【技术实现步骤摘要】
基于对抗性光照的模型水印抹除方法及设备
[0001]本专利技术实施例涉及智能安全
,尤其涉及一种基于对抗性光照的模型水印抹除方法及设备。
技术介绍
[0002]针对嵌入式水印的攻击可分为以下三类:检测攻击,DNN水印与后门或对抗扰动可以使用现有的后门或对抗实例检测方法检测,这种攻击需要水印技术的知识;移除攻击,水印技术对模型转换没有鲁棒性,如模型微调、修剪等,AdvNP也是一种水印去除攻击,但是AdvNP并不依赖于训练数据集,并且涉及到任何模型的微调;模糊攻击,模糊攻击是最近研究过的一种攻击,通过添加额外的反向水印来伪造水印,攻击者可以伪造伪造的水印,这样受保护的模型也可以检测到伪造的水印,要求水印方案是可逆的。不幸的是,现有的去除水印的研究都未能满足在现实世界中不现实的基本要求。因此,开发一种基于对抗性光照的模型水印抹除方法及设备,可以有效克服上述相关技术中的缺陷,就成为业界亟待解决的技术问题。
技术实现思路
[0003]针对现有技术存在的上述问题,本专利技术实施例提供了一种基于对抗性光照的模型水印抹
【技术保护点】
【技术特征摘要】
1.一种基于对抗性光照的模型水印抹除方法,其特征在于,包括:步骤1,估计目标的光照,为改变图像的光照,通过添加光照扰动获取光照的强度和位置,所需的光照扰动在不牺牲预测良性样本的能力的情况下破坏水印验证的触发器,扰动会误导分类模型的预测,对抗性的重新启动扰动用于扰乱采用良性样本预测的深度神经网络模型;步骤2,定位可见的触发器,并重新定位触发器的区域,以自适应地调整注入扰动ε;步骤3,带阴影的照明渲染,采用通过建模阴影的重新方法,显示在广泛的图像重新定位应用的潜力。2.根据权利要求1所述的基于对抗性光照的模型水印抹除方法,其特征在于,步骤1具体包括:针对注入扰动ε的强度,给定一个人脸图像I,采用人脸渲染模型兰伯特模型来表示包括,I=R
⊙
f(N,L),其中,R、N、L分别表示反射率、法线和照明,f(
·
)为兰伯特阴影函数,照明L为九维向量的九个球面的谐波系数,通过更新照明L来生成一个新的人脸图像来误导水印验证,采用反照率商图像来获得无反射率的重构方法,新的人脸图像表示为计算包括,其中,I的恢复通过正常的N、原始光L和目标照明来计算。3.根据权利要求2所述的基于对抗性光照的模型水印抹除方法,其特征在于,所述采用反照率商图像来获得无反射率的重构方法,具体包括:,以人脸识别为导向,保持良性样本预测和水印验证的功能,定义照明估计的目标函数用于破坏图像,保持良性样本预测的效用。4.根据权利要求3所述的基于对抗性光照的模型水印抹除方法,其特征在于,所述定义照明估计的目标函数用于破坏图像,保持良性样本预测的效用,包括:目标函数通过最大化和I之间的失真来表述,具体包括:其中D(
·
)是测量I和之间相似性的距离函数,是测量人脸嵌入的函数,ε用于控制照明的大小,通过探索ε的边界来最大化相似性。5.根据权利要求4所述的基于对抗性光照的模型水印抹除方...
【专利技术属性】
技术研发人员:汪润,任纪星,李昊轩,刘丽,陈晶,王丽娜,
申请(专利权)人:武汉大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。