一种针对JPEG量化步长估计的对抗样本生成方法

本发明涉及图像处理和深度学习技术，具体涉及一种针对jpeg量化步长估计的对抗样本生成方法。

背景技术：

1、如今，数字图像已成为社交网络上最常见的多媒体数据形式之一。然而，随着图像编辑技术和软件的发展，不仅篡改图像的成本越来越低，而且篡改图像很难与真实图像区分开来。这些篡改图像可以被用来传播谣言、误导舆论，从而给数字图像的可信度带来了极大的威胁。因此，近年来用于揭示图像真伪的数字图像取证技术受到了研究人员的广泛关注。

2、由于包含篡改图像在内的大多数数字图像都是以jpeg格式保存以节省内存，因此jpeg压缩带来的痕迹可以作为篡改图像取证的有效证据。例如，相关研究通过量化步长估计技术以揭示图像的压缩历史，从而定位篡改区域。当图像中某个区域的压缩历史与图像的其他区域不同，则可以判断该图像是篡改图像，该区域是被篡改区域。最近，为了进一步提高量化步长估计性能，研究者们通过引入端到端深度神经网络，提出了基于深度学习的量化步长估计方法。

3、虽然基于深度学习的量化步长估计方法可以取得更高的精度，但目前该类方法对攻击的鲁棒性尚未得到研究。在各种类型的攻击中，对抗样本是对深度学习最严重的威胁之一，其通过在原始图像中添加一些不易察觉的特殊扰动来欺骗目标模型。然而，现有的基于深度学习的量化步长估计方法缺乏对对抗样本的鲁棒性研究，从而降低了这些方法的可靠性和安全性，也影响了后续的取证工作。因此，如何通过端到端方式，生成适用于jpeg量化步长估计的对抗样本以提升目标模型对于恶意攻击的鲁棒性成为了亟待解决的问题。

4、现有基于深度学习的量化步长估计方法正处于研究初期，其研究重点在于估计的准确性，而没有考虑到恶意攻击对其造成的安全隐患，尤其是对抗样本这种对于深度学习模型更直接，更具针对性的攻击方式。例如专利cn112560901a公开一种基于图像预处理与对抗训练结合的防御对抗样本的方法，专利cn113723560a公开一种面向ar应用的基于生成对抗网络的对抗样本生成方法，都没有考虑到针对jpeg量化步长估计这一任务，它们仍然只针对图像分类这种简单任务，没有考虑到在更难且更有挑战性的回归任务上进行研究和应用。

技术实现思路

1、发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种针对jpeg量化步长估计的对抗样本生成方法，以强度更高的对抗攻击引导jpeg量化步长估计方法的性能提升，从而提高基于量化步长估计的篡改取证方法的鲁棒性和可靠性。

2、技术方案：本发明的一种针对jpeg量化步长估计的对抗样本生成方法，包括以下步骤：

3、步骤1、将数据集中jpeg压缩后的原始样本输入生成器，生成器输出与原始样本尺寸一致的对抗样本，具体方法为：

4、步骤1.1、利用颜色转换模块将原始样本从rgb色彩空间转换到ycbcr色彩空间；，为原始样本的数量；

5、步骤1.2、分离转换后的图像的y通道，并输入生成器，生成器依次包括编码器、瓶颈层和解码器，利用编码器捕捉图像中的量化痕迹；编码器输出的量化痕迹输入瓶颈层以将其转化为高维特征图；将瓶颈层输出的高维特征图输入解码器以将其映射成与原始样本相同尺寸的对抗扰动；

6、步骤1.3、将对抗扰动与原始样本的y通道进行逐像素求和；将求和后的y通道和原始样本cb和cr通道拼接，得到ycbcr图像；将所得ycbcr图像输入逆颜色转换模块以获取rgb色彩空间的对抗样本；

7、步骤2、根据直接攻击或预先攻击的不同攻击目标，将对抗样本或经jpeg压缩后的对抗样本输入jpeg量化步长估计网络，计算量化步长估计损失；

8、步骤3、将对抗样本及对应的原始样本输入判别器，分别计算原始样本的判别损失和对抗样本的判别损失，并优化判别器参数；具体方法为：

9、步骤3.1、将原始样本输入判别器，计算原始样本的判别损失，公式如下：

10、；

11、其中，输出了判别器对于原始样本的判别结果；

12、步骤3.2、将对抗样本输入判别器，计算对抗样本的判别损失，计算公式为：

13、；

14、其中，为判别器对于对抗样本的判别结果；

15、步骤3.3、将原始样本的判别损失和对抗样本的判别损失组合，形成判别器损失函数：

16、；

17、步骤3.4、根据判别器损失函数，利用反向传播算法及梯度下降技术更新判别器参数；当判别器参数更新后，冻结判别器参数；本发明将反向传播算法和梯度下降方法结合用来在训练过程中优化神经网络，使得更新后，判别器能够以更高的精度识别其输入是原始样本还是对抗样本，从而能够通过对抗训练的方式促使生成器生成更加逼近于原始样本的对抗样本；

18、步骤4、基于量化步长估计损失、扰动强度损失和逆对抗样本判别损失优化生成器参数。

19、进一步地，所述步骤1生成器中的编码器包括四个模块，每个模块均包括由卷积层、实例归一化和relu激活函数，为在特征数量和计算复杂度之间保持平衡，每个卷积层的步长均为2和卷积核的尺寸均为3×3，这种设置使得卷积具备与池化层类似的特性，从而减少模型过拟合的可能性；

20、所述瓶颈层由八个残差块，通过瓶颈层聚合编码器提取所得的量化痕迹，在潜空间中形成有效的特征图，从而促进损失逼近于最优值；

21、所述解码器将高维特征图映射成与原始图像尺寸相同的对抗扰动，为实现维度匹配，解码器包括一系列转置卷积层和实例归一化和激活函数；本发明中转置卷积层的参数是根据编码器中的卷积层设置的；同时，为使不同像素位置上的对抗扰动具有符号可变性，在解码器的最后一层使用tanh进行激活，从而确保生成的对抗扰动具有较高的灵活性和攻击能力。

22、进一步地，所述步骤2 jpeg量化步长估计网络计算量化步长估计损失的详细过程为：

23、步骤2.1、将步骤1所得对抗样本输入到量化步长估计网络中，量化步长估计网络输出对抗样本的估计量化步长；

24、步骤2.2、使用步骤2.1所得量化步长与对应原始样本真实的量化步长计算交叉熵损失，交叉熵损失的公式如下：

25、；

26、同时，使用步骤2.1所得量化步长与对应原始样本真实的量化步长计算范数损失，计算公式为：

27、；

28、其中，代表范数损失；代表交叉熵损失，为样本数量，为数据集中第个原始样本，为生成器对于原始样本输出的对抗扰动，代表参数为的量化步长估计网络，为原始样本对应的真实量化步长；

29、步骤2.3、使用超参数和来平衡交叉熵损失和范数损失，将其组成量化步长估计损失，量化步长估计损失的表达式为：。

30、进一步地，所述步骤4的具体过程为：

31、步骤4.1、使用范数计算对抗样本与原始样本之间的扰动强度损失：

32、；

33、其中，为范数；

34、步骤4.2、将对抗样本输入判别器计算逆对抗样本判别损失，公式如下：

35、；

36、步骤4.3、使用超参数和平衡化步长估计损失、扰动强度损失和逆对抗样本判别损失，组成优化生成器的损失函数，损失函数的表达式如下：

37、

38、步骤4.4、根据生成器损失函数，利用反向传播算法及梯度下降技术更新生成器参数，当生成器参数更新后，冻结生成器参数。

39、有益效果：本发明的根据不同的场景提出了两种类型的对抗攻击，即直接攻击和预先攻击。直接攻击旨在计算并向jpeg重压缩图像中添加对抗扰动，使量化步长估计模型无法估计该图像第一次jpeg压缩的量化步长。除此之外，通过考虑更具挑战性的情况，预先攻击旨在计算并在jpeg单压缩图像中添加对抗扰动。即使该图像进行了第二次jpeg压缩，这些了第二次jpeg压缩图像仍可误导量化步长估计方法，使其无法估计第一次压缩的量化步长。

40、为实现直接攻击和预先攻击，本发明通过在生成器和判别器之间进行最小-最大博弈来端到端的生成对抗样本。通过设计一个新的联合损失以稳定且平滑的学习量化操作留下的痕迹，本发明生成的对抗样本在各类数据集上，对于现有的量化步长估计模型具有优越的通用性和更高的现实应用价值。