[发明专利]基于对抗攻击的数字图像水印方法

权利要求书

1.一种基于对抗攻击的数字图像水印方法，其特征在于，利用对抗攻击的方法，通过极小化生成图像与载体图像的欧式距离以及图像类别信息与水印信息的欧式距离来生成含水印图像，并利用训练好的神经网络对含水印图像实现水印提取；该方法步骤包括如下：

(1)构建一个输入维度为1024、输出维度为10的神经网络并设置参数：

(2)生成数据集：

(2a)搜集N种不同类别的图像，其中N≥10，每类图像不少于500张，每张图片的长、宽、通道数均为32×32×3；

(2b)对每张图像进行类别标注并生成标注文件，同时建立类别标注与水印序列片段的映射关系；

(2c)将所有图像和标注文件组成训练集；

(3)训练神经网络：

将训练集输入到神经网络中，迭代更新神经网络的权值，直到损失函数收敛为止，得到训练好的神经网络；

(4)对载体图像进行分块：

将载体图像按照从上到下、从左到右依次切分为大小为32×32的图像块，对载体图像右边缘和下边缘大小不足32×32的边缘图像块不作处理；

(5)对二值水印序列进行划分并转换为M维向量，其中M的数值等于N的数值；

所述的二值水印序列进行划分并转换为M维向量的步骤如下：

第一步，将二值水印序列转换为十进制水印序列；

第二步，将十进制水印序列均分为每段长度为K的水印序列片段，其中水印序列末端长度不足K独自划分为一段；

第三步，将每个水印序列片段转换为M维向量，其中M的数值等于N的数值，M维向量中每一维对应的数值为：

其中，w_i表示M维向量中第i维对应的数值；

(6)利用对抗攻击方法生成对抗图像块：

(6a)将训练好的神经网络作为对抗攻击网络；

(6b)依次选取一个未选过的水印向量和对应的载体图像分块，随机生成一个1024维的对抗图像向量x_adv作为对抗攻击的输入向量，将所选水印向量作为对抗攻击的输出向量目标；

(6c)将损失函数设置为其中，||·||表示欧几里得二范数，y_goal表示所选的水印向量，x_goal表示所选取水印向量对应的载体图像分块，f(x_adv)表示以x_adv作为输入时对抗攻击网络的输出，λ表示权重系数，取值范围为[0.1,1]；通过极小化生成图像与载体图像的欧式距离将水印向量嵌入到对应的载体图像分块，又通过极小化图像类别信息与水印信息的欧式距离将每个水印向量嵌入到对应的载体图像分块；

(6d)采用反向随机梯度下降方法，用损失函数梯度迭代更新对抗图像向量x_adv，直至损失函数收敛为止；

(6e)判断是否已选取完所有水印向量以及其对应载体图像分块，若已选取完，则执行步骤(7)；否则，执行步骤(6b)；

(7)获得含水印图像：

将步骤(6d)得到的每个1024维的对抗图像向量转化为32×32对抗图像块，并将所有对抗图像块与步骤(4)中不足32×32的边缘图像块拼合为含水印图像；

(8)采用与步骤(4)相同的方法，对含水印图像进行分块：

(9)获得水印序列：

(9a)将每个含水印图像块依次输入到训练好的神经网络中，利用步骤(2b)利用训练好的神经网络和类别标注与水印序列片段的映射关系得到水印序列片段；

(9b)将所有水印序列片段拼合成为水印序列。

2.根据权利要求1所述的基于对抗攻击的数字图像水印方法，其特征在于，步骤(1)中所述的神经网络并设置参数如下：搭建一个12层的神经网络，其结构依次为：第一卷积层，第二卷积层，第一池化层，第一dropout层，第三卷积层，第四卷积层，第二池化层，第二dropout层，扁平化层，第一全连接层，第三dropout层，第二全连接层；将第一至第四卷积层的输出通道分别设置为32，32，64，64，卷积核大小分别设置为32×32，30×30，15×15，13×13，步长均设置为1；第一、第二池化层均采用最大池化方式，池化区域核的大小均设置为2×2，步长均设置为2；扁平化层的降维维度设置为2304，第一、第二全连接层神经元个数分别设置为512，10，激活函数设置为sigmoid函数，损失函数优化器选用Adam。

3.根据权利要求1所述的基于对抗攻击的数字图像水印方法，其特征在于，步骤(6b)中所述的对抗图像向量元素的数值范围为[0,255]。