一种面向人脸图像的可溯源对抗水印生成方法及系统

本发明涉及人脸识别，尤其涉及一种面向人脸图像的可溯源对抗水印生成方法及系统。

背景技术：

1、深度神经网络(deep neural networks,dnns)的提出使人脸识别算法获得显著提升。然而，研究表明，dnns具有一定的脆弱性，容易受到一些人为对抗性扰动的干扰从而误导模型输出错误结果。这启发研究者从对抗攻击的角度保护社交网络中人脸隐私图像的恶意识别，通过在面部图像中添加对抗扰动来干扰人脸识别模型的正确判断，然而该方法同样使人脸图像无法被授权的可靠用户所识别，例如学校、医疗结构等对人脸图像的识别认证，影响其正常的传播使用。

2、数字水印技术作为信息隐藏的一个重要分支，在版权追踪、图像认证等领域发挥着重要作用。数字水印技术通过在多媒体文件中嵌入代表版权信息的水印来实现数据的版权追踪，并在必要时提取水印对数据溯源。对抗攻击与数字水印的特点引发了我们对于人脸图像保护的新思考，能否使可溯源水印具有对抗性，使其在能够对抗dnns的同时，允许授权用户提取水印进行图像溯源与身份认证。

3、目前针对恶意人脸识别的社交网络人脸图像的隐私保护技术面临以下难题：

4、1)向人脸图像添加对抗扰动能够攻击人脸识别模型，但也无法提供给授权机构身份验证依据，影响图像的正常传播使用。同时，对抗扰动通过迭代攻击将梯度直接添加在图像像素值上，对抗鲁棒性差，无法承受社交网络中的图像处理操作，容易导致攻击失败。

5、2)已有的深度水印算法只能为图像提供溯源依据，无法从源头保护图像免受恶意识别。而由于对抗扰动的脆弱性，使得深度水印与对抗扰动无法同时添加到载体图像。

6、3)对抗水印能够以对抗训练的方式将单个水印嵌入到载体中，使水印同时具有可溯源性和对抗性。但是对抗性的引入会使水印的不可见性和溯源鲁棒性降低，不同性能指标间存在优化冲突。因此，如何权衡水印算法各方面性能，是现下数字图像水印与对抗样本技术的交叉领域的技术难题之一。

技术实现思路

1、本发明提供一种面向人脸图像的可溯源对抗水印生成方法及系统，用以解决现有技术中存在的缺陷。

2、第一方面，本发明提供一种面向人脸图像的可溯源对抗水印生成方法，包括：

3、获取载体图像，通过水印编码器将水印嵌入所述载体图像得到水印图像，计算所述水印图像和所述载体图像的图像质量损失；

4、利用判别器区分所述水印图像和所述载体图像，计算判别器损失并更新所述判别器；

5、采用噪声池对所述水印图像进行加噪处理，得到噪声水印图像；

6、通过人脸识别模型识别所述水印图像和所述噪声水印图像，计算输出的标签损失，通过水印解码器解码所述水印图像和所述噪声水印图像，计算水印信息损失；

7、分别优化所述图像质量损失、所述标签损失和所述水印信息损失，更新所述水印编码器和所述水印解码器，得到人脸图像对抗水印生成模型。

8、根据本发明提供的一种面向人脸图像的可溯源对抗水印生成方法，获取载体图像之前，还包括：

9、采集人脸数据集，对所述人脸数据集中的人物进行人脸识别，获得人脸数据集；

10、基于预设图像尺寸对所述人脸数据集进行裁剪，通过几何变换以及数据增强对裁剪后数据集进行处理，得到载体图像。

11、根据本发明提供的一种面向人脸图像的可溯源对抗水印生成方法，通过水印编码器将水印嵌入所述载体图像得到水印图像，计算所述水印图像和所述载体图像的图像质量损失，包括：

12、确定所述水印编码器包括unet模型主体框架和残差模块；

13、基于生成对抗网络gan的感知编码策略，以图像质量损失最小方式将水印嵌入所述载体图像，采用通道及空间注意力机制cbam引入编码过程，确定最佳水印嵌入强度，获得所述水印图像；

14、采用均方误差损失，计算所述水印图像和所述载体图像之间的所述图像质量损失。

15、根据本发明提供的一种面向人脸图像的可溯源对抗水印生成方法，利用判别器区分所述水印图像和所述载体图像，计算判别器损失并更新所述判别器，包括：

16、确定所述判别器包括卷积神经网络cnn；

17、将所述水印图像和所述载体图像输入所述判别器，与所述水印编码器进行对抗优化，输出判别结果；

18、根据所述判别结果，采用距离对数损失函数计算判别器损失，利用所述判别器损失更新所述判别器。

19、根据本发明提供的一种面向人脸图像的可溯源对抗水印生成方法，采用噪声池对所述水印图像进行加噪处理，得到噪声水印图像，包括：

20、确定所述噪声池包括jpeg图像压缩、图像几何变换、高斯模糊和高斯噪声；

21、所述jpeg图像压缩包括diff jpeg，采用不同压缩质量因子模拟不同平台压缩程度；

22、所述图像几何变换包括采用预设缩放范围比例；

23、所述高斯模糊包括采用不同模糊半径和模糊核大小的模拟攻击；

24、所述高斯噪声包括叠加预设范围的高斯噪声；

25、将所述水印图像输入所述噪声池，输出所述噪声水印图像。

26、根据本发明提供的一种面向人脸图像的可溯源对抗水印生成方法，通过人脸识别模型识别所述水印图像和所述噪声水印图像，计算输出的标签损失，包括：

27、确定所述人脸识别模型包括facenet、vgg16、resnet50以及mobilenetv2；

28、采用多种类型的人脸识别模型识别所述水印图像和所述噪声水印图像，输出标签信息；

29、从载体图像标签信息中确定伪标签作为身份冒充攻击目标；

30、分别计算水印图像标签信息、噪声水印图像标签信息与所述伪标签的交叉熵损失，以所述交叉熵损失作为所述标签损失。

31、根据本发明提供的一种面向人脸图像的可溯源对抗水印生成方法，通过水印解码器解码所述水印图像和所述噪声水印图像，计算水印信息损失，包括：

32、确定所述水印解码器包括多个二维卷积层、二维归一化层、relu激活函数构成的线性层和多个二维最大池化层按顺序进行组合，并以多维数据降维函数、一个线性变换层和一个sigmoid激活函数依次构成网络末位层；

33、将所述水印图像和所述噪声水印图像输入所述水印解码器，输出水印信息和噪声水印信息；

34、分别计算所述水印信息、所述噪声水印信息与原始水印信息的二值交叉熵，以所述二值交叉熵作为所述水印信息损失。

35、根据本发明提供的一种面向人脸图像的可溯源对抗水印生成方法，分别优化所述图像质量损失、所述标签损失和所述水印信息损失，更新所述水印编码器和所述水印解码器，得到人脸图像对抗水印生成模型，包括：

36、基于权重系数对所述图像质量损失、所述标签损失和所述水印信息损失进行加权求和，得到总损失函数；

37、利用所述总损失函数对所述水印编码器和所述水印解码器进行更新，输出所述人脸图像对抗水印生成模型。

38、第二方面，本发明还提供一种面向人脸图像的可溯源对抗水印生成系统，包括：

39、获取模块，用于获取载体图像，通过水印编码器将水印嵌入所述载体图像得到水印图像，计算所述水印图像和所述载体图像的图像质量损失；

40、判别模块，用于利用判别器区分所述水印图像和所述载体图像，计算判别器损失并更新所述判别器；

41、加噪模块，用于采用噪声池对所述水印图像进行加噪处理，得到噪声水印图像；

42、损失计算模块，用于通过人脸识别模型识别所述水印图像和所述噪声水印图像，计算输出的标签损失，通过水印解码器解码所述水印图像和所述噪声水印图像，计算水印信息损失；

43、生成模块，用于分别优化所述图像质量损失、所述标签损失和所述水印信息损失，更新所述水印编码器和所述水印解码器，得到人脸图像对抗水印生成模型。

44、第三方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述面向人脸图像的可溯源对抗水印生成方法。

45、本发明提供的面向人脸图像的可溯源对抗水印生成方法及系统，通过利用水印编解码器的方式完成水印的嵌入与恢复，并通过对抗训练为可溯源水印赋予对抗性。首先将待保护的载体图像数据集和水印信息输入到水印编码器中，利用注意力机制结合包含残差块的unet网络生成水印图像，并同时通过判别器区分载体图像和水印图像，与水印编码器进行对抗优化训练，提升水印图像质量，确认最佳水印嵌入强度。然后将水印图像输入到模拟噪声池进行加噪处理，接着水印图像和噪声水印图像分别输入到人脸识别模型及水印解码器中进行识别和水印解码，并计算相应的损失函数，训练成功后得到的水印编码器可以生成可溯源对抗水印图像，不仅能够对抗未授权的恶意人脸识别，同时允许授权机构提取该水印进行图像溯源，以进行身份验证，具有优秀的水印图像可溯源性、水印信息不可见性和对抗性以及性能鲁棒性等优点。本发明在多目标优化过程中，解决了传统无目标攻击带来的梯度冲突，解决了水印多种性能指标间的优化制衡，提升了面向现实世界的社交网络平台的水印图像性能鲁棒性。