1.本发明涉及神经网络训练技术、人工智能安全领域,尤其涉及基于不可见水印的对抗样本生成方法及其应用和存储介质。
背景技术:
2.人工智能安全是目前非常热门的研究领域,对抗样本是人工智能安全的一个重要分支。传统的对抗样本生成方法(单像素攻击、边界攻击、逐点攻击等)主要集中在人为地向原始图像中添加不易察觉的扰动信息,但是扰动信息通常没有实际意义,所以无法应用于现实世界。近年来,研究者提出新的对抗样本生成方法,他们通过往原始图像中添加有意义的扰动信息,生产对抗样本。虽然他们嵌入对抗样本中的扰动信息有着实际意义,但是基于他们方法所生成的对抗样本失真较大,或者嵌入的扰动信息无法完整提取。目前,人工智能安全领域还未提出一种往原始图像中添加有实际意义的扰动信息,并且使得嵌入的扰动能够完整提取的方法。
技术实现要素:
3.有鉴于此,本发明的目的在于提出一种实施可靠、扰动信息可完整提取的基于不可见水印的对抗样本生成方法及其应用和存储介质。
4.为了实现上述的技术目的,本发明所采用的技术方案为:
5.一种基于不可见水印的对抗样本生成方法,其包括:
6.获取待处理的原始图像,通过对其嵌入不可见水印作为扰动信息以生成对抗样本;
7.其中,对抗样本的某一个像素通道分别保存原始图像缩放的尺寸、水印打乱的随机数种子和原始图像打乱的随机数种子。
8.作为一种可能的实施方式,进一步,对待处理图像嵌入不可见水印作为扰动信息的方法为:
9.s01、获取待处理的原始图像,令确定嵌入水印的原始图像为数字图像;
10.s02、将作为数字图像的水印转化二进制;
11.s03、进行三次对抗性攻击,生成对抗样本,三次对抗性攻击中,原始图像被缩放成预设尺寸倍数。
12.作为一种较优的选择实施方式,优选的,第一次对抗性攻击时,原始图像的缩放尺寸被设置为0.5-0.9,第二次对抗性攻击和第三次对抗性攻击时,原始图像的缩放尺寸分别被设置为10-10.1、0.35-12。
13.作为一种较优的选择实施方式,优选的,s03包括:
14.s031、第一次对抗性攻击:寻找宿主图像特定的缩放尺寸、水印打乱的随机数种子、原始图像打乱的随机数种子;通过离散小波变换技术嵌入不可见水印生成对抗样本,对具有对抗性的样本直接保留,使不具有对抗性的样本进入下一次对抗性攻击;
15.s032、第二次对抗性攻击:寻找宿主图像特定的缩放尺寸、水印打乱的随机数种子、原始图像打乱的随机数种子,通过离散小波变换技术嵌入不可见水印生成对抗样本,对具有对抗性的样本直接保留,使不具有对抗性的样本进入下一次对抗性攻击;
16.s033、第三次对抗性攻击:寻找宿主图像特定的缩放尺寸、水印打乱的随机数种子、原始图像打乱的随机数种子,通过离散小波变换技术嵌入不可见水印生成对抗样本,对具有对抗性的样本直接保留,使不具有对抗性的样本进入下一次对抗性攻击。
17.作为一种较优的选择实施方式,优选的,本方案还包括:
18.根据对抗样本的某一像素通道保存的原始图像缩放的尺寸、水印打乱的随机数种子和原始图像打乱的随机数种子进行完整提取对抗样本中嵌入的水印,实现不可见水印的信息提取。
19.本发明方案通过将问题公式化:可针对目标在于最小化对抗样本属于某一类别的置信度,从而愚弄深度分类模型对图像的分类。
20.在上述问题的解决方案上,本发明方案基于频率域的离散小波变换技术和盆地跳跃优化算法,提出基于离散小波变换和盆地跳跃算法实现不可见水印的对抗样本新方法,该方法可用于解决最小化对抗样本属于特定类别的置信度。在该方法的执行过程中,通过嵌入不可见水印作为扰动信息生成对抗样本,在执行过程中,对抗样本的某一个像素通道分别保存原始图像缩放的尺寸、水印的打乱的随机数种子,原始图像打乱的随机数种子。
21.而在不可见水印信息提取方面,本发明方案根据对抗样本的某一个像素通道保存的信息,可以完整提取出整个水印,实现不可见水印的信息提取;
22.基于上述方案,本发明还提供一种图像分类模型的训练方法,其包括上述所述的基于不可见水印的对抗样本生成方法。
23.基于上述方案,本发明还提供一种计算机可读的存储介质,其特征在于:所述的存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述的至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行实现和上述所述的基于不可见水印的对抗样本生成方法,或由处理器加载并执行实现上述所述的图像分类模型的训练方法。
24.基于上述方案,本发明还提供一种图像版权标注方法,其包括上述所述的基于不可见水印的对抗样本生成方法。
25.采用上述的技术方案,本发明与现有技术相比,其具有的有益效果为:
26.1、本发明方案可以实现不可见水印的嵌入和提取,可以应用于对抗样本版权保护。
27.2、本发明方案有着良好的不可见性,对抗样本与原始图像直接的差别难以通过人眼所察觉,有着比较好的视觉效果。
28.3、本发明方案有着良好的鲁棒性,与其他传统对抗样本方法对比,基于我们方法生成的对抗样本更加鲁棒。
29.4、本发明方案有着很好的安全性,基于我们方法生成的对抗样本通常会被人们认为是原始图像,从而避免对抗样本受到攻击,更加安全。
具体实施方式
30.下面结合实施例,对本发明作进一步的详细描述。特别指出的是,以下实施例仅用
于说明本发明,但不对本发明的范围进行限定。同样的,以下实施例仅为本发明的部分实施例而非全部实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
31.本实施方案一种基于不可见水印的对抗样本生成方法,其包括:
32.获取待处理的原始图像,通过对其嵌入不可见水印作为扰动信息以生成对抗样本;
33.其中,对抗样本的某一个像素通道分别保存原始图像缩放的尺寸、水印打乱的随机数种子和原始图像打乱的随机数种子;
34.本方案中,对待处理图像嵌入不可见水印作为扰动信息的方法为:
35.s01、获取待处理的原始图像,令确定嵌入水印的原始图像为数字图像;
36.s02、将作为数字图像的水印转化二进制;
37.s03、进行三次对抗性攻击,生成对抗样本,三次对抗性攻击中,原始图像被缩放成预设尺寸倍数。
38.其中,第一次对抗性攻击时,原始图像的缩放尺寸被设置为0.5-0.9,第二次对抗性攻击和第三次对抗性攻击时,原始图像的缩放尺寸分别被设置为10-10.1、0.35-12。
39.本方案s03包括:
40.s031、第一次对抗性攻击:寻找宿主图像特定的缩放尺寸、水印打乱的随机数种子、原始图像打乱的随机数种子;通过离散小波变换技术嵌入不可见水印生成对抗样本,对具有对抗性的样本直接保留,使不具有对抗性的样本进入下一次对抗性攻击;
41.s032、第二次对抗性攻击:寻找宿主图像特定的缩放尺寸、水印打乱的随机数种子、原始图像打乱的随机数种子,通过离散小波变换技术嵌入不可见水印生成对抗样本,对具有对抗性的样本直接保留,使不具有对抗性的样本进入下一次对抗性攻击;
42.s033、第三次对抗性攻击:寻找宿主图像特定的缩放尺寸、水印打乱的随机数种子、原始图像打乱的随机数种子,通过离散小波变换技术嵌入不可见水印生成对抗样本,对具有对抗性的样本直接保留,使不具有对抗性的样本进入下一次对抗性攻击。
43.即,本方案中,第二次对抗性攻击、第三次对抗性攻击,与第一次对抗性攻击步骤一样,其均是寻找宿主图像特定的缩放尺寸,水印的打乱的随机数种子,原始图像打乱的随机数种子。通过离散小波变换技术嵌入不可见水印生成对抗样本,对那些有对抗性的样本直接保留,让那些没有对抗性的样本进入下一次对抗性攻击。
44.在水印信息的提取方面,作为一种较优的选择实施方式,优选的,本方案还包括:
45.根据对抗样本的某一像素通道保存的原始图像缩放的尺寸、水印打乱的随机数种子和原始图像打乱的随机数种子进行完整提取对抗样本中嵌入的水印,实现不可见水印的信息提取。
46.基于上述方案,本实施例方案可用于图像分类模型的训练方法中,通过上述的基于不可见水印的对抗样本生成方法生成对抗训练样本。
47.除此之外,本实施例方案还可用于图像版权标注方法中。通过生成不可见但可提取的水印有助于对数字图像进行版权信息的标注,同时不影响数字图像的视觉效果。
48.另外,在本发明各个实施方式中的各功能可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元
既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
49.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施方式方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-only memory)、随机存取存储器(ram,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
50.以上所述仅为本发明的部分实施例,并非因此限制本发明的保护范围,凡是利用本发明说明书内容所作的等效装置或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。