一种抗深度神经网络识别的不可见盲水印生成方法

本发明属于图像盲水印领域，尤其涉及一种抗深度神经网络识别的不可见盲水印生成方法。

背景技术：

1、随着互联网技术的发展，人们已经步入前所未有的数字化时代，信息交流也来越便捷。数字图像是人们生活中重要的信息传递媒介，广泛应用于信息的传递分享。然而，在信息传递的过程中，相关的内容也可能被非法复制、篡改、盗用等，这对作者权益造成了很大的损害。随着数字媒体在日常生活中的广泛应用，研究对图像的版权保护愈发重要。数字水印是信息安全领域的重要研究方向，在解决图像版权保护和鉴别作品真伪方面发挥着重要的作用。按照检测过程来分类，水印可以分为盲水印和非盲水印。非盲水印在提取和检测水印信息时需要原始宿主的相关信息；盲水印在提取和检测时不需要原始宿主的参与，而更加具有实用价值和应用前景。水印能够对作品的使用给予监督，但是其本身不能直接防止图像的非法获取。

2、近年来，许多基于深度神经网络的技术被用于识别、分类图像数据。这引发了人们对私有图像安全的担忧，已经有应用软件可以基于深度神经网络分析、搜索获取用户发布在社交媒体网站上的私有图像。

3、szegedy等人发现通过向原始图像中添加一些精心设计的微小扰动可以使深度神经网络产生错误的输出，这种被添加扰动的图像被称为对抗样本，可以利用对抗样本这种特性来防止恶意实体通过深度神经网络来识别用户私有图像。

4、目前在人工智能安全领域，对私有图像的版权保护措施不佳，尤其是在许多基于深度神经网络的技术被用于识别、分类图像数据后，现提出一种基于数字水印和对抗样本来为私有图像提供双重图像版权保护的方法。

技术实现思路

1、针对现有技术的不足，本发明提供了一种抗深度神经网络识别的不可见盲水印生成方法，解决了上述问题。

2、为实现以上目的，本发明通过以下技术方案予以实现：一种抗深度神经网络识别的不可见盲水印生成方法，包括以下步骤：

3、利用编码器将水印信息嵌入到载体图像中；

4、利用目标分类器，引导编码器将水印信息嵌入到载体图像对抗特征区域，生成对抗水印图像；

5、利用噪声层对对抗水印图像添加噪声生成噪声对抗水印图像；

6、利用解码器将水印信息从噪声对抗水印图像中恢复；

7、利用鉴别器来进行对抗训练使恢复水印信息的噪声对抗水印图像更逼真。

8、在上述技术方案的基础上，本发明还提供以下可选技术方案：

9、进一步的技术方案：所述编码器的网络结构中引入了注意力机制模块cbam，基于所述编码器将水印信息嵌入到载体图像中的具体步骤为：

10、载体图像经过三个cbam模块逐步下采样到原图像尺寸的1/16，再经过一个cbam模块提取尺寸为1/64的图像全局特征，并与前一步的特征图进行通道拼接形成新的最底层特征图，其中，在上采样层中，通过转置卷积逐步恢复图像尺寸；

11、将长度为l的水印信息进行扩展和重塑尺寸，并送入多个cbam模块进行上采样来提取不同尺寸水印图像的特征，将相同尺寸的水印特征、下采样特征、上采样特征进行通道拼接来恢复图像细节和嵌入水印信息，最终进入一个卷积层和tanh激活函数输出最终编码图像。

12、进一步的技术方案：所述目标分类器为预训练目标分类器，其使用分类损失ladv更新参数θen来进行对抗攻击训练：

13、ladv＝f(y|ien)-max{f(i|ien):i≠y}

14、其中，y是载体图像的真实标签，f(i|ien)表示分类器f将输入ien预测为i的置信度。

15、进一步的技术方案：所述解码器将水印信息从噪声对抗水印图像中进行恢复的具体步骤为：

16、解码器接收将来自噪声层输出的经过噪声攻击的噪声对抗水印图像，通过1层卷积、三个cbam模块提取特征，然后经过2个cbam模块进行下采样，最后经过两个卷积层来重塑特征尺寸和将多通道转换为1通道，对嵌入噪声对抗水印图像中的水印信息进行恢复处理。

17、进一步的技术方案：所述鉴别器进行对抗训练使恢复水印信息的噪声对抗水印图像更逼真的具体步骤为：

18、输入首先经过三个卷积层下采样，然后经过两个分支，分别为全局分支和补丁分支；

19、鉴别器获取载体图像和噪声对抗水印图像并进行区分，同时编码器欺骗鉴别器的分类结果；

20、其中，全局分支经过五个卷积层得到一个二值输出来判断整幅图像是否经过编码；补丁分支经过两个卷积层得到一个32×32的二值输出来关注局部纹理细节。

21、进一步的技术方案：整个抗神经网络识别的盲水印网络的训练目标是最小化loss：

22、loss＝λenlen+λadvladv+λdld+λala

23、其中，λen、λadv、λd、λa是控制每个目标重要性的权重参数，ld是最小化原水印信息，ladv是分类损失，la是训练阶段使用损失函数。

24、进一步的技术方案：所述编码器的训练目标是编码图像和载体图像在视觉相似，因此，使用损失函数len更新参数θen来最小化编码图像和载体图像之间的距离：

25、len＝mse(ico,ien)＝mse(ico,en(ico,m；θen))

26、其中，ico表示载体图像，ien表示编码图像，mse表示均方误差，en表示编码器函数。

27、进一步的技术方案：所述解码器的训练目标是通过损失函数ld更新参数θd来最小化原水印信息ld和解码初的水印信息m'之间的距离：

28、ld＝mse(m,m')＝mse(m,d(ino；θd)

29、其中，ino表示含噪声的对抗水印图像。

30、进一步的技术方案：通过argminenmaxalgan来同时训练编码器和鉴别器：

31、

32、其中a为鉴别器函数；

33、在训练阶段使用损失函数la：

34、la＝lp_gan+lg_gan

35、其中，lp_gan和lg_gan分别为鉴别器中两个分支在前一la公式的损失。

36、有益效果

37、本发明提供了一种抗深度神经网络识别的不可见盲水印生成方法，与现有技术相比具备以下有益效果：

38、1、通过直接将水印嵌入到更具对抗性的特征区域中，使生成的图像既能对深度神经网络进行有效的攻击，又能从中提取高精度的水印信息；

39、2、通过一步式的生成方式，来减少水印嵌入的冗余，从而提高生成图像的视觉质量同时能够给定载体图像以及水印二值序列，我们将水印信息嵌入到载体图像中，使生成的编码图像(称为对抗水印图像)与原图像视觉上无法区分且能够误导深度神经网络分类的输出，并且还能从对抗水印图像中提取出原始的水印信息。

技术特征：

1.一种抗深度神经网络识别的不可见盲水印生成方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述编码器的网络结构中引入了注意力机制模块cbam，基于所述编码器将水印信息嵌入到载体图像中的具体步骤为：

3.根据权利要求1所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述目标分类器为预训练目标分类器，其使用分类损失ladv更新参数θen来进行对抗攻击训练：

4.根据权利要求1所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述解码器将水印信息从噪声对抗水印图像中进行恢复的具体步骤为：

5.根据权利要求1所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述鉴别器进行对抗训练使恢复水印信息的噪声对抗水印图像更逼真的具体步骤为：

6.根据权利要求2所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，整个抗神经网络识别的盲水印网络的训练目标是最小化loss：

7.根据权利要求2所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述编码器的训练目标是编码图像和载体图像在视觉相似，因此，使用损失函数len更新参数θen来最小化编码图像和载体图像之间的距离：

8.根据权利要求4所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，所述解码器的训练目标是通过损失函数ld更新参数θd来最小化原水印信息ld和解码初的水印信息m'之间的距离：

9.根据权利要求5所述的抗深度神经网络识别的不可见盲水印生成方法，其特征在于，通过argminenmaxalgan来同时训练编码器和鉴别器：

技术总结
本发明公开了一种抗深度神经网络识别的不可见盲水印生成方法，包括，利用编码器将水印信息嵌入到载体图像中；利用目标分类器，引导编码器将水印信息嵌入到载体图像对抗特征区域，生成对抗水印图像；利用噪声层对对抗水印图像添加噪声生成噪声对抗水印图像；利用解码器将水印信息从噪声对抗水印图像中恢复；利用鉴别器来进行对抗训练使恢复水印信息的噪声对抗水印图像更逼真；本发明能够基于数字水印和对抗样本来为私有图像提供双重图像版权保护。

技术研发人员：王海桦,王金伟,吴昊
受保护的技术使用者：南京信息工程大学
技术研发日：
技术公布日：2024/1/13