一种抗深度神经网络识别的不可见盲水印生成方法技术

本发明专利技术公开了一种抗深度神经网络识别的不可见盲水印生成方法，包括，利用编码器将水印信息嵌入到载体图像中；利用目标分类器，引导编码器将水印信息嵌入到载体图像对抗特征区域，生成对抗水印图像；利用噪声层对对抗水印图像添加噪声生成噪声对抗水印图像；利用解码器将水印信息从噪声对抗水印图像中恢复；利用鉴别器来进行对抗训练使恢复水印信息的噪声对抗水印图像更逼真；本发明专利技术能够基于数字水印和对抗样本来为私有图像提供双重图像版权保护。保护。保护。

【技术实现步骤摘要】
一种抗深度神经网络识别的不可见盲水印生成方法


[0001]本专利技术属于图像盲水印领域，尤其涉及一种抗深度神经网络识别的不可见盲水印生成方法。

技术介绍

[0002]随着互联网技术的发展，人们已经步入前所未有的数字化时代，信息交流也来越便捷。数字图像是人们生活中重要的信息传递媒介，广泛应用于信息的传递分享。然而，在信息传递的过程中，相关的内容也可能被非法复制、篡改、盗用等，这对作者权益造成了很大的损害。随着数字媒体在日常生活中的广泛应用，研究对图像的版权保护愈发重要。数字水印是信息安全领域的重要研究方向，在解决图像版权保护和鉴别作品真伪方面发挥着重要的作用。按照检测过程来分类，水印可以分为盲水印和非盲水印。非盲水印在提取和检测水印信息时需要原始宿主的相关信息；盲水印在提取和检测时不需要原始宿主的参与，而更加具有实用价值和应用前景。水印能够对作品的使用给予监督，但是其本身不能直接防止图像的非法获取。
[0003]近年来，许多基于深度神经网络的技术被用于识别、分类图像数据。这引发了人们对私有图像安全的担忧，已经有应用软件可以基于深度神经网络分析、搜索获取用户发布在社交媒体网站上的私有图像。
[0004]Szegedy等人发现通过向原始图像中添加一些精心设计的微小扰动可以使深度神经网络产生错误的输出，这种被添加扰动的图像被称为对抗样本，可以利用对抗样本这种特性来防止恶意实体通过深度神经网络来识别用户私有图像。
[0005]目前在人工智能安全领域，对私有图像的版权保护措施不佳，尤其是在许多基于深度神经网络的技术被用于识别、分类图像数据后，现提出一种基于数字水印和对抗样本来为私有图像提供双重图像版权保护的方法。

技术实现思路

[0006]针对现有技术的不足，本专利技术提供了一种抗深度神经网络识别的不可见盲水印生成方法，解决了上述问题。
[0007]为实现以上目的，本专利技术通过以下技术方案予以实现：一种抗深度神经网络识别的不可见盲水印生成方法，包括以下步骤：
[0008]利用编码器将水印信息嵌入到载体图像中；
[0009]利用目标分类器，引导编码器将水印信息嵌入到载体图像对抗特征区域，生成对抗水印图像；
[0010]利用噪声层对对抗水印图像添加噪声生成噪声对抗水印图像；
[0011]利用解码器将水印信息从噪声对抗水印图像中恢复；
[0012]利用鉴别器来进行对抗训练使恢复水印信息的噪声对抗水印图像更逼真。
[0013]在上述技术方案的基础上，本专利技术还提供以下可选技术方案：
[0014]进一步的技术方案：所述编码器的网络结构中引入了注意力机制模块CBAM，基于所述编码器将水印信息嵌入到载体图像中的具体步骤为：
[0015]载体图像经过三个CBAM模块逐步下采样到原图像尺寸的1/16，再经过一个CBAM模块提取尺寸为1/64的图像全局特征，并与前一步的特征图进行通道拼接形成新的最底层特征图，其中，在上采样层中，通过转置卷积逐步恢复图像尺寸；
[0016]将长度为L的水印信息进行扩展和重塑尺寸，并送入多个CBAM模块进行上采样来提取不同尺寸水印图像的特征，将相同尺寸的水印特征、下采样特征、上采样特征进行通道拼接来恢复图像细节和嵌入水印信息，最终进入一个卷积层和tanh激活函数输出最终编码图像。
[0017]进一步的技术方案：所述目标分类器为预训练目标分类器，其使用分类损失L
adv
更新参数θ
en
来进行对抗攻击训练：
[0018]L
adv
＝f(y|I
en
)
‑
max{f(i|I
en
):i≠y}
[0019]其中，y是载体图像的真实标签，f(i|I
en
)表示分类器f将输入I
en
预测为i的置信度。
[0020]进一步的技术方案：所述解码器将水印信息从噪声对抗水印图像中进行恢复的具体步骤为：
[0021]解码器接收将来自噪声层输出的经过噪声攻击的噪声对抗水印图像，通过1层卷积、三个CBAM模块提取特征，然后经过2个CBAM模块进行下采样，最后经过两个卷积层来重塑特征尺寸和将多通道转换为1通道，对嵌入噪声对抗水印图像中的水印信息进行恢复处理。
[0022]进一步的技术方案：所述鉴别器进行对抗训练使恢复水印信息的噪声对抗水印图像更逼真的具体步骤为：
[0023]输入首先经过三个卷积层下采样，然后经过两个分支，分别为全局分支和补丁分支；
[0024]鉴别器获取载体图像和噪声对抗水印图像并进行区分，同时编码器欺骗鉴别器的分类结果；
[0025]其中，全局分支经过五个卷积层得到一个二值输出来判断整幅图像是否经过编码；补丁分支经过两个卷积层得到一个32
×
32的二值输出来关注局部纹理细节。
[0026]进一步的技术方案：整个抗神经网络识别的盲水印网络的训练目标是最小化Loss：
[0027]Loss＝λ
En
L
En
+λ
adv
L
adv
+λ
D
L
D
+λ
A
L
A
[0028]其中，λ
En
、λ
adv
、λ
D
、λ
A
是控制每个目标重要性的权重参数，L
D
是最小化原水印信息，L
adv
是分类损失，L
A
是训练阶段使用损失函数。
[0029]进一步的技术方案：所述编码器的训练目标是编码图像和载体图像在视觉相似，因此，使用损失函数L
en
更新参数θ
en
来最小化编码图像和载体图像之间的距离：
[0030]L
en
＝MSE(I
co
,I
en
)＝MSE(I
co
,En(I
co
,M；θ
en
))
[0031]其中，I
co
表示载体图像，I
en
表示编码图像，MSE表示均方误差，En表示编码器函数。
[0032]进一步的技术方案：所述解码器的训练目标是通过损失函数L
D
更新参数θ
D
来最小化原水印信息L
D
和解码初的水印信息M'之间的距离：
[0033]L
D
＝MSE(M,M')＝MSE(M,D(I
no
；θ
D
)
[0034]其中，I
no
表示含噪声的对抗水印图像。
[0035]进一步的技术方案：通过argmin
En
max
A
L
GAN
来同时训练编码器本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种抗深度神经网络识别的不可见盲水印生成方法，其特征在于，包括以下步骤：利用编码器将水印信息嵌入到载体图像中；利用目标分类器，引导编码器将水印信息嵌入到载体图像对抗特征区域，生成对抗水印图像；利用噪声层对对抗水印图像添加噪声生成噪声对抗水印图像；利用解码器将水印信息从噪声对抗水印图像中恢复；利用鉴别器来进行对抗训练使恢复水印信息的噪声对抗水印图像更逼真。2.根据权利要求1所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述编码器的网络结构中引入了注意力机制模块CBAM，基于所述编码器将水印信息嵌入到载体图像中的具体步骤为：载体图像经过三个CBAM模块逐步下采样到原图像尺寸的1/16，再经过一个CBAM模块提取尺寸为1/64的图像全局特征，并与前一步的特征图进行通道拼接形成新的最底层特征图，其中，在上采样层中，通过转置卷积逐步恢复图像尺寸；将长度为L的水印信息进行扩展和重塑尺寸，并送入多个CBAM模块进行上采样来提取不同尺寸水印图像的特征，将相同尺寸的水印特征、下采样特征、上采样特征进行通道拼接来恢复图像细节和嵌入水印信息，最终进入一个卷积层和tanh激活函数输出最终编码图像。3.根据权利要求1所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述目标分类器为预训练目标分类器，其使用分类损失L
adv
更新参数θ
en
来进行对抗攻击训练：L
adv
＝f(y|I
en
)
‑
max{f(i|I
en
):i≠y}其中，y是载体图像的真实标签，f(i|I
en
)表示分类器f将输入I
en
预测为i的置信度。4.根据权利要求1所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述解码器将水印信息从噪声对抗水印图像中进行恢复的具体步骤为：解码器接收将来自噪声层输出的经过噪声攻击的噪声对抗水印图像，通过1层卷积、三个CBAM模块提取特征，然后经过2个CBAM模块进行下采样，最后经过两个卷积层来重塑特征尺寸和将多通道转换为1通道，对嵌入噪声对抗水印图像中的水印信息进行恢复处理。5.根据权利要求1所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述鉴别器进行对抗训练使恢复水印信息的噪声对抗水印图像更逼真的具体步骤为：输入首先经过三个卷积层下采样，然后经过两个分支，分别为全局分支和补丁分支；鉴别器获取载体图像和噪声对抗水印图像并进行区分，同时编码器欺骗鉴别器的分类结果；其中，全局分支经过五个卷积层得到一个二值输出来判断整幅图像是否经过编码；补丁分支经过两个卷积层得到一个32
×
32的二值输出来关注局部纹理细节。6.根据权利要求2所述的抗深度神经网络...

【专利技术属性】
技术研发人员：王海桦，王金伟，吴昊，
申请(专利权)人：南京信息工程大学，
类型：发明
国别省市：