更新原方块的值；

步骤3、将步骤2中的带有不可见水印的训练图像投入生成图像任务的神经网络中训练，得到带水印的网络模型。

2.根据权利要求1所述的一种基于DCT的生成网络模型水印方法，其特征在于，所述步骤2还包括步骤2.5、重复步骤2.3和步骤2.4，直至嵌入水印长度为256位。

3.根据权利要求2所述的一种基于DCT系数的生成网络模型水印方法，其特征在于，所述步骤2.3中生成的每一张训练图像中都包含有可提取的不可见水印。

4.根据权利要求1所述的一种基于DCT的生成网络模型水印方法，其特征在于，步骤3具体实现如下：

步骤3.1、将含有不可见水印的训练图像打包为tfrecords文件用作生成图像任务的神经网络的训练，在学习原始任务的同时学习嵌入不可见水印；

步骤3.2、初始化神经网络的参数；

步骤3.3、训练神经网络，在原始任务损失的基础上加上模型水印的损失L_wm，减少提取的水印和目标水印之间的距离。

其中，α表示水印的影响系数，X表示网络生成数据的分布，key表示水印密钥，w_o表示原水印；

步骤3.4、经过n轮训练后得到可生成带水印的网络模型。

5.根据权利要求4所述的一种基于DCT的生成网络模型水印方法，其特征在于，所述步骤3.1中用于训练的神经网络采用ProGAN模型。

6.一种根据权利要求1-5任意一项所述基于DCT的生成网络模型水印方法的应用，其特征在于，当带水印的网络模型的所有权产生争议的时候，验证者只需要收集由该带水印的网络模型生成的图像，并用DCT水印提取算法提取图像中的不可见水印，并与持有水印进行比对，如果比对成功就能证明模型的所有权归属。

Images