一种基于卷积神经网络的数字水印图像自监督黑盒攻击方法技术

本发明专利技术公开了基于卷积神经网络的数字水印图像自监督黑盒攻击方法，所述方法可以在未知水印算法的情况下进行黑盒攻击，包括邻域采样器

【技术实现步骤摘要】
一种基于卷积神经网络的数字水印图像自监督黑盒攻击方法


[0001]本专利技术涉及一种数字水印
，具体涉及一种基于卷积神经网络的数字水印图像自监督黑盒攻击方法
技术背景
[0002]经过常年的发展，数字图像水印愈发成熟，为当今的版权保护
、
数据监控和数据跟踪等方面提供了有效保护并得到了广泛应用
。
近年来，在大数据和硬件加速的推动下人工智能
、
深度学习
、
神经网络得到快速发展，为语音识别
、
图像识别和自然语言处理等领域的许多问题提供了解决方案
。
其中图像去噪
、
图像恢复
、
图像重构
、
超分辨率等也是重要课题，用于提高图像质量
。
深度学习的图像处理技术发展十分迅速，数字图像水印与深度学习的碰撞就此开启
。
[0003]传统水印攻击方法主要运用传统的图像处理方法进行的攻击，包括在空域
、
变换域上的滤波处理等，这些方法会对攻击后的图像造成很大的影响，内容细节纹理等损失严重，水印去除效果与图像质量难以两全
。
因此在机器学习
、
深度学习和人工智能有着不错成果的基础上，从另一个角度寻找能够在去除效果与图像质量得到平衡甚至两者都更好的方法对含鲁棒性数字水印的图像进行攻击
。

技术实现思路

[0004]为了解决上所述问题，本文目的在于提供一种基于卷积神经网络的数字水印图像自监督黑盒攻击方法，借助于深度学习网络图像去噪和自监督学习的思路，在未知水印算法的前提下对单张数字水印图像中嵌入的鲁棒性水印进行有效去除，并高度保持图像细节部分
。
[0005]本专利技术所采用的技术方案是：一种基于卷积神经网络的数字水印图像自监督黑盒攻击方法，一个自监督的框架，用于从对水印图像的单一观察中训练
CNN
攻击模型
。
拟议的训练计划包括两部分
。
第一种方法是使用随机邻域子采样器生成成对的噪声图像
。
对于第二部分，子采样图像自监督训练时，进一步引入正则化损失来解决成对的子采样噪声图像之间的非零地面真值差距
。
正则化损失由重构项和正则化项组成
。
包括以下步骤，其中：
[0006]步骤
1、
利用随机邻域子采样器
G
＝
(g1,g2)
产生用于训练的图片对
(g1(y),g2(y))
，满足在给定
ground
‑
truths
下的独立性要求
。
其中包含子步骤如下：
[0007]步骤
1.1、
选择用于图像采样的采样器大小单元，使用2×2的单元；
[0008]步骤
1.2、
对于采样子图的第
i
行和第
j
列像素，从随机选择两个相邻位置，分别作为子采样器
G
＝
(g1,g2)
的
(i,j)th
元素；
[0009]步骤
1.3、
重复步骤
1.2
直到大小为
w
×
h
的图片通过采样得到两张大小为
w/2
×
h/2
的采样子图
。
[0010]步骤
2、
构建用于水印攻击的自监督学习网络模型；
[0011]构建完成的网络模型包括一个滤波模块和两个子网络模型
。
滤波模块用于分解图
像的高低频
。
两个子网络分别为处理高频图像已训练的第一网络模型，和用于处理低频图像进行水印攻击的第二网络模型；
[0012]进一步，所述步骤2包含以下子步骤：
[0013]步骤
2.1、
将带水印的图像
y
利用上述采样器得到采样图
g1(y)
和
g2(y)
，将
y
和
g1(y)
作为网络的输入；
[0014]步骤
2.2、
通过滤波模块预处理并输入网络；
[0015]将图像输入网络中的滤波模块得到作为第一网络输入的高频图和作为第二网络输入的低频图像；
[0016]其中该滤波模块采用学习的方法构建，包括两组扩张卷积
、
池化层和非局部块，其中两组扩张卷积用于提取不同感受野的特征，池化层用于获取增强特征，非局部块用于获取全局特征；两组扩张卷积的核大小和扩展率比分别为
1:1
和
3:2
，池化为核大小为2×2的最大池化，非局部块包括1×1的卷积和
softmax。
[0017]步骤
2.3、
跨阶段特征拼接；
[0018]将已训练的第一网络中后面几层的特征图与第二网络中后几层的特征图拼接，作为第二网络后几层的特征图
。
[0019]步骤
2.4、
输出攻击后提取不出水印的图像；
[0020]拼接第一和第二网络的特征图，经过对第二网络的训练，得到难以提取出水印的攻击图像
。
[0021]步骤
2.5、
损失函数构建
、
训练与优化；
[0022]将未经过采样的图像
、
采样后未输入网络的图像
、
未采样经过网络后再进行采样的图像
、
采样后经过网络的图像
、
以及输入图像和输出图像的低频特征进行对比，构建损失函数进行自监督学习；并调整相应参数，直到模型收敛
。
[0023]所述滤波模块包括两组扩张卷积和池化层，两组扩张卷积用于提取不同感受野的特征，池化层用于获取增强特征：
[0024]其中两组扩张卷积的核大小和扩展率比分别为
1:1
和
3:2
，池化为核大小为2×2的最大池化
。
[0025]所述第一网络基于
U
‑
Net
包括编码部分与解码部分：
[0026]其中编码部分包括5个处理层用于下采样，包括卷积
、
批归一化
、
池化和激活函数；
[0027]其中解码部分包括4个处理层用于上采样，包括卷积
、
反卷积
、
批归一化和激活函数；
[0028]其中编码部分和解码部分的卷积核大小都为3×3，池化和反卷积的核大小都为2×2，解码部分最后输出部分的卷积核大小为1×1；
[0029]其中编码部分的输入通道为1，输出通道为
64
，其余处理层的输入通道数为上一层的输出通道数，并且每本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于卷积神经网络的数字水印图像自监督黑盒攻击方法，黑盒攻击的自监督学习框架，其特征在于，包括以下步骤：步骤
1、
利用随机邻域子采样器
G
＝
(g1，
g2)
产生用于训练的图片对
(g1(y)
，
g2(y))
，满足在给定
ground
‑
truths
下的独立性要求
。
步骤
2、
构建用于水印攻击的自监督学习网络模型；步骤
3、
利用训练完成的自监督网络进行水印攻击；向训练完成的网络中输入待攻击的水印图像，经过网络后得到提取不出水印的被攻击图像
。2.
根据权利要求1所述的自监督水印攻击方法，其特征在于，所述步骤1包括：步骤
1.1、
选择用于图像采样的采样器大小单元，我们使用2×2的单元；步骤
1.2、
对于采样子图的第
i
行和第
j
列像素，从随机选择两个相邻位置，分别作为子采样器
G
＝
(g1，
g2)
的
(i
，
j)th
元素；步骤
1.3、
重复步骤
1.2
直到得到两张大小为
w/2
×
h/2
的采样子图
。3.
根据权利要求1所述的自监督水印攻击方法，其特征在于，所述步骤2包括：步骤
2.1、
将带水印的图像
y
利用上述采样器得到采样图
g1...

【专利技术属性】
技术研发人员：陈自刚，刘正皓，代仁杰，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：