CN117473469B - 一种模型水印嵌入方法、装置、电子设备及存储介质 - Google Patents

一种模型水印嵌入方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN117473469B
CN117473469B CN202311824447.6A CN202311824447A CN117473469B CN 117473469 B CN117473469 B CN 117473469B CN 202311824447 A CN202311824447 A CN 202311824447A CN 117473469 B CN117473469 B CN 117473469B
Authority
CN
China
Prior art keywords
image
watermark
model
loss function
optimized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311824447.6A
Other languages
English (en)
Other versions
CN117473469A (zh
Inventor
滕寰
梁铭炬
刘彬
全宇晖
卢新昌
许晓珊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Foshan Lianchuang Engineering Graduate School
South China University of Technology SCUT
Original Assignee
Guangdong Foshan Lianchuang Engineering Graduate School
South China University of Technology SCUT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Foshan Lianchuang Engineering Graduate School, South China University of Technology SCUT filed Critical Guangdong Foshan Lianchuang Engineering Graduate School
Priority to CN202311824447.6A priority Critical patent/CN117473469B/zh
Publication of CN117473469A publication Critical patent/CN117473469A/zh
Application granted granted Critical
Publication of CN117473469B publication Critical patent/CN117473469B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/0464Convolutional networks [CNN, ConvNet]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T1/00General purpose image data processing
    • G06T1/0021Image watermarking
    • G06T1/005Robust watermarking, e.g. average attack or collusion attack resistant

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Editing Of Facsimile Originals (AREA)
  • Image Processing (AREA)

Abstract

本发明提供了一种模型水印嵌入方法、装置、电子设备及存储介质,通过将一初始图像进行图像优化处理,以获得嵌入水印前的水印模型无法复原的优化图像,即在嵌入水印之前的水印模型无法将经过退化处理的优化图像复原为优化图像。将优化图像及退化处理后的优化图像分别作为嵌入数据中的水印图像和触发图像,并嵌入水印模型中。使得嵌入水印后的水印模型能够将经过退化处理的优化图像复原为优化图像。因此,用于水印覆盖攻击的攻击嵌入数据在水印模型中新生成的攻击映射将与水印模型中原有嵌入数据的映射的差异足够大,进而使得攻击映射无法覆盖水印模型中原有嵌入数据的映射,有效地增强了模型水印的鲁棒性,进而增强了对模型知识产权的保护。

Description

一种模型水印嵌入方法、装置、电子设备及存储介质
技术领域
本发明涉及数字水印嵌入技术领域,尤其涉及一种模型水印嵌入方法、装置、电子设备及存储介质。
背景技术
近年来,人工智能与深度学习已经取得了在图像复原任务中的显著进展。具体包括图像去噪、图像超分辨率、图像去模糊、低光图像增强、图像去雨等。这些模型通常需要大量的训练数据、计算资源、人力成本等,它们的训练代价十分高昂。许多组织和个人投入了大量的时间、资源和研发成本来训练这些图像复原模型。因此,保护这些模型的知识产权对于确保研究机构和企业的商业价值非常重要。由于模型的知识产权价值巨大,存在未经授权使用和盗用的风险。黑客、竞争对手或其他恶意方可能会尝试复制、分发或滥用这些模型,从而损害模型创建者的权益。因此,用于确保研究机构和企业的商业价值的模型水印保护技术得到了飞快的发展。
而现有的模型水印保护技术,主要分为白盒水印方法和黑盒水印方法,当前较为流行黑盒水印方法,一般黑盒方法会定义好“触发数据”与“水印数据”对,在微调模型并后门嵌入该“触发-水印”数据对后,验证时,仅需把触发数据输入到模型中,即可得到水印数据。而针对当前的黑盒水印方法,模型窃取者通常采用水印覆盖攻击,即:通过提取并分析模型嵌入的“触发-水印”数据对,在模型上再次嵌入其他水印,干扰或覆盖模型原有的“触发-水印”数据对的映射,进而来达到窃取模型的目的。因此,亟需一种鲁棒性更强的模型水印嵌入方法来防止模型被非法窃取,进而增强对模型知识产权的保护。
发明内容
本发明实施例提供一种模型水印嵌入方法、装置、电子设备及存储介质,能有效增强模型水印的鲁棒性,进而增强对模型知识产权的保护
本发明一实施例提供了一种模型水印嵌入方法,包括:
获取用于图像优化处 理的水印模型;
获取一初始图像;
根据所述水印模型的图像优化任务过程,构建一图像退化任务;
对所述初始图像重复执行图像优化操作,直至图像优化损失函数收敛,以使最后一次图像优化操作生成的优化图像和复原图像之间的差异最大化;
将所述最后一次图像优化操作生成的优化图像作为水印图像,并采用所述图像退化任务对所述水印图像进行退化处理,生成触发图像;
根据所述水印图像以及所述触发图像构建嵌入数据,并将所述嵌入数据嵌入所述水印模型中,以使所述水印模型在接收到所述触发图像时,输出所述水印图像;
其中,所述图像优化操作,包括:
获取待优化图像;其中,初始时的待优化图像为所述初始图像;
采用所述图像退化任务对所述待优化图像进行退化处理,生成退化图像;
采用所述水印模型对所述退化图像进行图像复原,并输出复原图像;
根据所述待优化图像与所述复原图像之间的相似度,修改所述待优化图像的图像参数,生成优化图像;
判断图像优化损失函数是否收敛;
在确定所述图像优化损失函数不收敛时,将所述优化图像作为下一次图像优化操作所需的待优化图像。
进一步的,所述将所述嵌入数据嵌入所述水印模型中,以使所述水印模型在接收到所述触发图像时,输出所述水印图像,包括:
获取所述水印模型在训练时使用的若干训练样本;
采用所述嵌入数据与若干所述训练样本,对所述水印模型进行训练,直至嵌入损失函数收敛,以使所述水印模型在接收到所述触发图像时,输出所述水印图像。
进一步的,所述获取一初始图像,包括:
生成每个像素点均满足同一随机分布类型的一张噪声图像,并对所述噪声图像进行随机采样,生成所述初始图像。
进一步的,所述获取一初始图像,包括:
从预设的图像获取途径中,随机抽取一张图片,作为所述初始图像。
进一步的,根据所述水印模型的图像优化任务过程,制定一图像退化任务,包括:
将所述水印模型的图像优化任务,拆分为若干图像优化子任务;
根据所述图像优化子任务,构建若干图像退化子任务;其中,所述图像退化子任务对图像的处理效果,与所述图像优化子任务对图像的处理效果完全相反;
根据所述水印模型的图像优化任务过程的完全逆向过程,组合所述图像退化子任务,构建所述图像退化任务。
进一步的,所述图像优化损失函数,由参数优化损失函数以及第一约束损失函数构成;
所述参数优化损失函数,为:
;
其中,为参数优化损失函数,/>为待优化图像,/>为退化图像,为复原图像;
所述第一约束损失函数,为:
+/>+q/>
其中,为第一约束损失函数,/>为能量损失函数,/>为全变分损失函数,/>为均值固定损失函数,/>为标准差固定函数,n、m、p、q均为各项损失函数的权重。
进一步的,所述嵌入损失函数,由水印损失函数以及第二约束损失函数构成;
所述水印损失函数,为:
其中,为水印损失函数,/>为水印图像,/>为触发图像,M(/>)为所述触发图像经过所述水印模型复原后的图像;
所述第二约束损失函数,为:
其中,为第二约束损失函数,/>为所述训练样本的数量,/>为所述训练样本的输入样本,/>为所述输入样本对应的标签,/>为所述水印模型在训练时的损失函数。
本发明另一实施例提供了一种模型水印嵌入装置,包括:
水印模型获取模块,用于获取用于图像优化处理的水印模型;
初始图像获取模块,用于获取一初始图像;
退化任务生成模块,用于根据所述水印模型的图像优化任务过程,构建一图像退化任务;
图像优化模块,用于对所述初始图像重复执行图像优化操作,直至图像优化损失函数收敛,以使最后一次图像优化操作生成的优化图像和复原图像之间的差异最大化;
触发图像生成模块,用于采用所述图像退化任务对所述优化图像进行退化处理,生成触发图像;
嵌入数据生成模块,用于将所述最后一次图像优化操作生成的优化图像作为水印图像,并采用所述图像退化任务对所述水印图像进行退化处理,生成触发图像;
水印嵌入模块,用于根据所述水印图像以及所述触发图像构建嵌入数据,并将所述嵌入数据嵌入所述水印模型中,以使所述水印模型在接收到所述触发图像时,输出所述水印图像;
其中,所述图像优化操作,包括:
获取待优化图像;其中,初始时的待优化图像为所述初始图像;
采用所述图像退化任务对所述待优化图像进行退化处理,生成退化图像;
采用所述水印模型对所述退化图像进行图像复原,并输出复原图像;
根据所述待优化图像与所述复原图像之间的相似度,修改所述待优化图像的图像参数,生成优化图像;
判断图像优化损失函数是否收敛;
在确定所述图像优化损失函数不收敛时,将所述优化图像作为下一次图像优化操作所需的待优化图像。
本发明另一实施例提供了一种电子设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上述任意一项发明实施例所述的一种模型水印嵌入方法。
本发明另一实施例提供了一种存储介质,所述存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述存储介质所在设备执行如上述任意一项发明实施例所述的一种模型水印嵌入方法。
通过实施本发明具有如下有益效果:
本发明提供了一种模型水印嵌入方法、装置、电子设备及存储介质,所述方法通过在向水印模型嵌入水印数据之前,将欲嵌入所述水印模型的初始图像进行图像优化处理,以使最终得到的水印图像,与依次经过退化处理和水印模型优化的水印图像所生成的复原图像之间的差异最大化。并将经过退化处理的水印图像作为触发图像,以此来构建嵌入模型的嵌入数据。本发明通过将水印图像,与依次经过退化处理和水印模型优化处理的复原图像之间的差异最大化,使得嵌入水印前的水印模型无法将退化后的水印图像复原为原来的水印图像,因此,使得根据模型原有的嵌入数据构建的用于水印覆盖攻击的攻击嵌入数据的映射,无法覆盖模型原有的嵌入数据的映射,有效地增强了模型水印的鲁棒性,进而增强了对模型知识产权的保护。
附图说明
图1是本发明一实施例提供的一种模型水印嵌入方法的流程示意图。
图2是本发明一实施例提供的水印图像的示意图;
图3是本发明一实施例提供的一种模型水印验证方法的流程示意图。
图4是本发明一实施例提供的一种模型水印嵌入装置的结构示意图
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,是本发明一实施例提供的一种模型水印嵌入方法的流程示意图,包括:
S1、获取用于图像优化处理的水印模型;
在本发明一优选的实施例中,获取一具备对输入图像依次进行提高图像分辨率、降低图像噪声、以及提高图像清晰度功能的,待嵌入水印的神经网络模型,作为所述水印模型。
容易理解的是,还可以将具备一个或多个图像优化功能的神经网络模型作为所述水印模型。所述图像优化功能,为能够提高图像质量的功能,例如:提高图像亮度、提高图像对比度、降低图像噪声、提高图像清晰度、提高图像分辨率等等。
S2、获取一初始图像;
在本发明一优选的实施例中,初始图像为用于构建嵌入水印模型的嵌入数据的一张图像,需要说明的是,所述初始图像可以为,噪声图像、logo、自然图像等等。
优选的,所述获取一初始图像,包括:
随机生成每个像素点均满足同一随机分布类型的一张噪声图像,并对所述噪声图像进行随机采样,生成所述初始图像。
在本发明一优选的实施例中,可以通过程序自定义一种随机分布类型来生成一张噪声图像,并采用随机函数对所述噪声图像进行采样,生成一张符合水印模型输入图片尺寸的图像作为所述初始图像。容易理解的是,所述随机分布类型,包括但不限于,高斯分布、均匀分布、或伯努利分布。
优选的,所述获取一初始图像,包括:
从预设的图像获取途径中,随机抽取一张图片,作为所述初始图像。
在本发明一优选的实施例中,还预设了几种图像获取途径,例如:自定义图像库、互联网、以及摄影集等等,随机获取一张现成的图片,作为所述初始图像。
容易理解的是,所述初始图像的获取方法,可以自定义选择,采用生成噪声图像的方法,或采用随机从预设途径中抽取图像的方法。
S3、根据所述水印模型的图像优化任务过程,构建一图像退化任务;
在本发明一优选的实施例中,基于水印模型的图像优化功能,构建一个与水印模型的图像优化功能以及优化过程完全相反的图像退化任务。
优选的,根据所述水印模型的图像优化任务过程,制定一图像退化任务,包括:
S31、将所述水印模型的图像优化任务,拆分为若干图像优化子任务;
在本发明一优选的实施例中,根据步骤S1中获取的水印模型的图像优化功能,拆分为以下三种图像优化子任务:提高图像分辨率、降低图像噪声、以及提高图像清晰度。
S32、根据所述图像优化子任务,构建若干图像退化子任务;其中,所述图像退化子任务对图像的处理效果,与所述图像优化子任务对图像的处理效果完全相反;
在本发明一优选的实施例中,根据图像优化子任务:提高图像分辨率、降低图像噪声、以及提高图像清晰度,分别构建对应的图像退化子任务:降低图像分辨率、增加图像噪声、以及降低图像清晰度。
具体的,增加图像噪声的图像退化子任务,表示为:
其中,N为噪声,X为原图像,为增加图像噪声后的X。且N为自定义的任意一随机分布类型的噪声。
降低图像分辨率的图像退化子任务,表示为:
其中,表示下采样,d为下采样的倍率,X为原图像,/>为降低图像分辨率后的X。且d为自定义的任一下采样倍率和下采样方式。
降低图像清晰度的图像退化子任务,表示为:
其中,为模糊核,/>为卷积操作,/>为噪声,X为原图像,/>为降低图像清晰度后的X。且N为自定义的任意一随机分布类型的噪声,A为自定义的任一类型的模糊核。
S33、根据所述水印模型的图像优化任务过程的完全逆向过程,组合所述图像退化子任务,构建所述图像退化任务。
在本发明一优选的实施例中,根据水印模型对输入图像进行图像优化顺序的完全逆向顺序,组合所述图像退化子任务。基于步骤S1中获取的水印模型的图像优化顺序为提高图像分辨率、降低图像噪声、以及提高图像清晰度,则构建一依次退图像进行降低图像清晰度、增加图像噪声、以及降低图像分辨率的图像退化任务。
容易理解的是,后续构建的触发图像,为采用该图像退化任务进行退化处理后的水印图像所生成,以使由所述触发图像和所述水印图像构成的嵌入数据在嵌入水印模型时,在水印模型中新建立的映射与水印模型原本的映射完全一致,因此,能够有效地降低在水印模型中建立嵌入数据的映射时,对水印模型性能的影响。
进一步的,为提高嵌入数据的构建效率,还可以自定义一个简单的图像退化任务。也就是说,不需要根据所述水印模型的图像优化任务,以及图像优化任务过程来构建图像退化任务。容易理解的是,通过选择使用一个或少量几个,如:降低图像清晰度、增加图像噪声、降低图像分辨率、降低图像亮度、降低图像对比度等等的图像退化子任务,来构建一个图像退化任务。
需要说明的是,图像退化任务与水印模型的图像优化任务的逆过程不完全一致,在水印模型中建立嵌入数据的映射时,对水印模型性能的影响会有所增加。但是,将图像退化任务定义为简单的相似过程或者相容过程,即使没达到与水印模型的图像优化任务的逆过程完全一致情况下的图像退化任务的效果,但也是完全可用的一个嵌入数据构建方案。
S4、对所述初始图像重复执行图像优化操作,直至图像优化损失函数收敛,以使最后一次图像优化操作生成的优化图像和复原图像之间的差异最大化;
在本发明一优选的实施例中,将初始图像进行优化,以使最后一次图像优化操作生成的优化图像和复原图像之间的差异最大化。容易理解的是,如图2所示,在水印模型嵌入水印之前,最后一次图像优化操作生成的优化图像位于当前水印模型的大误差预测区域上,并在后续根据所述优化图像构建嵌入数据,能够确保在水印模型中嵌入所述嵌入数据时,对水印模型适用区域的图像优化任务性能影响较小,进而提升模型的保真性。
其中,所述图像优化操作,包括:
S41、获取待优化图像;其中,初始时的待优化图像为所述初始图像;
在本发明一优选的实施例中,在第一次进行图像优化操作时,将初始图像作为待优化图像,进行后续的优化处理,在后续进行图像优化操作时,将前一次图像优化操作生成的优化图像作为待优化图像,进行后续的优化处理。
S42、采用所述图像退化任务对所述待优化图像进行退化处理,生成退化图像;
S43、采用所述水印模型对所述退化图像进行图像复原,并输出复原图像;
S44、根据所述待优化图像与所述复原图像之间的相似度,修改所述待优化图像的图像参数,生成优化图像;
S45、判断图像优化损失函数是否收敛;
S46、在确定所述图像优化损失函数不收敛时,将所述优化图像作为下一次图像优化操作所需的待优化图像。
在本发明一优选的实施例中,所述图像优化操作,可表示为:
其中,S为所述优化图像,X为所述待优化图像,为参数优化损失函数,为第一约束损失函数,/>为参数优化损失与第一约束损失函数的权重。
需要说明的是,所述参数优化损失函数,用于根据所述待优化图像与所述复原图像之间的相似度,修改所述待优化图像的图像参数,以增大优化图像和复原图像之间的差异;所述第一约束损失函数,由若干用于约束所述图像参数的损失函数所构成,以使所述待优化图像的像素点在优化过程中不出现极值。
优选的,所述参数优化损失函数,为:
;
其中,为参数优化损失函数,/>为待优化图像,/>为退化图像,为复原图像;
所述第一约束损失函数,为:
+/>+q/>
其中,为第一约束损失函数,/>为能量损失函数,/>为全变分损失函数,/>为均值固定损失函数,/>为标准差固定函数,n、m、p、q均为各项损失函数的权重。
在本发明一优选的实施例中,所述参数优化损失函数使用对数,使得待优化图像的优化过程更加平滑。所述第一约束损失函数用于对待优化图像的优化过程进行约束限制,以使优化图像不会存在极值像素点。
具体的,组成所述第一约束损失函数的各项损失函数,分别表示为:
能量损失函数:
或者
所述能量损失函数,通过约束优化图像的范数或/>范数,以使优化图像的像素不出现极值。
全变分损失函数:
或者
其中,表示图像梯度运算。所述全变分损失函数,用于约束优化图像梯度的/>范数或/>范数,以使优化图像平滑。
均值固定损失函数:
其中,为目标均值常数,/>为待优化图像X的图像均值。所述均值固定损失函数,用于将所述优化图像的图像均值稳定在目标均值常数。
标准差固定函数:
其中,为目标标准差,/>为待优化图像X的标准差。所述标准差固定函数,用于将所述优化图像的图像标准差稳定在目标标准差。
容易理解的是,第一约束损失函数不仅能够对待优化图像的优化过程进行约束限制,还能够使得优化图像出现一些容易识别的图像特征,以便辅助增加视觉判断能力,进而在后续将最后一次图像优化操作生成的优化图像作为水印图像时,能够直接根据水印模型输出的水印图像进行视觉验证,而不需要多训练一个视觉辅助网络来对水印图像进行验证,进而有效地降低了训练成本,并提高了训练效率。
需要说明的是,为提高嵌入数据的构建效率,可以仅采用一个或少数几个用于约束所述图像参数的损失函数,来构建第一约束损失函数。
S5、将所述最后一次图像优化操作生成的优化图像作为水印图像,并采用所述图像退化任务对所述水印图像进行退化处理,生成触发图像;
在本发明一优选的实施例中,将所述最后一次图像优化操作生成的优化图像作为水印图像,并将经过所述图像退化任务退化处理的水印图像,作为触发图像,以使在将由所述水印图像和所述触发图像构成的嵌入数据嵌入所述水印模型前,水印模型无法将所述触发图像恢复为所述水印图像,容易理解的是,在步骤S4中,将水印图像,与依次经过退化处理和水印模型优化的水印图像所生成的复原图像之间的差异最大化,使得在嵌入水印之前的水印模型无法将所述触发图像恢复为所述水印图像。由此,在将由所述水印图像和所述触发图像构成的嵌入数据嵌入所述水印模型后,能够使得模型攻击者重新找到的水印图像必然与嵌入数据中的水印图像有所差距。
S6、根据所述水印图像以及所述触发图像构建嵌入数据,并将所述嵌入数据嵌入所述水印模型中,以使所述水印模型在接收到所述触发图像时,输出所述水印图像;
优选的,所述将所述嵌入数据嵌入所述水印模型中,以使所述水印模型在接收到所述触发图像时,输出所述水印图像,包括:
S61、获取所述水印模型在训练时使用的若干训练样本;
在本发明一优选的实施例中,可以通过评估将所述嵌入数据嵌入所述水印模型的难易程度,从所述水印模型原先用于图像优化任务训练的训练集中抽取一定数量的训练样本,以使后续在将嵌入数据嵌入所述水印模型的过程中,能够保持水印模型原有的性能。
S62、采用所述嵌入数据与若干所述训练样本,对所述水印模型进行训练,直至嵌入损失函数收敛,以使所述水印模型在接收到所述触发图像时,输出所述水印图像。
在本发明一优选的实施例中,采用所述嵌入数据与若干所述训练样本,对所述水印模型进行训练,以使在所述水印模型建立触发图像和水印图像的映射。在嵌入损失函数收敛时,则代表所述嵌入数据已嵌入所述水印模型,即所述水印模型在接收到所述触发图像时,输出所述水印图像。
优选的,所述嵌入损失函数,由水印损失函数以及第二约束损失函数构成;
所述水印损失函数,为:
其中,为水印损失函数,/>为水印图像,/>为触发图像,/>为所述触发图像经过所述水印模型复原后的图像;
所述第二约束损失函数,为:
其中,为第二约束损失函数,/>为所述训练样本的数量,/>为所述训练样本的输入样本,/>为所述输入样本对应的标签,/>为所述水印模型在训练时的损失函数。
在本发明一优选的实施例中,所述嵌入损失函数可表示为:
;
其中,为嵌入损失函数,/>为水印损失函数,/>为第二约束损失函数,/>、/>为权重。
容易理解的是,所述水印损失函数根据水印图像和触发图像的复原图像的范数,来对所述水印模型的参数进行微调,以此达到在所述水印模型中建立触发图像和水印图像的映射的目的。
因此,基于所述水印损失函数的作用,所述水印损失函数还可以,根据水印图像和触发图像的复原图像的范数、根据任一用于使端对端对齐的损失函数、或根据任一用于要求两张图像相似对齐的损失函数来构建。
在本发明一优选的实施例中,为保证水印模型在嵌入所述嵌入数据后,性能不受影响,根据所述水印图像在训练时的损失函数,来构建所述第二约束损失函数。可以理解的是,基于第二约束损失函数的作用,所述第二约束损失函数也可以根据任一用于使端对端对齐的损失函数、或根据任一用于要求两张图像相似对齐的损失函数来构建。同样的,如果所述水印图像在训练时的损失函数为/>范数,则/>还可以定义为
为进一步完整地说明技术方案,下文对基于上述发明实施例,在模型中嵌入水印的模型水印验证方法进行阐述。
如图3所述,在出现水印模型的可疑模型时,可以通过将触发图像输入至可疑模型中,以使可疑模型输出验证图像,并通过以下三个验证方案对验证图像进行验证,得出验证结果,若验证结果表征验证图像与水印图像足够相似,则可以确定所述可疑模型存在盗用行为。
第一个验证方案为,直接计算验证图像与水印图像的距离,即对两张图像逐像素点求距离,比如求其MSE(Mean Square Error,均方差)距离,距离越小,两张图像约为接近,具体阈值或判断结论可以利用统计假设检验来进行进一步判断。
第二个验证方案为,计算验证图像与水印图像的特征距离:可以先对两张图像做特征提取,比如LBP(Local Binary Patterns,局部二值模式)、LGP(Local GradientPatterns,局部梯度模式)、颜色统计直方图等常见特征提取方法,提取特征后可计算距离做进行进一步判断,譬如计算特征的MSE距离+统计假设检验。
第三个验证方案为,视觉观察,利用输出验证图像与水印图像的视觉差异来进行判断,这是由于特征提取、MSE距离与统计方法的数值结果不一定能与视觉结果完全匹配。考虑到恶意使用者可能会使用的模型攻击手段,视觉观察方案往往需要权威的第三方机构介入,并综合衡量数值结果后,给出正式判断。
需要说明的是,第一个验证方案和第二个验证方案属于量化指标判断,第三个验证方案属于主观判断,需要权威机构介入。从理论上来讲,第一个验证方案是最简单的;第二个验证方案在第一个验证方案的基础上引入特征提取更为复杂,但在精确性上也有更高的上限;第三个验证方案引入视觉效果对比也可以提供一些参考。因此,在确保有权威三方机构介入时,可以用第一个验证方案和第三个验证方案的组合方案或者第二个验证方案和第三个验证方案的组合方案同时验证。
本发明提供了一种模型水印嵌入方法,通过在向水印模型嵌入水印数据之前,将欲嵌入所述水印模型的初始图像进行图像优化处理,以使最终得到的水印图像,与依次经过退化处理和水印模型优化的水印图像所生成的复原图像之间的差异最大化。并将经过退化处理的水印图像作为触发图像,以此来构建嵌入模型的嵌入数据。本发明通过将水印图像,与依次经过退化处理和水印模型优化处理的复原图像之间的差异最大化,使得嵌入水印前的水印模型无法将退化后的水印图像复原为原来的水印图像,因此,使得根据模型原有的嵌入数据构建的用于水印覆盖攻击的攻击嵌入数据的映射,无法覆盖模型原有的嵌入数据的映射,有效地增强了模型水印的鲁棒性,进而增强了对模型知识产权的保护。
参见图4,是本发明一实施例提供的一种模型水印嵌入装置的结构示意图,包括:
水印模型获取模块,用于获取用于图像优化处理的水印模型;
初始图像获取模块,用于获取一初始图像;
退化任务生成模块,用于根据所述水印模型的图像优化任务过程,构建一图像退化任务;
图像优化模块,用于对所述初始图像重复执行图像优化操作,直至图像优化损失函数收敛,以使最后一次图像优化操作生成的优化图像和复原图像之间的差异最大化;
触发图像生成模块,用于采用所述图像退化任务对所述优化图像进行退化处理,生成触发图像;
嵌入数据生成模块,用于将所述最后一次图像优化操作生成的优化图像作为水印图像,并采用所述图像退化任务对所述水印图像进行退化处理,生成触发图像;
水印嵌入模块,用于根据所述水印图像以及所述触发图像构建嵌入数据,并将所述嵌入数据嵌入所述水印模型中,以使所述水印模型在接收到所述触发图像时,输出所述水印图像;
其中,所述图像优化操作,包括:
获取待优化图像;其中,初始时的待优化图像为所述初始图像;
采用所述图像退化任务对所述待优化图像进行退化处理,生成退化图像;
采用所述水印模型对所述退化图像进行图像复原,并输出复原图像;
根据所述待优化图像与所述复原图像之间的相似度,修改所述待优化图像的图像参数,生成优化图像;
判断图像优化损失函数是否收敛;
在确定所述图像优化损失函数不收敛时,将所述优化图像作为下一次图像优化操作所需的待优化图像。
本发明提供了一种模型水印嵌入装置,通过在向水印模型嵌入水印数据之前,将欲嵌入所述水印模型的初始图像进行图像优化处理,以使最终得到的水印图像,与依次经过退化处理和水印模型优化的水印图像所生成的复原图像之间的差异最大化。并将经过退化处理的水印图像作为触发图像,以此来构建嵌入模型的嵌入数据。本发明通过将水印图像,与依次经过退化处理和水印模型优化处理的复原图像之间的差异最大化,使得嵌入水印前的水印模型无法将退化后的水印图像复原为原来的水印图像,因此,使得根据模型原有的嵌入数据构建的用于水印覆盖攻击的攻击嵌入数据的映射,无法覆盖模型原有的嵌入数据的映射,有效地增强了模型水印的鲁棒性,进而增强了对模型知识产权的保护。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
所述领域的技术人员可以清楚地了解到,为了方便和简洁,上述描述的装置的具体工作过程,可参考前述方法实施例中对应的过程,在此不再赘述。
本发明另一实施例提供了一种电子设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上述任意一项发明实施例所述的一种模型水印嵌入方法。所述可以电子设备是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述电子设备可包括,但不仅限于,处理器、存储器。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器 (Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分。
所述存储器可用于存储所述计算机程序,所述处理器通过运行或执行存储在所述存储器内的计算机程序,以及调用存储在存储器内的数据,实现所述电子设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital, SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明另一实施例提供了一种存储介质,所述存储介质为计算机可读存储介质,所述计算机程序存储在所述计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (10)

1.一种模型水印嵌入方法,其特征在于,包括:
获取用于图像优化处理的水印模型;
获取一初始图像;
根据所述水印模型的图像优化任务过程,构建一图像退化任务;
对所述初始图像重复执行图像优化操作,直至图像优化损失函数收敛,以使最后一次图像优化操作生成的优化图像和复原图像之间的差异最大化;
将所述最后一次图像优化操作生成的优化图像作为水印图像,并采用所述图像退化任务对所述水印图像进行退化处理,生成触发图像;
根据所述水印图像以及所述触发图像构建嵌入数据,并将所述嵌入数据嵌入所述水印模型中,以使所述水印模型在接收到所述触发图像时,输出所述水印图像;
其中,所述图像优化操作,包括:
获取待优化图像;其中,初始时的待优化图像为所述初始图像;
采用所述图像退化任务对所述待优化图像进行退化处理,生成退化图像;
采用所述水印模型对所述退化图像进行图像复原,并输出复原图像;
根据所述待优化图像与所述复原图像之间的相似度,修改所述待优化图像的图像参数,生成优化图像;
判断图像优化损失函数是否收敛;
在确定所述图像优化损失函数不收敛时,将所述优化图像作为下一次图像优化操作所需的待优化图像。
2.如权利要求1所述的一种模型水印嵌入方法,其特征在于,所述将所述嵌入数据嵌入所述水印模型中,以使所述水印模型在接收到所述触发图像时,输出所述水印图像,包括:
获取所述水印模型在训练时使用的若干训练样本;
采用所述嵌入数据与若干所述训练样本,对所述水印模型进行训练,直至嵌入损失函数收敛,以使所述水印模型在接收到所述触发图像时,输出所述水印图像。
3.如权利要求2所述的一种模型水印嵌入方法,其特征在于,所述获取一初始图像,包括:
随机生成每个像素点均满足同一随机分布类型的一张噪声图像,并对所述噪声图像进行随机采样,生成所述初始图像。
4.如权利要求3所述的一种模型水印嵌入方法,其特征在于,所述获取一初始图像,包括:
从预设的图像获取途径中,随机抽取一张图片,作为所述初始图像。
5.如权利要求4所述的一种模型水印嵌入方法,其特征在于,根据所述水印模型的图像优化任务过程,制定一图像退化任务,包括:
将所述水印模型的图像优化任务,拆分为若干图像优化子任务;
根据所述图像优化子任务,构建若干图像退化子任务;其中,所述图像退化子任务对图像的处理效果,与所述图像优化子任务对图像的处理效果完全相反;
根据所述水印模型的图像优化任务过程的完全逆向过程,组合所述图像退化子任务,构建所述图像退化任务。
6.如权利要求5所述的一种模型水印嵌入方法,其特征在于,所述图像优化损失函数,由参数优化损失函数以及第一约束损失函数构成;
所述参数优化损失函数,为:
;
其中,为参数优化损失函数,/>为待优化图像,/>为退化图像,为复原图像;
所述第一约束损失函数,为:
+/>+q/>
其中,为第一约束损失函数,/>为能量损失函数,/>为全变分损失函数,/>为均值固定损失函数,/>为标准差固定函数,n、m、p、q均为各项损失函数的权重。
7.如权利要求6所述的一种模型水印嵌入方法,其特征在于,所述嵌入损失函数,由水印损失函数以及第二约束损失函数构成;
所述水印损失函数,为:
其中,为水印损失函数,/>为水印图像,/>为触发图像,M(/>)为所述触发图像经过所述水印模型复原后的图像;
所述第二约束损失函数,为:
其中,为第二约束损失函数,/>为所述训练样本的数量,/>为所述训练样本的输入样本,/>为所述输入样本对应的标签,/>为所述水印模型在训练时的损失函数。
8.一种模型水印嵌入装置,其特征在于,包括:
水印模型获取模块,用于获取用于图像优化处理的水印模型;
初始图像获取模块,用于获取一初始图像;
退化任务生成模块,用于根据所述水印模型的图像优化任务过程,构建一图像退化任务;
图像优化模块,用于对所述初始图像重复执行图像优化操作,直至图像优化损失函数收敛,以使最后一次图像优化操作生成的优化图像和复原图像之间的差异最大化;
嵌入数据生成模块,用于将所述最后一次图像优化操作生成的优化图像作为水印图像,并采用所述图像退化任务对所述水印图像进行退化处理,生成触发图像;
水印嵌入模块,用于根据所述水印图像以及所述触发图像构建嵌入数据,并将所述嵌入数据嵌入所述水印模型中,以使所述水印模型在接收到所述触发图像时,输出所述水印图像;
其中,所述图像优化操作,包括:
获取待优化图像;其中,初始时的待优化图像为所述初始图像;
采用所述图像退化任务对所述待优化图像进行退化处理,生成退化图像;
采用所述水印模型对所述退化图像进行图像复原,并输出复原图像;
根据所述待优化图像与所述复原图像之间的相似度,修改所述待优化图像的图像参数,生成优化图像;
判断图像优化损失函数是否收敛;
在确定所述图像优化损失函数不收敛时,将所述优化图像作为下一次图像优化操作所需的待优化图像。
9.一种电子设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的一种模型水印嵌入方法。
10.一种存储介质,其特征在于,所述存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述存储介质所在设备执行如权利要求1至7中任意一项所述的一种模型水印嵌入方法。
CN202311824447.6A 2023-12-28 2023-12-28 一种模型水印嵌入方法、装置、电子设备及存储介质 Active CN117473469B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311824447.6A CN117473469B (zh) 2023-12-28 2023-12-28 一种模型水印嵌入方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311824447.6A CN117473469B (zh) 2023-12-28 2023-12-28 一种模型水印嵌入方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN117473469A CN117473469A (zh) 2024-01-30
CN117473469B true CN117473469B (zh) 2024-05-10

Family

ID=89624197

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311824447.6A Active CN117473469B (zh) 2023-12-28 2023-12-28 一种模型水印嵌入方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117473469B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104217387A (zh) * 2014-01-22 2014-12-17 河南师范大学 一种基于量化嵌入的图像水印嵌入、提取的方法与装置
CN107240059A (zh) * 2017-04-07 2017-10-10 广东精点数据科技股份有限公司 图像数字水印嵌入强度回归预测模型的建模方法
CN111523094A (zh) * 2020-03-25 2020-08-11 平安科技(深圳)有限公司 深度学习模型水印嵌入方法、装置、电子设备及存储介质
WO2021042665A1 (zh) * 2019-09-04 2021-03-11 笵成科技南京有限公司 一种基于dnn用于护照抵御模糊攻击的方法
CN113987429A (zh) * 2021-11-03 2022-01-28 华南师范大学 基于水印嵌入的神经网络模型的版权验证方法
CN114445256A (zh) * 2022-01-27 2022-05-06 腾讯科技(深圳)有限公司 一种数字水印的训练方法、装置、设备及存储介质
CN114862650A (zh) * 2022-06-30 2022-08-05 南京信息工程大学 一种神经网络水印嵌入方法以及验证方法
CN116167023A (zh) * 2023-02-17 2023-05-26 武汉大学 即插即用的黑盒模型水印嵌入方法及设备
CN117291786A (zh) * 2023-10-10 2023-12-26 南京理工大学 一种无需第三方认证的dnn模型后门水印方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104217387A (zh) * 2014-01-22 2014-12-17 河南师范大学 一种基于量化嵌入的图像水印嵌入、提取的方法与装置
CN107240059A (zh) * 2017-04-07 2017-10-10 广东精点数据科技股份有限公司 图像数字水印嵌入强度回归预测模型的建模方法
WO2021042665A1 (zh) * 2019-09-04 2021-03-11 笵成科技南京有限公司 一种基于dnn用于护照抵御模糊攻击的方法
CN111523094A (zh) * 2020-03-25 2020-08-11 平安科技(深圳)有限公司 深度学习模型水印嵌入方法、装置、电子设备及存储介质
CN113987429A (zh) * 2021-11-03 2022-01-28 华南师范大学 基于水印嵌入的神经网络模型的版权验证方法
CN114445256A (zh) * 2022-01-27 2022-05-06 腾讯科技(深圳)有限公司 一种数字水印的训练方法、装置、设备及存储介质
CN114862650A (zh) * 2022-06-30 2022-08-05 南京信息工程大学 一种神经网络水印嵌入方法以及验证方法
CN116167023A (zh) * 2023-02-17 2023-05-26 武汉大学 即插即用的黑盒模型水印嵌入方法及设备
CN117291786A (zh) * 2023-10-10 2023-12-26 南京理工大学 一种无需第三方认证的dnn模型后门水印方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
信息嵌入位置自适应选择的鲁棒水印算法;李松 等;计算机应用;20131231;146-148 *
结合BEMD与Hilbert曲线的重复嵌入图像水印算法;王小超 等;计算机辅助设计与图形学学报;20200215;118-127 *

Also Published As

Publication number Publication date
CN117473469A (zh) 2024-01-30

Similar Documents

Publication Publication Date Title
CN110222573B (zh) 人脸识别方法、装置、计算机设备及存储介质
Sun et al. Robust high-capacity watermarking over online social network shared images
Sedighi et al. Content-adaptive steganography by minimizing statistical detectability
Gani et al. A robust copy-move forgery detection technique based on discrete cosine transform and cellular automata
CN111507909A (zh) 一种有雾图像清晰化的方法、装置及存储介质
Kumwilaisak et al. Image denoising with deep convolutional neural and multi-directional long short-term memory networks under Poisson noise environments
Geng et al. Real-time attacks on robust watermarking tools in the wild by CNN
CN117437108B (zh) 一种针对图像数据的水印嵌入方法
Sisaudia et al. Copyright protection using KELM-PSO based multi-spectral image watermarking in DCT domain with local texture information based selection
US20220156873A1 (en) Image synthesis device and method for embedding watermark
Hu et al. A spatial image steganography method based on nonnegative matrix factorization
CN110765843A (zh) 人脸验证方法、装置、计算机设备及存储介质
CN114445256A (zh) 一种数字水印的训练方法、装置、设备及存储介质
CN105160619B (zh) 一种图像水印检测方法
Wu et al. An image authentication and recovery system based on discrete wavelet transform and convolutional neural networks
Tiwari et al. Security Protection Mechanism in Cloud Computing Authorization Model Using Machine Learning Techniques
Soualmi et al. A blind watermarking approach based on hybrid Imperialistic Competitive Algorithm and SURF points for color Images’ authentication
Shashidhar et al. Reviewing the effectivity factor in existing techniques of image forensics
Liu et al. An efficient distortion cost function design for image steganography in spatial domain using quaternion representation
Ouyang et al. A semi-fragile reversible watermarking method based on qdft and tamper ranking
Ravi et al. Forensic analysis of linear and nonlinear image filtering using quantization noise
CN117473469B (zh) 一种模型水印嵌入方法、装置、电子设备及存储介质
Zhou et al. Triangle mesh watermarking and steganography
CN116306831A (zh) 针对生成对抗网络的模型认证方法及设备
Sinha Roy et al. Hardware execution of a saliency map based digital image watermarking framework

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant