基于对抗性光照的模型水印抹除方法及设备技术

本发明专利技术提供了一种基于对抗性光照的模型水印抹除方法及设备。所述方法包括：步骤1，估计目标的光照，为改变图像的光照，通过添加光照扰动获取光照的强度和位置，所需的光照扰动在不牺牲预测良性样本的能力的情况下破坏水印验证的触发器，扰动会误导分类模型的预测，对抗性的重新启动扰动用于扰乱采用良性样本预测的深度神经网络模型；步骤2，定位可见的触发器，并重新定位触发器的区域，以自适应地调整注入扰动ε；步骤3，带阴影的照明渲染，采用通过建模阴影的重新方法，显示在广泛的图像重新定位应用的潜力。本发明专利技术能在不影响功能的情况下使水印无效。况下使水印无效。况下使水印无效。

【技术实现步骤摘要】
基于对抗性光照的模型水印抹除方法及设备


[0001]本专利技术实施例涉及智能安全
，尤其涉及一种基于对抗性光照的模型水印抹除方法及设备。

技术介绍

[0002]针对嵌入式水印的攻击可分为以下三类：检测攻击，DNN水印与后门或对抗扰动可以使用现有的后门或对抗实例检测方法检测，这种攻击需要水印技术的知识；移除攻击，水印技术对模型转换没有鲁棒性，如模型微调、修剪等，AdvNP也是一种水印去除攻击，但是AdvNP并不依赖于训练数据集，并且涉及到任何模型的微调；模糊攻击，模糊攻击是最近研究过的一种攻击，通过添加额外的反向水印来伪造水印，攻击者可以伪造伪造的水印，这样受保护的模型也可以检测到伪造的水印，要求水印方案是可逆的。不幸的是，现有的去除水印的研究都未能满足在现实世界中不现实的基本要求。因此，开发一种基于对抗性光照的模型水印抹除方法及设备，可以有效克服上述相关技术中的缺陷，就成为业界亟待解决的技术问题。

技术实现思路

[0003]针对现有技术存在的上述问题，本专利技术实施例提供了一种基于对抗性光照的模型水印抹除方法及设备。
[0004]第一方面，本专利技术的实施例提供了一种基于对抗性光照的模型水印抹除方法，包括：步骤1，估计目标的光照，为改变图像的光照，通过添加光照扰动获取光照的强度和位置，所需的光照扰动在不牺牲预测良性样本的能力的情况下破坏水印验证的触发器，扰动会误导分类模型的预测，对抗性的重新启动扰动用于扰乱采用良性样本预测的深度神经网络模型；步骤2，定位可见的触发器，并重新定位触发器的区域，以自适应地调整注入扰动ε；步骤3，带阴影的照明渲染，采用通过建模阴影的重新方法，显示在广泛的图像重新定位应用的潜力。
[0005]在上述方法实施例内容的基础上，本专利技术实施例中提供的基于对抗性光照的模型水印抹除方法，步骤1具体包括：针对注入扰动ε的强度，给定一个人脸图像I，采用人脸渲染模型兰伯特模型来表示包括，I＝R
⊙
f(N,L)，其中，R、N、L分别表示反射率、法线和照明，f(
·
)为兰伯特阴影函数，照明L为九维向量的九个球面的谐波系数，通过更新照明L来生成一个新的人脸图像来误导水印验证，采用反照率商图像来获得无反射率的重构方法，新的人脸图像表示为表示为计算包括，其中，I的恢复通过正常的N、原始光L和目标照明来计算。
[0006]在上述方法实施例内容的基础上，本专利技术实施例中提供的基于对抗性光照的模型水印抹除方法，所述采用反照率商图像来获得无反射率的重构方法，具体包括：，以人脸识
别为导向，保持良性样本预测和水印验证的功能，定义照明估计的目标函数用于破坏图像，保持良性样本预测的效用。
[0007]在上述方法实施例内容的基础上，本专利技术实施例中提供的基于对抗性光照的模型水印抹除方法，所述定义照明估计的目标函数用于破坏图像，保持良性样本预测的效用，包括：目标函数通过最大化和I之间的失真来表述，具体包括：其中D(
·
)是测量I和之间相似性的距离函数，是测量人脸嵌入的函数，ε用于控制照明的大小，通过探索ε的边界来最大化相似性。
[0008]在上述方法实施例内容的基础上，本专利技术实施例中提供的基于对抗性光照的模型水印抹除方法，步骤2具体包括：使用一个预先训练的卷积神经网络来嵌入触发，采用卷积神经网络不同语义级别之间的相关性来定位可见触发。
[0009]在上述方法实施例内容的基础上，本专利技术实施例中提供的基于对抗性光照的模型水印抹除方法，步骤3具体包括：采用沙漏网络表示所述反照率商图像估计，在模型训练中，通过加权比值图像估计损失，采用阴影掩码来处理阴影。
[0010]在上述方法实施例内容的基础上，本专利技术实施例中提供的基于对抗性光照的模型水印抹除方法，所述采用阴影掩码来处理阴影，包括：采用照明方向创建的阴影面具估计每个图像中的照明的大小，所采用的阴影掩码允许模型适应现实世界的环境，若光线撞击表面，则将阴影分为投射阴影，若光线不撞击表面，则将阴影分为自阴影，在阴影面具中，像素为投射阴影和自阴影分配为0，其他像素用1照亮。
[0011]第二方面，本专利技术的实施例提供了一种基于对抗性光照的模型水印抹除装置，包括：第一主模块，用于实现步骤1，估计目标的光照，为改变图像的光照，通过添加光照扰动获取光照的强度和位置，所需的光照扰动在不牺牲预测良性样本的能力的情况下破坏水印验证的触发器，扰动会误导分类模型的预测，对抗性的重新启动扰动用于扰乱采用良性样本预测的深度神经网络模型；第二主模块，用于实现步骤2，定位可见的触发器，并重新定位触发器的区域，以自适应地调整注入扰动ε；第三主模块，用于实现步骤3，带阴影的照明渲染，采用通过建模阴影的重新方法，显示在广泛的图像重新定位应用的潜力。
[0012]第三方面，本专利技术的实施例提供了一种电子设备，包括：
[0013]至少一个处理器；以及
[0014]与处理器通信连接的至少一个存储器，其中：
[0015]存储器存储有可被处理器执行的程序指令，处理器调用程序指令能够执行第一方面的各种实现方式中任一种实现方式所提供的基于对抗性光照的模型水印抹除方法。
[0016]第四方面，本专利技术的实施例提供了一种非暂态计算机可读存储介质，非暂态计算机可读存储介质存储计算机指令，计算机指令使计算机执行第一方面的各种实现方式中任一种实现方式所提供的基于对抗性光照的模型水印抹除方法。
[0017]本专利技术实施例提供的基于对抗性光照的模型水印抹除方法及设备，通过注入具有对抗性的自然感知扰动，将数据样本输入目标模型之前对其修改并进行分类，不需要原始训练数据集，不涉及任何模型修改，从而保证了模型的保真度，也不需要目标水印方案的相
关知识，应用四种SOTA的水印方案在多个DNN模型以及两个真实世界的数据集上进行了实验，能在不影响功能的情况下使水印无效。
附图说明
[0018]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做一简单的介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0019]图1为本专利技术实施例提供的基于对抗性光照的模型水印抹除方法流程图；
[0020]图2为本专利技术实施例提供的基于对抗性光照的模型水印抹除装置结构示意图；
[0021]图3为本专利技术实施例提供的电子设备的实体结构示意图。
具体实施方式
[0022]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。另外，本专利技术提供的各个实施例或单个实施例中的技术特征可以相互任意结合，以形成可行的技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于对抗性光照的模型水印抹除方法，其特征在于，包括：步骤1，估计目标的光照，为改变图像的光照，通过添加光照扰动获取光照的强度和位置，所需的光照扰动在不牺牲预测良性样本的能力的情况下破坏水印验证的触发器，扰动会误导分类模型的预测，对抗性的重新启动扰动用于扰乱采用良性样本预测的深度神经网络模型；步骤2，定位可见的触发器，并重新定位触发器的区域，以自适应地调整注入扰动ε；步骤3，带阴影的照明渲染，采用通过建模阴影的重新方法，显示在广泛的图像重新定位应用的潜力。2.根据权利要求1所述的基于对抗性光照的模型水印抹除方法，其特征在于，步骤1具体包括：针对注入扰动ε的强度，给定一个人脸图像I，采用人脸渲染模型兰伯特模型来表示包括，I＝R
⊙
f(N,L)，其中，R、N、L分别表示反射率、法线和照明，f(
·
)为兰伯特阴影函数，照明L为九维向量的九个球面的谐波系数，通过更新照明L来生成一个新的人脸图像来误导水印验证，采用反照率商图像来获得无反射率的重构方法，新的人脸图像表示为计算包括，其中，I的恢复通过正常的N、原始光L和目标照明来计算。3.根据权利要求2所述的基于对抗性光照的模型水印抹除方法，其特征在于，所述采用反照率商图像来获得无反射率的重构方法，具体包括：，以人脸识别为导向，保持良性样本预测和水印验证的功能，定义照明估计的目标函数用于破坏图像，保持良性样本预测的效用。4.根据权利要求3所述的基于对抗性光照的模型水印抹除方法，其特征在于，所述定义照明估计的目标函数用于破坏图像，保持良性样本预测的效用，包括：目标函数通过最大化和I之间的失真来表述，具体包括：其中D(
·
)是测量I和之间相似性的距离函数，是测量人脸嵌入的函数，ε用于控制照明的大小，通过探索ε的边界来最大化相似性。5.根据权利要求4所述的基于对抗性光照的模型水印抹除方...

【专利技术属性】
技术研发人员：汪润，任纪星，李昊轩，刘丽，陈晶，王丽娜，
申请(专利权)人：武汉大学，
类型：发明
国别省市：