本发明专利技术提供了一种基于最低有效位修改的不可见水印对抗样本生成方法,包括:在盆地跳跃改进方法执行过程中,通过最低有效位嵌入算法嵌入不可水印作为扰动信息生成对抗样本;在执行过程中,对抗样本的最后一个像素的通道分别保存嵌入水印的位置、水印的特定尺寸;在水印信息提取过程中,根据对抗样本的最后一个像素通道保存的信息,即可完整提取出整个水印。采用上述方法生成的对抗样本不仅有着良好的视觉效果,还具有较高的攻击率,适宜进一步推广应用。广应用。
【技术实现步骤摘要】
基于最低有效位修改的不可见水印对抗样本生成方法
[0001]本专利技术涉及人工智能安全领域,尤其涉及一种基于最低有效位修改的不可见水印对抗样本生成方法。
技术介绍
[0002]人工智能安全是目前非常火热的一个研究领域,对抗样本是人工智能安全的一个重要分支。传统的对抗样本生成方法(单像素攻击、边界攻击、逐点攻击等)主要集中在人为地向原始图像中添加不易察觉的扰动信息,因此对抗样本中的扰动信息通常没有实际意义。因为扰动信息无实际意义,所以传统对抗样本生成方法无法应用于实际生产生活。近年来,也有一些研究者提出新的对抗样本生成方法,他们通过往原始图像中添加有意义的扰动信息,生产对抗样本。虽然他们嵌入对抗样本中的扰动信息有着实际意义,但是基于他们方法所生成的对抗样本失真较大,对抗样本与原始图像之间的差别容易通过人眼所察觉,因此难以实际应用于实际生产生活。目前,人工智能安全领域还未提出一种往原始图像中添加有实际意义的扰动信息,并且使得所生成的对抗样本失真较小的方法。
技术实现思路
[0003]本专利技术提出了一种基于最低有效位修改的不可见水印对抗样本生成方法,旨在于往原始图像中嵌入有意义的扰动信息,并且使生成的对抗样本有着良好的视觉效果。
[0004]为解决上述问题,本专利技术采用如下技术方案:
[0005]一种基于最低有效位修改的不可见水印对抗样本生成方法,包括:
[0006]在盆地跳跃改进方法执行过程中,通过最低有效位嵌入算法嵌入不可水印作为扰动信息生成对抗样本;
[0007]对抗样本的最后一个像素的通道分别保存嵌入水印的位置、水印的特定尺寸。
[0008]进一步的,所述盆地跳跃改进方法为盆地跳跃算法结合最低有效位嵌入算法。
[0009]上述基于最低有效位修改的不可见水印对抗样本生成方法具体步骤包括:
[0010]S1:确定嵌入水印的数字图像;
[0011]S2:将作为数字图像的水印转化为二进制;
[0012]S3:执行六次盆地跳跃改进方法,生成对抗样本;其中,六次盆地跳跃改进方法的不同点在于迭代次数以及水印尺寸的变化范围。
[0013]进一步的,第一次盆地跳跃改进方法的迭代次数设置为100,第二次与第三次盆地跳跃改进方法的迭代次数设置为60,第四次、第五次以及第六次盆地跳跃改进方法的迭代次数设置为30;
[0014]第一次盆地跳跃改进方法的水印尺寸变化范围从0.09到0.22,第二次与第三次盆地跳跃改进方法的水印尺寸变化范围从0.18到 0.22,第四次、第五次以及第六次盆地跳跃改进方法的水印尺寸变化范围从0.09到0.18。
[0015]进一步的,S3具体步骤如下:
[0016]S3.1:第一次至第五次盆地跳跃改进方法均为寻找宿主图像特定的坐标和水印的特定尺寸,通过最低有效位技术嵌入不可见水印生成对抗样本,保留有对抗性的样本,没有对抗性的样本进入下一次盆地跳跃改进;
[0017]S3.2:第六次盆地跳跃改进方法,寻找宿主图像特定的坐标和水印的特定尺寸,嵌入不可见水印生成对抗样本,保留有对抗性的样本,对没有对抗性的样本也进行保留。
[0018]基于上述方案,本专利技术还提供一种计算机可读的存储介质,所述的存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述的至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行实现上述所述的基于最低有效位修改的不可见水印对抗样本生成方法。
[0019]有益效果:
[0020]1)本专利技术有着高攻击率,我们方法的攻击率优于传统的黑盒攻击方法(空间攻击、边界攻击、单像素攻击等),我们方法的最高攻击率达到93.5%。
[0021]2)本专利技术有着良好的视觉效果,对比于其他对抗样本生成方法,基于我们方法所生成的对抗样本有着良好的视觉效果。
[0022]3)本专利技术有着良好的鲁棒性,与其他黑盒攻击方法对比,生成的对抗样本更加鲁棒。
[0023]4)本专利技术有着很好的安全性,生成的对抗样本通常会被人们认为是原始图像,从而避免对抗样本受到攻击,更加安全。
具体实施方式
[0024]下面结合实施例,对本专利技术作进一步的详细描述。特别指出的是,以下实施例仅用于说明本专利技术,但不对本专利技术的范围进行限定。同样的,以下实施例仅为本专利技术的部分实施例而非全部实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。
[0025]本实施例提供的基于最低有效位修改的不可见水印对抗样本生成方法,基于盆地跳跃算法嵌入不可见水印生成对抗样本,目标在于最小化对抗样本属于特定类别的置信度,使得分类模型错误分类,从而达到愚弄分类模型的目的。
[0026]上述基于最低有效位修改的不可见水印对抗样本生成方法,包括:
[0027]在盆地跳跃改进方法(BHI)的执行过程中,通过嵌入不可水印作为扰动信息生成对抗样本,在执行过程中,对抗样本的最后一个像素的通道分别保存嵌入水印的位置、水印的特定尺寸;在后期水印信息提取过程中,根据对抗样本的最后一个像素通道保存的信息,即可完整提取出整个水印。
[0028]其中,盆地跳跃改进方法(BHI)为盆地跳跃算法结合最低有效位嵌入算法,实现通过盆地跳跃算法嵌入不可见水印生成对抗样本。
[0029]通过BHI嵌入不可见水印生成对抗样本的方法,具体包括如下步骤:
[0030]S1:确定嵌入水印的数字图像,只对在特定分类模型下正确分类的图像进行攻击;
[0031]S2:将作为数字图像的水印转化为二进制,以便后续嵌入水印到宿主图像之中。
[0032]S3:执行六次盆地跳跃改进方法,生成对抗样本;其中,六次盆地跳跃改进方法的过程相类似,唯一的不同点在于迭代次数以及水印尺寸的变化范围。
[0033]在第一次盆地跳跃改进方法,迭代次数被设置为100,但是,在第二次盆地跳跃改进方法和第三次盆地跳跃改进方法,迭代次数被设置为60,在第四次,第五次,第六次盆地跳跃改进方法,迭代次数被设置为30。在第一次盆地跳跃改进方法,尺寸的范围从0.09到0.22,但是,在第二次和第三次盆地跳跃改进方法,尺寸的范围从0.18到 0.22,在第四次、第五次、第六次盆地跳跃改进方法,尺寸的范围从 0.09到0.18。
[0034]其中,S3具体步骤如下:
[0035]S3.1:第一次至第五次盆地跳跃改进方法均为寻找宿主图像特定的坐标和水印的特定尺寸,通过最低有效位技术嵌入不可见水印生成对抗样本,保留有对抗性的样本(对抗性的样本即分类模型错误分类的样本),没有对抗性的样本进入下一次盆地跳跃改进;
[0036]S3.2:第六次盆地跳跃改进方法,寻找宿主图像特定的坐标和水印的特定尺寸,嵌入不可见水印生成对抗样本,保留有对抗性的样本,对没有对抗性的样本也进行保留。具体地,本实施例按照预设条件寻找宿主图像特定的坐标和水印的特定尺寸。
[0037]另外,在本专利技术各个实施本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于最低有效位修改的不可见水印对抗样本生成方法,其特征在于,包括:在盆地跳跃改进方法执行过程中,通过最低有效位嵌入算法嵌入不可水印作为扰动信息生成对抗样本;对抗样本的最后一个像素的通道分别保存嵌入水印的位置、水印的特定尺寸。2.根据权利要求1所述的一种基于最低有效位修改的不可见水印对抗样本生成方法,其特征在于,所述盆地跳跃改进方法为盆地跳跃算法结合最低有效位嵌入算法。3.根据权利要求2所述的一种基于最低有效位修改的不可见水印对抗样本生成方法,其特征在于,具体步骤包括:S1:确定嵌入水印的数字图像;S2:将作为数字图像的水印转化为二进制;S3:执行六次盆地跳跃改进方法,生成对抗样本;其中,六次盆地跳跃改进方法的不同点在于迭代次数以及水印尺寸的变化范围。4.根据权利要求3所述的一种基于最低有效位修改的不可见水印对抗样本生成方法,其特征在于,第一次盆地跳跃改进方法的迭代次数设置为100,第二次与第三次盆地跳跃改进方法的迭代次数设置为60,第四次、第五次以及第六次盆地跳跃改进方法的迭代次数设置为30;第一次...
【专利技术属性】
技术研发人员:柳晓龙,梁锦超,冯子婧,
申请(专利权)人:福建农林大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。