CN116128700B - 一种基于图像固有特征的模型水印植入和验证方法及系统 - Google Patents

一种基于图像固有特征的模型水印植入和验证方法及系统 Download PDF

Info

Publication number
CN116128700B
CN116128700B CN202310320554.9A CN202310320554A CN116128700B CN 116128700 B CN116128700 B CN 116128700B CN 202310320554 A CN202310320554 A CN 202310320554A CN 116128700 B CN116128700 B CN 116128700B
Authority
CN
China
Prior art keywords
picture
model
global feature
watermark
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310320554.9A
Other languages
English (en)
Other versions
CN116128700A (zh
Inventor
刘小垒
易鸣
丁康一
胡腾
胥迤潇
殷明勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Original Assignee
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS filed Critical COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Priority to CN202310320554.9A priority Critical patent/CN116128700B/zh
Publication of CN116128700A publication Critical patent/CN116128700A/zh
Application granted granted Critical
Publication of CN116128700B publication Critical patent/CN116128700B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T1/00General purpose image data processing
    • G06T1/0021Image watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/764Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/77Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
    • G06V10/774Generating sets of training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T2201/00General purpose image data processing
    • G06T2201/005Image watermarking

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Multimedia (AREA)
  • Image Analysis (AREA)
  • Image Processing (AREA)

Abstract

本发明公开了一种基于图像固有特征的模型水印植入和验证方法及系统,属于人工智能安全技术领域,解决现有技术使验证水印存在的方法失效的问题。本发明版权所有者选择图片的任一全局特征作为植入水印的基础,并基于选择的全局特征确定全局特征量化函数;给定阈值,并结合全局特征量化函数来构建输出结果为True或False的标准判断函数;基于全局特征量化函数和标准判断函数判断各图片对应的输出结果;若为True时,版权所有者将对应图片的原始标签y修改为验证标签,得到变更后的图片;版权所有者利用变更后的图片作为训练集训练模型,即在此训练过程中以全局特征为触发器的水印将被植入到受保护的模型中,得到训练后的模型。本发明用于模型水印植入和验证。

Description

一种基于图像固有特征的模型水印植入和验证方法及系统
技术领域
一种基于图像固有特征的模型水印植入和验证方法及系统,用于模型水印植入和验证,属于人工智能安全技术领域。
背景技术
深度神经网络在近些年来取得的成就令人瞩目,深度学习模型逐步被部署到各类关键岗位中,例如,人脸识别、自动驾驶、医疗、金融等。为了得到一个产品级的深度学习模型,开发者需要耗费大量精力进行专业领域数据的采集和标注,并使用广泛的计算资源训练深度学习模型。因此,深度学习模型也是一种有价值的知识产权,应通过技术手段来保护其不被非法复制和分发。
神经网络水印是一种保护模型知识产权的手段,在实际情况下,版权所有者大多只能通过特定API访问来验证模型的所有权,这导致黑盒水印相比于需要获取目标模型内部结构和权重的白盒水印具有更高的实用价值。在黑盒水印情况下,模型所有者构首先造具有特定输入输出对的触发集,然后训练模型以达到通过触发集验证模型所有权的目的。黑盒水印的鲁棒性相对较低,模型窃取者可利用模型蒸馏或查询修改来影响模型在触发集上的输出,从而使水印的验证方法失效。
现有技术中的黑盒水印方法的触发器大多是额外添加到正常图片上的特征,例如,以特定色块作为触发器构造触发集并结合正常数据集来训练模型以植入模型水印,当训练完毕后,输入正常图片给该模型时将得到正常的预测结果,当在图片上添触发器色块后再输入给模型时,模型将给出触发集所指定的结果,版权所有者通过验证模型在正常图片和带触发器图片上的预测结果差异来证明模型水印的存在以证明归属权。
然而上述添加触发器的黑盒水印方法的鲁棒性较低,窃取者可通过模型蒸馏或查询修改来影响模型在触发集上的输出,从而使验证方法失效。模型蒸馏是指通过教师模型指导学生模型训练的一种方法,窃取者将被窃取的模型作为教师模型,利用其在正常数据上的预测结果来训练一个功能相同的学生模型,由于正常数据中不含触发集,这将导致学生模型不会习得触发集上的特征,进而使得学生模型无法通过触发集来验证归属权。查询修改是指图片在输入给模型前会被施加一定的变换,例如旋转、添加噪声等,当带触发器的图片被施加此类变换后,模型可能无法识别出触发器特征,从而使验证方法失效。
综上所述,现有技术存在如下技术问题:
采用添加触发器的黑盒水印方法的鲁棒性较低,即窃取者可通过模型蒸馏或查询修改来影响模型在触发集上的输出,从而使验证水印存在的方法失效的技术问题。
发明内容
针对上述研究的问题,本发明的目的在于提供一种基于图像固有特征的模型水印植入和验证方法及系统,解决采用添加触发器的黑盒水印方法的鲁棒性较低,即窃取者可通过模型蒸馏或查询修改来影响模型在触发集上的输出,从而使验证水印存在的方法失效的问题。
为了达到上述目的,本发明采用如下技术方案:
一种基于图像固有特征的模型水印植入方法,包括如下步骤:
步骤1.版权所有者选择图片的任一全局特征作为植入水印的基础,并基于选择的全局特征确定全局特征量化函数,该函数的输入为图片,输出为该全局特征量化结果,其中,全局特征为图片的饱和度、对比度、亮度;
步骤2.版权所有者给定阈值,并结合全局特征量化函数来构建输出结果为的标准判断函数;
步骤3.将各图片输入全局特征量化函数,输出对应图片的全局特征量化值,并基于标准判断函数判断各图片对应的输出结果;
步骤4.若步骤3得到的输出结果为时,版权所有者将对应图片的原始标签/>修改为验证标签/>,其中,/>为标签修改函数,输出为版权所有者用于验证水印是否存在的标签,得到变更后的图片,即得到带验证标签的图片;
步骤5.版权所有者利用变更后的图片作为训练集训练模型,即在此训练过程中以全局特征为触发器的水印将被植入到受保护的模型中,得到训练后的模型,其中,模型为图像分类模型。
进一步,全局特征为对比度时,所述全局特征量化函数为:
其中,为图片/>的通道数量,/>的值为3,/>为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,/>代表图片/>中第/>个通道上像素的均值;
全局特征为图像亮度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,代表第/>行第/>列像素的亮度,其值是通过给定的比例混合三个通道颜色值得到的;
全局特征为饱和度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,代表第/>行第/>列像素的饱和度,/>为第/>行第/>列像素在三个通道中的最大值,/>为第/>行第/>列像素在三个通道中的最小值。
进一步,所述标准判断函数,输出为/>或/>,其输出结果是通过对比和/>的大小得到的,具体为:
其中,为给定的阈值。
进一步,所述步骤4中,,即:
一种基于图像固有特征的模型水印植入系统,包括:
函数确定模块:版权所有者选择图片的任一全局特征作为植入水印的基础,并基于选择的全局特征确定全局特征量化函数,该函数的输入为图片,输出为该全局特征量化结果,其中,全局特征为图片的饱和度、对比度、亮度;
标准判断函数构建模块:版权所有者给定阈值,并结合全局特征量化函数来构建输出结果为或/>的标准判断函数;
判断模块:将各图片输入全局特征量化函数,输出对应图片的全局特征量化值,并基于标准判断函数判断各图片对应的输出结果;
变更模块:若步骤3得到的输出结果为时,版权所有者将对应图片的原始标签修改为验证标签/>,其中,/>为标签修改函数,输出为版权所有者用于验证水印是否存在的标签,得到变更后的图片,即得到带验证标签的图片;
植入模块:版权所有者利用变更后的图片作为训练集训练模型,即在此训练过程中以全局特征为触发器的水印将被植入到受保护的模型中,得到训练后的模型,其中,模型为图像分类模型。
进一步,函数确定模块中,全局特征为对比度时,所述全局特征量化函数为:
其中,为图片/>的通道数量,/>为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第列像素的像素值,/>代表图片/>中第/>个通道上像素的均值;
全局特征为图像亮度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,代表第/>行第/>列像素的亮度,其值是通过给定的比例混合三个通道颜色值得到的;
全局特征为饱和度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,代表第/>行第/>列像素的饱和度,/>为第/>行第/>列像素在三个通道中的最大值,/>为第/>行第/>列像素在三个通道中的最小值。
所述标准判断函数构建模块中标准判断函数输出为或/>,其输出结果是通过对比/>和/>的大小得到的,具体为:
其中,为给定的阈值;
所述变更模块中,,即:
一种基于图像固有特征的模型水印验证方法,包括如下步骤:
步骤S1. 利用标准判断函数筛选符合且真实类别/>与/>不同的验证图片集/>,其中,“!=”表示不等于;
步骤S2.将验证集中的各图片输入给可疑模型,得到其预测结果
步骤S3.针对验证集中的图片,对/>使用图像增强手段得到增强后的图片/>,使其满足/>,然后将增强后的图片输入给可疑模型,得到其预测结果
步骤S4. 对比和/>,若验证集中的图片使得/>,则可判断可疑模型为窃取的带有水印的模型,即是基于图像固有特征的模型水印植入方法得到的模型,否则,不是。
进一步,全局特征为对比度时,所述步骤S3中的图像增强手段为伽马变换,变换后得到的中第/>通道第/>行第/>列的像素满足:
其中,表示图片,/>为变换后的图片,/>用于控制变换的强度,当/>值大于1时,即能增强输入图片的全局特征量化值;
全局特征为图像亮度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使亮度提高,当/>时将使亮度降低;
全局特征为饱和度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使饱和度提高,当/>时将使饱和度降低。
一种基于图像固有特征的模型水印验证系统,包括:
筛选模块:利用标准判断函数筛选符合且真实类别/>与/>不同的验证图片集/>,其中,“!=”表示不等于;
预测模块A:将验证集中的各图片输入给可疑模型,得到其预测结果
预测模块B:针对验证集中的图片,对/>使用图像增强手段得到增强后的图片/>,使其满足/>,然后将增强后的图片输入给可疑模型,得到其预测结果
识别模块:对比和/>,若验证集中的图片使得/>,则可判断可疑模型为窃取的带有水印的模型,即是基于图像固有特征的模型水印植入方法得到的模型,否则,不是。
进一步,所述预测模块B在全局特征为对比度时,图像增强手段为伽马变换,变换后得到的中第/>通道第/>行第/>列的像素满足:
其中,表示图片,/>为变换后的图片,/>用于控制变换的强度,当/>值大于1时,即能增强输入图片的全局特征量化值;
全局特征为图像亮度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使亮度提高,当/>时将使亮度降低;
全局特征为饱和度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使饱和度提高,当/>时将使饱和度降低。
本发明同现有技术相比,其有益效果表现在:
一、本发明提出的模型黑盒水印方法不同于之前方法之处在于,本发明以正常图像的全局固有特征作为触发器,这将使得一部分正常数据集中含有本发明的触发器,从而使得带有本发明水印的模型即使是被模型蒸馏后仍能被验证所有权;
二、本发明中水印的触发器是图片的全局特征,简单的图像变换并不会改变此类特征,进而使本发明能在查询修改后仍能被验证。
附图说明
图1为本发明中水印植入的流程示意图;
图2为本发明中水印验证的流程示意图。
具体实施方式
下面将结合附图及具体实施方式对本发明作进一步的描述。
本发明通过将图片的固有特征作为触发器来保证水印的鲁棒性,固有特征指的是能从正常图片上提取得到的一类信息,例如,图片上某一像素点的值就是这张图片的局部固有特征;图片的清晰度、饱和度等与整张图片有关的信息则是这张图片的全局固有特征。
一种基于图像固有特征的模型水印植入方法,包括如下步骤:
步骤1.版权所有者选择图片的任一全局特征作为植入水印的基础,并基于选择的全局特征确定全局特征量化函数,该函数的输入为图片,输出为该全局特征量化结果,其中,全局特征为图片的饱和度、对比度、亮度;全局特征为对比度时,所述全局特征量化函数为:
其中,为图片/>的通道数量,/>为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第列像素的像素值,/>代表图片/>中第/>个通道上像素的均值。
全局特征为图像亮度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,代表第/>行第/>列像素的亮度,其值是通过给定的比例混合三个通道颜色值得到的。
全局特征为饱和度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,代表第/>行第/>列像素的饱和度,/>为第/>行第/>列像素在三个通道中的最大值,/>为第/>行第/>列像素在三个通道中的最小值。
全局特征不同,对应的全局特征量化函数也不同。
步骤2.版权所有者给定阈值,并结合全局特征量化函数来构建输出结果为的标准判断函数;所述标准判断函数输出为/>或/>,其输出结果是通过对比和/>的大小得到的,具体为:
两种标准判断函数,根据给定的的值及全局特征进行选择适用。
其中,为给定的阈值。
步骤3.将各图片输入全局特征量化函数,输出对应图片的全局特征量化值,并基于标准判断函数判断各图片对应的输出结果;
步骤4.若步骤3得到的输出结果为时,版权所有者将对应图片的原始标签/>修改为验证标签/>,其中,/>为标签修改函数,输出为版权所有者用于验证水印是否存在的标签,得到变更后的图片,即得到带验证标签的图片;其中,/>,即:
是指对于/>中的所有/>
步骤5.版权所有者利用变更后的图片作为训练集训练模型,即在此训练过程中以全局特征为触发器的水印将被植入到受保护的模型中,得到训练后的模型,其中,模型为图像分类模型。
一种基于图像固有特征的模型水印验证方法,其特征在于,包括如下步骤:
步骤S1. 利用标准判断函数筛选符合且真实类别/>与/>不同的验证图片集/>,其中,“!=”表示不等于;
步骤S2.将验证集中的各图片输入给可疑模型,得到其预测结果
步骤S3.针对验证集中的图片,对/>使用图像增强手段得到增强后的图片/>,使其满足/>,然后将增强后的图片输入给可疑模型,得到其预测结果
全局特征为对比度时,图像增强手段为伽马变换,变换后得到的中第/>通道第/>行第/>列的像素满足
其中,原图片,/>为变换后的图片,/>用于控制变换的强度,当/>值大于1时,即能增强输入图片的全局特征量化值。
全局特征为图像亮度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使亮度提高,当/>时将使亮度降低。
全局特征为饱和度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使饱和度提高,当/>时将使饱和度降低。
其中,亮度和饱和度的增强公式是直接根据全局特征量化函数来确定的。
步骤S4. 对比和/>,若验证集中的图片使得/>,则可判断可疑模型为窃取的带有水印的模型,即是基于图像固有特征的模型水印植入方法得到的模型,否则,不是。
实施例
在人工智能安全技术领域中:
场景如下:
对于一个人工智能公司,该公司需防止其模型(例如,医疗领域辅助病情判断的模型,安防领域用于人脸识别的模型)不被竞争对手或其他未授权人员非法利用盈利,则可采用本发明方法在需保护版权的模型中植入水印,之后,若发现市面上的可疑模型,则可采用本发明中的验证方法对可疑模型进行验证,以证明归属权。
以医疗领域辅助病情判断的模型为例,当模型的版权所有者选择饱和度作为水印植入的基础时,若版权所有者怀疑市面其他辅助病情判断的模型可能是盗用的自己的模型,则利用本发明中的验证方法选择一些病情图片对可疑模型进行验证。
水印植入过程:
全局征量化函数输入为图片/>,/>的数据存储格式为/>,输出为该图片的对比度值,其计算方法如下:
其中,为图片/>的通道数量,/>为图片/>的高度(纵向像素数量),/>为图片/>的宽度(横向像素数量),/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,/>代表图片/>中第/>个通道上像素的均值,/>代表图片/>的对比度。本实施例中,阈值/>被设置为150;划分标准/>如下所示:
对于判断结果为的/>,版权所有者将其标签/>修改为目标标签/>
版权所有者利用上述变更后的训练集训练模型,在此训练过程中以全局特征为触发器的水印将被植入到模型中。
水印验证过程:
当发现可能为被窃取的可疑模型时,版权所有者可以通过如下方法来判断可疑模型中是否存在水印:
利用划分标准筛选符合/>且真实类别/>与/>不同的验证图片集;
将验证集图片输入给可疑模型,得到其预测结果;
对验证集图片使用图像增强手段来提高图片的全局特征量化值,使其满足,然年后再输入给可疑模型,得到其预测结果;在本实施例中,使用伽马变换来提高图片的对比度,使/>,即/>,伽马变换公式如下:/>
其中,为原图片,/>为变换后的图片,/>用于控制变换的强度,当/>值大于1时,上述公式可提高输入图片的对比度值;
对比和/>中的预测结果,判断可疑模型中是否存在水印:若验证集中的图片使得/>,则可判断可疑模型为窃取的带有水印的模型。
综上所述,本发明提出了一种以图像中固有特征作为触发器的模型黑盒水印方法,相比于之前的方法,其主要优点在于,本发明提出的水印的鲁棒性更高,即使对添加了本方法水印的模型实施模型蒸馏或者查询修改后,本发明的验证方法依然有效。
因此,采用上述得到的模型进行正常图片预测结果,预测得到的精确度高。
以上仅是本发明众多具体应用范围中的代表性实施例,对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案,均落在本发明权利保护范围之内。

Claims (10)

1.一种基于图像固有特征的模型水印植入方法,其特征在于,包括如下步骤:
步骤1.版权所有者选择图片的任一全局特征作为植入水印的基础,并基于选择的全局特征确定全局特征量化函数,该函数的输入为图片,输出为该全局特征量化结果,其中,全局特征为图片的饱和度、对比度、亮度;
步骤2.版权所有者给定阈值,并结合全局特征量化函数来构建输出结果为的标准判断函数;
步骤3.将各图片输入全局特征量化函数,输出对应图片的全局特征量化值,并基于标准判断函数判断各图片对应的输出结果;
步骤4.若步骤3得到的输出结果为时,版权所有者将对应图片的原始标签/>修改为验证标签/>,其中,/>为标签修改函数,输出为版权所有者用于验证水印是否存在的标签,得到变更后的图片,即得到带验证标签的图片;
步骤5.版权所有者利用变更后的图片作为训练集训练模型,即在此训练过程中以全局特征为触发器的水印将被植入到受保护的模型中,得到训练后的模型,其中,模型为图像分类模型。
2.根据权利要求1所述的一种基于图像固有特征的模型水印植入方法,其特征在于,全局特征为对比度时,所述全局特征量化函数为:
其中,为图片/>的通道数量,/>的值为3,/>为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第行第/>列像素的像素值,/>代表图片/>中第/>个通道上像素的均值;
全局特征为图像亮度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,/>代表第/>行第/>列像素的亮度,其值是通过给定的比例混合三个通道颜色值得到的;
全局特征为饱和度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,/>代表第/>行第/>列像素的饱和度,/>为第/>行第/>列像素在三个通道中的最大值,为第/>行第/>列像素在三个通道中的最小值。
3.根据权利要求2所述的一种基于图像固有特征的模型水印植入方法,其特征在于,所述标准判断函数,输出为/>或/>,其输出结果是通过对比/>和/>的大小得到的,具体为:
其中,为给定的阈值。
4.根据权利要求3所述的一种基于图像固有特征的模型水印植入方法,其特征在于,所述步骤4中,,即:
5.一种基于图像固有特征的模型水印植入系统,其特征在于,包括:
函数确定模块:版权所有者选择图片的任一全局特征作为植入水印的基础,并基于选择的全局特征确定全局特征量化函数,该函数的输入为图片,输出为该全局特征量化结果,其中,全局特征为图片的饱和度、对比度、亮度;
标准判断函数构建模块:版权所有者给定阈值,并结合全局特征量化函数来构建输出结果为或 />的标准判断函数;
判断模块:将各图片输入全局特征量化函数,输出对应图片的全局特征量化值,并基于标准判断函数判断各图片对应的输出结果;
变更模块:若步骤3得到的输出结果为时,版权所有者将对应图片的原始标签/>修改为验证标签/>,其中,/>为标签修改函数,输出为版权所有者用于验证水印是否存在的标签,得到变更后的图片,即得到带验证标签的图片;
植入模块:版权所有者利用变更后的图片作为训练集训练模型,即在此训练过程中以全局特征为触发器的水印将被植入到受保护的模型中,得到训练后的模型,其中,模型为图像分类模型。
6.根据权利要求5所述的一种基于图像固有特征的模型水印植入系统,其特征在于,函数确定模块中,全局特征为对比度时,所述全局特征量化函数为:
其中,为图片/>的通道数量,/>的值为3,/>为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第行第/>列像素的像素值,/>代表图片/>中第/>个通道上像素的均值;
全局特征为图像亮度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,/>代表第/>行第/>列像素的亮度,其值是通过给定的比例混合三个通道颜色值得到的;
全局特征为饱和度时,全局特征量化函数为:
其中,为图片/>的高度,即图片每个通道中都有/>行像素,/>为图片/>的宽度,即图片每个通道中都有/>列像素,/>代表图片/>中第/>个通道上第/>行第/>列像素的像素值,/>代表第/>行第/>列像素的饱和度,/>为第/>行第/>列像素在三个通道中的最大值,为第/>行第/>列像素在三个通道中的最小值;
所述标准判断函数构建模块中标准判断函数输出为或/>,其输出结果是通过对比/>和/>的大小得到的,具体为:
其中,为给定的阈值;
所述变更模块中,,即:
7.根据权利要求4所述的一种基于图像固有特征的模型水印植入方法的水印验证方法,其特征在于,包括如下步骤:
步骤S1. 利用标准判断函数筛选符合且真实类别/>与/>不同的验证图片集/>,其中,“!=”表示不等于;
步骤S2.将验证集中的各图片输入给可疑模型,得到其预测结果/>
步骤S3.针对验证集中的图片,对/>使用图像增强手段得到增强后的图片/>,使其满足/>,然后将增强后的图片输入给可疑模型,得到其预测结果
步骤S4. 对比和/>,若验证集中的图片使得/>,则可判断可疑模型为窃取的带有水印的模型,即是基于图像固有特征的模型水印植入方法得到的模型,否则,不是。
8.根据权利要求7所述的水印验证方法,其特征在于,全局特征为对比度时,所述步骤S3中的图像增强手段为伽马变换,变换后得到的中第/>通道第/>行第/>列的像素满足:
其中,表示图片,/>为变换后的图片,/>用于控制变换的强度,当/>值大于1时,即能增强输入图片的全局特征量化值;
全局特征为图像亮度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使亮度提高,当/>时将使亮度降低;
全局特征为饱和度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使饱和度提高,当/>时将使饱和度降低。
9.一种根据权利要求6所述的一种基于图像固有特征的模型水印植入系统的水印验证系统,其特征在于,包括:
筛选模块:利用标准判断函数筛选符合且真实类别/>与/>不同的验证图片集/>,其中,“!=”表示不等于;
预测模块A:将验证集中的各图片输入给可疑模型,得到其预测结果
预测模块B:针对验证集中的图片,对/>使用图像增强手段得到增强后的图片/>,使其满足/>,然后将增强后的图片输入给可疑模型,得到其预测结果
识别模块:对比和/>,若验证集中的图片使得/>,则可判断可疑模型为窃取的带有水印的模型,即是基于图像固有特征的模型水印植入方法得到的模型,否则,不是。
10.根据权利要求9所述的水印验证系统,其特征在于,所述预测模块B在全局特征为对比度时,图像增强手段为伽马变换,变换后得到的中第/>通道第/>行第/>列的像素满足:
其中,表示图片,/>为变换后的图片,/>用于控制变换的强度,当/>值大于1时,即能增强输入图片的全局特征量化值;
全局特征为图像亮度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使亮度提高,当/>时将使亮度降低;
全局特征为饱和度时,记增强后的图片为,对于/>中的每个像素,满足:
时将使饱和度提高,当/>时将使饱和度降低。
CN202310320554.9A 2023-03-29 2023-03-29 一种基于图像固有特征的模型水印植入和验证方法及系统 Active CN116128700B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310320554.9A CN116128700B (zh) 2023-03-29 2023-03-29 一种基于图像固有特征的模型水印植入和验证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310320554.9A CN116128700B (zh) 2023-03-29 2023-03-29 一种基于图像固有特征的模型水印植入和验证方法及系统

Publications (2)

Publication Number Publication Date
CN116128700A CN116128700A (zh) 2023-05-16
CN116128700B true CN116128700B (zh) 2023-09-12

Family

ID=86295817

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310320554.9A Active CN116128700B (zh) 2023-03-29 2023-03-29 一种基于图像固有特征的模型水印植入和验证方法及系统

Country Status (1)

Country Link
CN (1) CN116128700B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001203885A (ja) * 2000-01-18 2001-07-27 Canon Inc 画像処理装置およびその方法、並びに、記録媒体
KR20020005805A (ko) * 2000-07-10 2002-01-18 김회율 블록 기반 웨이블릿 변환을 이용한 워터마킹 방법
CN110610082A (zh) * 2019-09-04 2019-12-24 笵成科技南京有限公司 一种基于dnn用于护照抵御模糊攻击的系统与方法
CN111292219A (zh) * 2018-11-21 2020-06-16 慧盾信息安全科技(苏州)股份有限公司 一种针对图片图像数据隐性水印的实现方法
CN112132733A (zh) * 2020-09-22 2020-12-25 厦门大学嘉庚学院 基于混沌的智能模型黑盒水印触发集自动标注算法
CN115482139A (zh) * 2022-07-23 2022-12-16 厦门大学嘉庚学院 一种可溯源的深度学习模型黑盒水印方案
WO2023041212A1 (en) * 2021-09-20 2023-03-23 Continental Automotive Technologies GmbH Method of verification for machine learning models

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001203885A (ja) * 2000-01-18 2001-07-27 Canon Inc 画像処理装置およびその方法、並びに、記録媒体
KR20020005805A (ko) * 2000-07-10 2002-01-18 김회율 블록 기반 웨이블릿 변환을 이용한 워터마킹 방법
CN111292219A (zh) * 2018-11-21 2020-06-16 慧盾信息安全科技(苏州)股份有限公司 一种针对图片图像数据隐性水印的实现方法
CN110610082A (zh) * 2019-09-04 2019-12-24 笵成科技南京有限公司 一种基于dnn用于护照抵御模糊攻击的系统与方法
CN112132733A (zh) * 2020-09-22 2020-12-25 厦门大学嘉庚学院 基于混沌的智能模型黑盒水印触发集自动标注算法
WO2023041212A1 (en) * 2021-09-20 2023-03-23 Continental Automotive Technologies GmbH Method of verification for machine learning models
CN115482139A (zh) * 2022-07-23 2022-12-16 厦门大学嘉庚学院 一种可溯源的深度学习模型黑盒水印方案

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A new approach to adapt and insert a watermark in color images;Illhem等;《2007 IEEE international conference on signal processing and communication》;全文 *

Also Published As

Publication number Publication date
CN116128700A (zh) 2023-05-16

Similar Documents

Publication Publication Date Title
Li et al. How to prove your model belongs to you: A blind-watermark based framework to protect intellectual property of DNN
Zhao et al. Seeing isn't believing: Towards more robust adversarial attack against real world object detectors
Verdoliva Media forensics and deepfakes: an overview
Jia et al. Adv-watermark: A novel watermark perturbation for adversarial examples
Mahto et al. A survey of color image watermarking: State-of-the-art and research directions
CN110472519B (zh) 一种基于多模型的人脸活体检测方法
Chinomi et al. PriSurv: Privacy protected video surveillance system using adaptive visual abstraction
US11188679B2 (en) Method and system for privacy compliant data recording
CN109919303B (zh) 一种深度神经网络的知识产权保护方法、系统及终端
CN110727928B (zh) 一种基于深度强化学习优化的3d视频版权综合保护方法
CN115828188A (zh) 一种防御替代模型攻击的可验证dnn模型版权的方法
CN116128700B (zh) 一种基于图像固有特征的模型水印植入和验证方法及系统
CN117436077B (zh) 一种基于图像隐写的联邦学习后门攻击方法
Fragoso-Navarro et al. Seam Carving based visible watermarking robust to removal attacks
CN109544438A (zh) 一种基于神经网络与dct变换的数字水印方法
CN117291786A (zh) 一种无需第三方认证的dnn模型后门水印方法
Conotter Active and passive multimedia forensics
CN106303756A (zh) 一种用于视频版权保护的方法及装置
CN114630130B (zh) 一种基于深度学习的换脸视频溯源方法及系统
Koshy et al. Video forgery detection using CNN
Liang et al. BHI: Embedded invisible watermark as adversarial example based on Basin-Hopping improvement
CN112019700B (zh) 一种防止载密图像被检测的方法、智能终端及存储介质
Agrawal De-identification for privacy protection in surveillance videos
Kunhu et al. A novel reversible watermarking scheme based on sha3 for copyright protection and integrity of satellite imagery
CN108765256A (zh) 基于人类视觉掩盖的一种dct变换的数字水印嵌入方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant