本发明专利技术公开了一种基于DCT系数的生成网络模型水印方法,包括如下步骤:步骤1、创建训练图像数据集;步骤2、利用DCT变换在训练图像中嵌入不可见图像水印,步骤2.1、读取RGB图像为32*32*3的矩阵,提取图像中的蓝色通道B,即其中32*32*1的部分矩阵;步骤2.2、将训练图像在蓝色通道B中分割为大小为2*2的分块;步骤2.3、对每一个2*2方块进行DCT变换后在用水印的值乘以10后覆盖方块右下角的值,嵌入一位水印;步骤2.4、对2*2方块进行逆DCT变化,并更新原方块的值;步骤3、将步骤2中的带有不可见水印的训练图像投入生成图像任务的神经网络中训练,得到带水印的网络模型。该方法在神经网络模型的原始损失上加上水印损失,同时处理训练集图像,在训练集图像中嵌入DCT水印。在训练集图像中嵌入DCT水印。在训练集图像中嵌入DCT水印。
【技术实现步骤摘要】
一种基于DCT系数的生成网络模型水印方法及应用
[0001]本专利技术涉及人工智能安全
,具体指一种基于DCT系数的生成网络模型水印方法及应用。
技术介绍
[0002]伴随着人工智能应用于越来越多的领域,人工智能产业化在迅速发展。看似高端的人工智能技术已经在不知不觉中走进了我们的生活,越来越多的设备和应用中搭载了人工智能技术,例如物体识别,人脸识别,智能翻译,图像恢复等功能。随着设备计算能力的提高和5G的发展,我们可以在手机上使用到这些AI的服务。然而这些服务都是建立在以神经网络模型为代表的人工智能中,所以如何保证神经网络模型的安全和保护神经网络模型的版权成为了一个迫切的问题。
[0003]人工智能是新一轮科技革命和产业变革的重要驱动力量,如何保证它蓬勃健康的发展是我们需要关注的。一个神经网络模型的功能和准确性都是建立在模型所有者对模型结构和模型训练不断探索研究的努力中,同时一个模型的训练也需要花费大量的资源和时间,所以模型需要得到版权保护,避免它被以不正当手段盗取,使得攻击者谋取非法利益。人工智能安全作为网络安全的一部分,有很多的研究人员对此展开了研究。在不影响其原本性能的基础上嵌入隐秘信息到模型载体中,从而达到模型保护的作用。
[0004]目前在人工智能模型水印研究方面还有许多问题亟待解决,例如:1)模型取证困难,大多数方法都需要访问模型的参数或者需要控制模型的输入来获取水印2)大部分的模型水印都是针对分类神经网络模型,对于生成性网络模型的适用性不高,还需要更深入的研究3)模型水印的鲁棒性不强,嵌入的方式相对单一。人工智能模型水印的持续研究,有利于降低人工智能安全风险,确保网络空间的和谐,稳定和安全。
[0005]在人工智能模型水印的研究中,大部分的水印方案可以分为两类,即白盒水印和黑盒水印。白盒水印是依赖于模型参数的水印嵌入方法,这种在模型参数中携带水印信息的方法虽然能够提取的水印能够达到很好的准确率,但是它要求验证者能够获取整个模型的参数,在取证过程中有一定难度。黑盒水印使用预定义的输入作为触发器控制模型的输出即在模型中插入后门集,能够根据触发器的内容输入触发模型的一些特定的输出,这种方法不需要访问整个模型的参数,更容易取证,但是这种方法也要求我们能够对模型有一些特殊的输入。根据近几年新提出的无盒水印方法,所以我们提出了一种基于DCT系数的生成网络模型水印。尽管目前已经提出了一些有效的无盒水印方法,但是大多数方法都是通过另外训练一个新的网络来嵌入和提取水印,需要占用额外的训练资源。我们提出的方法是在模型训练过程中训练水印嵌入方法,使模型水印能够更加轻量化。
技术实现思路
[0006]针对现有技术的不足,本专利技术提出了基于DCT系数的生成网络模型水印方法及应用,在神经网络模型的原始损失上加上水印损失,同时处理训练集图像,在训练集图像中嵌
入DCT水印。这样在保证原始模型任务的同时,神经网络能够学习如何嵌入DCT水印,从而使模型水印能够更加轻量化。
[0007]为了解决上述技术问题,本专利技术的技术方案为:
[0008]一种基于DCT系数的生成网络模型水印方法,包括如下步骤:
[0009]步骤1、创建训练图像数据集;
[0010]步骤2、利用DCT变换在训练图像中嵌入不可见图像水印
[0011]步骤2.1、读取RGB图像为32*32*3的矩阵,提取图像中的蓝色通道B,即其中32*32*1的部分矩阵;
[0012]步骤2.2、将训练图像在蓝色通道B中分割为大小为2*2的分块;
[0013]步骤2.3、对每一个2*2方块进行DCT变换后在用水印的值乘以10后覆盖方块右下角的值,嵌入一位水印;
[0014]步骤2.4、对2*2方块进行逆DCT变化,并更新原方块的值;
[0015]步骤3、将步骤2中的带有不可见水印的训练图像投入生成图像任务的神经网络中训练,得到带水印的网络模型。
[0016]作为优选,所述步骤2还包括步骤2.5、重复步骤2.3和步骤2.4,直至嵌入水印长度为256位。
[0017]作为优选,所述步骤2.3中生成的每一张训练图像中都包含有可提取的不可见水印。
[0018]作为优选,步骤3具体实现如下:
[0019]步骤3.1、将含有不可见水印的训练图像打包为tfrecords文件用作生成图像任务的神经网络的训练,在学习原始任务的同时学习嵌入不可见水印;
[0020]步骤3.2、初始化神经网络的参数;
[0021]步骤3.3、训练神经网络,在原始任务损失的基础上加上模型水印的损失L
wm
,减少提取的水印和目标水印之间的距离。
[0022][0023]其中,α表示水印的影响系数,X表示网络生成数据的分布,key表示水印密钥,w
o
表示原水印;
[0024]步骤3.4、经过n轮训练后得到可生成带水印的网络模型。
[0025]作为优选,所述步骤3.1中用于训练的神经网络采用ProGAN模型。
[0026]本专利技术还公开了一种基于DCT的生成网络模型水印方法的应用,其特征在于,当带水印的网络模型的所有权产生争议的时候,验证者只需要收集由该带水印的网络模型生成的图像,并用DCT水印提取算法提取图像中的不可见水印,并与持有水印进行比对,如果比对成功就能证明模型的所有权归属。
[0027]本专利技术具有以下的特点和有益效果:
[0028]1、能够根据收集到的生成图像判断该模型的所有权,不需要依赖模型的输入也不需要访问模型本身的参数,从而大大降低了模型取证的难度。
[0029]2、模型水印利用不可见水印机制保护网络模型和输出的图像,只有密钥的所有者才能够提取水印,有效降低了人工智能安全风险,确保网络空间的和谐,稳定和安全。
[0030]3、该方法可以应用于不同的图像生成任务的神经网络,不需要修改原网络的结构同时不影响模型性能,使得模型水印更加轻量化。
[0031]4、综上可以看出,该方法不仅能够降低取证难度,高效的提取水印,并能够确保提取水印的准确率,另外提出在模型训练过程中训练水印嵌入方法,使模型水印能够更加轻量化。
附图说明
[0032]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0033]图1为本专利技术实施例中含不可见水印的训练集生成和模型水印嵌入的框架图。
[0034]图2为本专利技术实施例中DCT不可见水印嵌入的流程图。
[0035]图3为本专利技术实施例中DCT不可见水印提取的流程图。
具体实施方式
[0036]需要说明的是,在不冲突的情况下,本专利技术中的实施例及实施例中的特征可以相互组合。
[0037]在本专利技术的描本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于DCT系数的生成网络模型水印方法,其特征在于,包括如下步骤:步骤1、创建训练图像数据集;步骤2、利用DCT变换在训练图像中嵌入不可见图像水印步骤2.1、读取训练图像为32*32*3的矩阵,提取图像中的蓝色通道B,即其中32*32*1的部分矩阵;;步骤2.2、将训练图像在蓝色通道B中分割为大小为2*2的分块;步骤2.3、对每一个2*2方块进行DCT变换后在用水印的值乘以10后覆盖方块右下角的值,嵌入一位水印,生成的每一张训练图像中都包含有可提取的不可见水印;步骤2.4、对2*2方块进行逆DCT变化,并更新原方块的值;步骤3、将步骤2中的带有不可见水印的训练图像投入生成图像任务的神经网络中训练,得到带水印的网络模型。2.根据权利要求1所述的一种基于DCT的生成网络模型水印方法,其特征在于,所述步骤2还包括步骤2.5、重复步骤2.3和步骤2.4,直至嵌入水印长度为256位。3.根据权利要求2所述的一种基于DCT系数的生成网络模型水印方法,其特征在于,所述步骤2.3中生成的每一张训练图像中都包含有可提取的不可见水印。4.根据权利要求1所述的一种基于DCT的生成网络模...
【专利技术属性】
技术研发人员:乔通,马鱼雁,吴佳晟,谢世闯,
申请(专利权)人:杭州电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。