一种基于对抗样本攻击的数字水印方法

1.本发明涉及图像处理技术领域，特别涉及一种基于对抗样本攻击的数字水印方法。


背景技术：

2.数字水印技术是一种基于内容的、非密码机制的计算机信息隐藏技术。数字水印技术主要用于数字图像的版权保护和完整性认证，作为一种保护数字图像版权的主要技术，通过将版权信息通过水印算法嵌入到宿主图像，从而对版权进行隐蔽。在数字图像版权受到侵犯时，能够通过水印提取算法将版权信息提取出来，从而作为数字图像归属的主要证据。
3.现有技术中数字图像水印系统中载体图像是数字图像，水印信息可以是图像、文字等其他含有版权信息的数据。数字图像水印系统主要包括水印嵌入和水印提取两个步骤。现有的数字水印方法有很多，例如：专利号为zl202110584340.3(授权公告号为cn113222802b)的中国发明专利《基于对抗攻击的数字图像水印方法》和申请号为cn202211609945.4(申请公布号为cn115829819a)的中国发明专利《基于神经网络的图像鲁棒可逆信息隐藏方法、设备及介质》，虽然上述两种图像水印方法都能在不被察觉的前提下，将水印信息嵌入到宿主图像中去，但现有技术中的方案通常为：水印的提取都需要借助特定的解码器才能从宿主图像中提取出水印信息，由于涉及到水印嵌入算法的安全性，解码器的技术细节和解码过程并不一定会被公开，所以用户对于一个黑盒算法提取出的水印信息必然会引起怀疑，这就导致了使用者与水印解码这一过程之间产生了信任危机。
4.为此，需要对现有技术作进一步的改进。


技术实现要素：

5.本发明所要解决的技术问题是针对上述现有技术，而提供一种提高水印可信度与权威性的基于对抗样本攻击的数字水印方法。
6.本发明解决上述技术问题所采用的技术方案为：一种基于对抗样本攻击的数字水印方法，其特征在于：包括如下两个阶段：
7.第一阶段：将水印信息m嵌入至载体图像x而得到水印图像
8.具体步骤为：
9.步骤1-1、选取网络模型h(.)，将载体图像x输入到网络模型中，得到第一输出结果序列y；
10.y＝h(x)；
11.步骤1-2、将水印信息m加入到第一输出结果序列y中得到攻击目标y
target
；
12.y
target
＝e(y,m)；
13.其中，e(.)为编码方式；
14.步骤1-3、将迭代次数t的初始值设为0；
15.步骤1-4、按照下述的计算公式得到第t+1次迭代生成的水印图像
[0016][0017]
其中，为第t次迭代生成的水印图像，∈为减小扰动系数，为目标攻击的损失函数，为目标攻击的损失函数，为计算h(x)与y
target
之间的欧式距离，λ为超参数，为二范数计算，为计算的梯度；
[0018]
步骤1-5、判断t+1的值是否等于预设值t，如是，则将生成的水印图像作为最终得到的水印图像如否，则将t值加1，并转入至1-4；
[0019]
第二阶段：对水印图像进行解码，得到水印信息；
[0020]
具体步骤为：将水印图像输入到步骤1-1的网络模型中，即得到第二输出结果序列y’，并从y’中提取出嵌入的水印信息m；
[0021]
m＝d(y’)
[0022]
其中d(.)为对第二输出结果序列y’的解码过程。
[0023]
优选地，所述步骤1-1中的网络模型为ocr神经网络模型。
[0024]
优选地，所述步骤1-2中e(.)对应的编码方式为：在第一输出结果序列y的后端直接添加水印信息m得到y
target
。
[0025]
优选地，所述第二阶段中d(.)的解码方式为：从第二输出结果序列y’的后端截取得到嵌入的水印信息m。
[0026]
与现有技术相比，本发明的优点在于：通过将公开的网络模型作为水印的解码器，将水印信息以对抗扰动的形式嵌入图像中，并使用一个公开可信的神经网络模型将嵌入的信息解码出来，从而提高水印的可信度与权威性。
具体实施方式
[0027]
以下结合实施例对本发明作进一步详细描述。
[0028]
实施例一：
[0029]
本实施例中基于对抗样本攻击的数字水印方法包括如下两个阶段：
[0030]
第一阶段：将水印信息m嵌入至载体图像x而得到水印图像
[0031]
具体步骤为：
[0032]
步骤1-1、选取网络模型h(.)，将载体图像x输入到网络模型中，得到第一输出结果序列y；
[0033]
y＝h(x)；
[0034]
该网络模型选用公开可信的网络模型，如本实施例中，网络模型为ocr神经网络模型；y是网络模型对载体图像x的正确预测结果，通常该预测结果中只包含与网络模型h(
·
)所需要处理的任务相关的信息，不包含水印信息；
[0035]
步骤1-2、将水印信息m加入到第一输出结果序列y中得到攻击目标y
target
；
[0036]ytarget
＝e(y,m)；
[0037]
其中，e(.)为编码方式；e(.)为一种直观而简单的编码方式将水印信息m表达在正
确的预测结果y上，例如ocr网络，则是将水印信息以文字的形式添加在正确预测的文字序列上；
[0038]
本实施例中，e(.)对应的编码方式为：在第一输出结果序列y的后端直接添加水印信息m得到y
target
；
[0039]
步骤1-3、将迭代次数t的初始值设为0；
[0040]
步骤1-4、按照下述的计算公式得到第t+1次迭代生成的水印图像
[0041][0042]
其中，为第t次迭代生成的水印图像，∈为减小扰动系数，考虑的场景中，嵌水印者可以获得网络模型的梯度信息，并且可以根据梯度信息制作对抗样本，故嵌水印者可以通过优化输入的载体图像x来降低损失函数来达到这一目的，使用有目标的攻击方法对选取的网络模型进行攻击，为目标攻击的损失函数，l(h(x),y
target
)为计算h(x)与y
target
之间的欧式距离，λ为超参数，为二范数计算，为计算的梯度；
[0043]
本实施例中，l(h(x),y
target
)的计算公式为：
[0044]
在这个迭代过程中会不断在载体图像为x上添加肉眼不可见的微小扰动，用∈来控制扰动的大小，同时通过降低来控制叠加的扰动不会过大，同时网络模型对载体图像x的预测结果y也逐渐朝着嵌水印者设定的目标攻击时的目标y
target
靠拢，由于水印信息已经包含在水印者设定的目标攻击时的目标y
target
中从而起到水印嵌入的目的；
[0045]
步骤1-5、判断t+1的值是否等于预设值t，如是，则将生成的水印图像作为最终得到的水印图像如否，则将t值加1，并转入至1-4；
[0046]
第二阶段：对水印图像进行解码，得到水印信息；
[0047]
具体步骤为：将水印图像输入到步骤1-1的网络模型中，即得到第二输出结果序列y’，并从y’中提取出嵌入的水印信息m；
[0048][0049]
其中d(.)为对第二输出结果序列y’的解码过程。
[0050]
本实施例中，d(.)的解码方式为：从第二输出结果序列y’的后端截取得到嵌入的水印信息m。
[0051]
本实施例中还涉及一种计算机可读存储介质，存储有计算机程序，且能被处理器读取并执行，计算机程序被处理器执行时实现上述基于对抗样本攻击的数字水印方法。
[0052]
本实施例是一种适合任大部分公开的网络模型，无需修改网络模型的架构或者权重，也无需额外训练水印解码器和编码器，是一种在保证图像质量的前提下使用对抗样本的方式将水印嵌入到图像中的水印算法，选用公开可信的神经网络作为解码的工具，解码过程非常直观，解决了各利益方对与水印解码结果的不信任。
[0053]
实施例二：
[0054]
与实施例一不同的是，本实施例中的网络模型为图像inpainting模型(即：图像修
复模型)；则步骤1-2中e(.)对应的编码方式为：将水印信息m已图像的形式线性叠加到需要图像修复的区域；第二阶段中d(.)的解码方式为：裁切图像修复模型修补出的图像部分。
[0055]
上述网络模型、编码方式和解码方式为本领域技术人员所公知的现有技术，并且其类型有多种，可以根据实际使用效果进行选择。

技术特征：
1.一种基于对抗样本攻击的数字水印方法，其特征在于：包括如下两个阶段：第一阶段：将水印信息m嵌入至载体图像x而得到水印图像具体步骤为：步骤1-1、选取网络模型h(.)，将载体图像x输入到网络模型中，得到第一输出结果序列y；y＝h(x)；步骤1-2、将水印信息m加入到第一输出结果序列y中得到攻击目标y
target
；y
target
＝e(y,m)；其中，e(.)为编码方式；步骤1-3、将迭代次数t的初始值设为0；步骤1-4、按照下述的计算公式得到第t+1次迭代生成的水印图像4、按照下述的计算公式得到第t+1次迭代生成的水印图像其中，为第t次迭代生成的水印图像，∈为减小扰动系数，为目标攻击的损失函数，为目标攻击的损失函数，为计算h(x)与y
target
之间的欧式距离，λ为超参数，为二范数计算，为计算的梯度；步骤1-5、判断t+1的值是否等于预设值t，如是，则将生成的水印图像作为最终得到的水印图像如否，则将t值加1，并转入至1-4；第二阶段：对水印图像进行解码，得到水印信息；具体步骤为：将水印图像输入到步骤1-1的网络模型中，即得到第二输出结果序列y’，并从y’中提取出嵌入的水印信息m；m＝d(y
′
)其中d(.)为对第二输出结果序列y’的解码过程。2.根据权利要求1所述的数字水印方法，其特征在于：所述步骤1-1中的网络模型为ocr神经网络模型。3.根据权利要求2所述的数字水印方法，其特征在于：所述步骤1-2中e(.)对应的编码方式为：在第一输出结果序列y的后端直接添加水印信息m得到y
target
。4.根据权利要求3所述的数字水印方法，其特征在于：所述第二阶段中d(.)的解码方式为：从第二输出结果序列y’的后端截取得到嵌入的水印信息m。

技术总结
本发明涉及一种基于对抗样本攻击的数字水印方法，包括两个阶段：第一阶段：将水印信息m嵌入至载体图像x而得到水印图像具体步骤为：选取网络模型，将载体图像x输入到网络模型中，得到y；将水印信息m加入到y中得到攻击目标；将迭代次数t的初始值设为0，计算得到第t+1次迭代生成的水印图像并判断t+1的值是否等于预设值T，如是，则将生成的水印图像作为最终得到的水印图像如否，则将t值加1，并继续计算第t+1次迭代生成的水印图像；第二阶段：对水印图像进行解码，得到水印信息；具体为：将水印图像输入到网络模型中，即得到y’，并从y’中提取出嵌入的水印信息m。该方法提高水印的可信度与权威性。水印的可信度与权威性。


技术研发人员：董理 季潇剑 王让定 严迪群
受保护的技术使用者：宁波大学
技术研发日：2023.06.27
技术公布日：2023/9/20