一种端到端检测对抗隐写的方法

本发明涉及信息隐藏，特别是一种端到端检测对抗隐写的方法。

背景技术：

1、图像隐写旨在将秘密信息隐藏在图片载体中，以实现在不引起第三方注意的情况下进行信息传递。隐写检测的目的就是检测通过隐写术建立的秘密通信。随着隐写术的不断发展，相应的隐写检测技术也在快速更新。自2014年文献(shunquan tan,bin li,signaland information processing association annual summit and conference,2014,1-4)首次将卷积神经网络(convolutional neural network,cnn)应用于隐写分析以来，基于cnn的隐写分析模型的检测效果不断提升。为了增强隐写术对抗分析模型的安全性，隐写方提出了一种针对深度学习分析模型的抵御方法，即对抗隐写。对抗样本是指通过添加微小的扰动来使模型产生错误输出。对抗隐写即将隐写图像转化为对抗样本，以实现既携带秘密信息又能绕过分析模型检测的目的。对抗隐写方法通常是启发式的，可以捕获一些特定的细节以欺骗隐写分析器。例如，文献(solène bernard,tomás pevny,patrick bas,johnklein,acm workshop on information hiding and multimedia security.2019,216-221)通过基于对抗样本的快速梯度算法迭代地构建增强载体图像，直到生成的载密图像可以欺骗预训练的隐写分析器。文献(m.liu,w.luo,p.zheng,and j.huang,ieeetransactions on information forensics and security,2021,16:4621-4634)提出方法mae，联合载体图像的梯度和载密图像的梯度来决定代价修改的方向，进一步提高了隐写方法的安全性。这些对抗隐写方法给隐写分析任务带来了巨大的挑战，人们试图降低对抗样本对深度学习模型的负面影响。对抗训练是一种常见的抵御对抗样本的方法，其通过将正常样本和对抗样本的混合作为训练集来训练一个更鲁棒的网络。在训练过程中可以利用对抗样本的空间不稳定性对输入图像进行预处理，例如jpeg压缩、缩放、添加噪声等。但这种方式会引入额外的噪声，导致隐写检测的准确率下降。另一种直观的解决方式是消除对抗噪声，例如使用自编码器来消除输入样本中的对抗性扰动或利用降噪技术去除对抗噪声。但在隐写分析任务中，消除噪声的方式会导致隐写噪声也被去除，隐写分析任务失败。还有一种方法是增加额外的图像类别，也就是对抗样本，区分出正常样本和对抗样本，这种方法对多分类任务较有效，其模型输出的置信度信息较多。隐写分析作为二分类任务，置信度信息较少，且隐写噪声与对抗噪声非常相似，都添加在纹理丰富的区域，难以区分。有效的检测对抗隐写的方法很少，甚至没有端到端检测方法。端到端指的是输入是原始数据，输出是最后的结果，中间过程仅采用一个模型进行处理，不需要人工干预。文献(chuan qin,nazhao,weiming zhang,nenghai yu,ieee international conference on acoustics,speech and signal processing,2022,3079–3083)提出了一种基于采样的隐写分析防御方法。该方法通过对图像进行分割采样，绕过稀疏的对抗扰动，并提取有效特征。但由于对图像进行了分割采样，导致其丢失了一些重要的全局隐写特征，因此对非对抗隐写的检测精度并不高。这种方法使用的结构是深度特征+集成分类器，不是端到端检测方式。针对对抗隐写的检测问题，本发明利用置信度伪影和像素伪影，设计一种置信度损失函数来放大置信度伪影，并使用图像分块置乱和特征相似度函数减小对抗扰动对模型的负面影响，通过双流cnn网络来进行特征提取和分类，提高了针对对抗隐写的检测性能。

技术实现思路

1、为克服现有技术的以上不足，本发明的目的是提升针对对抗隐写的检测精度，通过一种利用置信度伪影和像素伪影的双流cnn网络，有效检测对抗隐写图片，并抵抗对抗扰动的负面影响，提升对抗隐写的检测性能。

2、实现本发明的技术方案如下：

3、一种端到端检测对抗隐写的方法，用于对加入了对抗扰动的隐写图片进行有效检测，利用置信度伪影和像素伪影，通过双流卷积神经网络对图像进行分类。网络由一个梯度子网和一个图像子网组成。通过置信度损失函数获得梯度流，放大置信度伪影，所获得的梯度流输入梯度子网中检测图像是否存在对抗性扰动。同时，图像被分成两个置乱块并输入到图像子网中进行特征提取，不同图像子块得到的特征进行特征融合，两个子网输出的特征用于最终分类；包括以下主要步骤：

4、步骤1，将已经训练好的隐写分析模型作为被攻击模型t，输入要检测的隐写图片数据集，计算本发明所设计的置信度损失函数lconf：

5、

6、

7、式中n为图像类别数，vi是输出结果的one-hot编码，li是输出结果在i维的分量。将置信度损失函数lconf进行反向传播得到图像的梯度信息，二维的置信度伪影被放大为多维的梯度伪影；

8、步骤2，梯度信息输入梯度子网进行特征提取，获得128维的特征向量；

9、步骤3，与步骤2同时，将图像数据集输入到图像子网中进行特征提取。在图像子网中，一张h×w的图像被划分为两个的图像子块，并对两个图像子块进行上下置乱，这样做是为了破坏对抗扰动的分布，减小对抗扰动对模型检测的影响。两个图像子块被同时输入图像子网中进行特征提取，得到两组特征向量f1,f2。对两组特征向量进行特征融合：

10、

11、表示特征f1的第i维，min(·)、max(·)、mean(·)和var(·)分别表示计算最小值、最大值、平均值和方差，得到的4组统计向量就是图像子网输出的特征；

12、步骤4，将图像子网和梯度子网输出的特征进行拼接，输入到全连接网络中进行分类，得到网络的预测值，同时计算对比损失lctr和分类损失lcla：

13、

14、lcla＝-[y*log(p)+(1-y)log(1-p)]

15、式中y∈{0,1}指的是图像的标签(0代表cover，1代表stego)，m是阈值参数，p指的是模型输出标签y＝1的概率。对比损失函数用以评估两个子图的噪声是否相似，同一图像中不同区域的自然噪声具有相似性，非自然噪声则差异较大。因此我们设置图像子网的辅助优化目标为：cover的子图特征尽可能相似，stego的子图特征尽可能不同。然后计算总损失函数：

16、l＝lcla+λlctr

17、λ为对比损失的权衡参数；在模型的训练过程中，通过最小化总损失，进行反向传播，对图像子网、梯度子网和全连接网络的参数进行更新，优化模型的检测效果；

18、步骤5，在达到设置的训练次数上限时，停止训练，得到针对对抗隐写的检测模型m。

19、采用如上的手段，相对于现有技术，本发明的有益效果在于：

20、在双流卷积神经网络中利用置信度伪影和像素伪影来检测对抗隐写，通过所设计的置信度损失函数反向传播得到梯度信息，放大二维的置信度伪影为多维的梯度伪影；并通过对图像进行分块置乱，利用特征相似度函数对模型进行优化，有效降低对抗扰动对模型的负面影响。在检测加入了对抗扰动的隐写图片和对抗隐写数据集训练中都有较好的效果，可应用于空域隐写检测，也可应用于jpeg域隐写检测。