基于最低有效位修改的不可见水印对抗样本生成方法

摘要

本发明提供了一种基于最低有效位修改的不可见水印对抗样本生成方法，包括：在盆地跳跃改进方法执行过程中，通过最低有效位嵌入算法嵌入不可水印作为扰动信息生成对抗样本；在执行过程中，对抗样本的最后一个像素的通道分别保存嵌入水印的位置、水印的特定尺寸；在水印信息提取过程中，根据对抗样本的最后一个像素通道保存的信息，即可完整提取出整个水印。采用上述方法生成的对抗样本不仅有着良好的视觉效果，还具有较高的攻击率，适宜进一步推广应用。

说明书

技术领域

本发明涉及人工智能安全领域，尤其涉及一种基于最低有效位修改的不可见水印对抗样本生成方法。

背景技术

人工智能安全是目前非常火热的一个研究领域，对抗样本是人工智能安全的一个重要分支。传统的对抗样本生成方法(单像素攻击、边界攻击、逐点攻击等)主要集中在人为地向原始图像中添加不易察觉的扰动信息，因此对抗样本中的扰动信息通常没有实际意义。因为扰动信息无实际意义，所以传统对抗样本生成方法无法应用于实际生产生活。近年来，也有一些研究者提出新的对抗样本生成方法，他们通过往原始图像中添加有意义的扰动信息，生产对抗样本。虽然他们嵌入对抗样本中的扰动信息有着实际意义，但是基于他们方法所生成的对抗样本失真较大，对抗样本与原始图像之间的差别容易通过人眼所察觉，因此难以实际应用于实际生产生活。目前，人工智能安全领域还未提出一种往原始图像中添加有实际意义的扰动信息，并且使得所生成的对抗样本失真较小的方法。

发明内容

本发明提出了一种基于最低有效位修改的不可见水印对抗样本生成方法，旨在于往原始图像中嵌入有意义的扰动信息，并且使生成的对抗样本有着良好的视觉效果。

为解决上述问题，本发明采用如下技术方案：

一种基于最低有效位修改的不可见水印对抗样本生成方法，包括：

在盆地跳跃改进方法执行过程中，通过最低有效位嵌入算法嵌入不可水印作为扰动信息生成对抗样本；

对抗样本的最后一个像素的通道分别保存嵌入水印的位置、水印的特定尺寸。

进一步的，所述盆地跳跃改进方法为盆地跳跃算法结合最低有效位嵌入算法。

上述基于最低有效位修改的不可见水印对抗样本生成方法具体步骤包括：

S1：确定嵌入水印的数字图像；

S2：将作为数字图像的水印转化为二进制；

S3：执行六次盆地跳跃改进方法，生成对抗样本；其中，六次盆地跳跃改进方法的不同点在于迭代次数以及水印尺寸的变化范围。

进一步的，第一次盆地跳跃改进方法的迭代次数设置为100，第二次与第三次盆地跳跃改进方法的迭代次数设置为60，第四次、第五次以及第六次盆地跳跃改进方法的迭代次数设置为30；

第一次盆地跳跃改进方法的水印尺寸变化范围从0.09到0.22，第二次与第三次盆地跳跃改进方法的水印尺寸变化范围从0.18到 0.22，第四次、第五次以及第六次盆地跳跃改进方法的水印尺寸变化范围从0.09到0.18。

进一步的，S3具体步骤如下：

S3.1：第一次至第五次盆地跳跃改进方法均为寻找宿主图像特定的坐标和水印的特定尺寸，通过最低有效位技术嵌入不可见水印生成对抗样本，保留有对抗性的样本，没有对抗性的样本进入下一次盆地跳跃改进；

S3.2：第六次盆地跳跃改进方法，寻找宿主图像特定的坐标和水印的特定尺寸，嵌入不可见水印生成对抗样本，保留有对抗性的样本，对没有对抗性的样本也进行保留。

基于上述方案，本发明还提供一种计算机可读的存储介质，所述的存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述的至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行实现上述所述的基于最低有效位修改的不可见水印对抗样本生成方法。

有益效果：

1)本发明有着高攻击率，我们方法的攻击率优于传统的黑盒攻击方法(空间攻击、边界攻击、单像素攻击等)，我们方法的最高攻击率达到93.5％。

2)本发明有着良好的视觉效果，对比于其他对抗样本生成方法，基于我们方法所生成的对抗样本有着良好的视觉效果。

3)本发明有着良好的鲁棒性，与其他黑盒攻击方法对比，生成的对抗样本更加鲁棒。

4)本发明有着很好的安全性，生成的对抗样本通常会被人们认为是原始图像，从而避免对抗样本受到攻击，更加安全。

具体实施方式

下面结合实施例，对本发明作进一步的详细描述。特别指出的是，以下实施例仅用于说明本发明，但不对本发明的范围进行限定。同样的，以下实施例仅为本发明的部分实施例而非全部实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本实施例提供的基于最低有效位修改的不可见水印对抗样本生成方法，基于盆地跳跃算法嵌入不可见水印生成对抗样本，目标在于最小化对抗样本属于特定类别的置信度，使得分类模型错误分类，从而达到愚弄分类模型的目的。

上述基于最低有效位修改的不可见水印对抗样本生成方法，包括：

在盆地跳跃改进方法(BHI)的执行过程中，通过嵌入不可水印作为扰动信息生成对抗样本，在执行过程中，对抗样本的最后一个像素的通道分别保存嵌入水印的位置、水印的特定尺寸；在后期水印信息提取过程中，根据对抗样本的最后一个像素通道保存的信息，即可完整提取出整个水印。

其中，盆地跳跃改进方法(BHI)为盆地跳跃算法结合最低有效位嵌入算法，实现通过盆地跳跃算法嵌入不可见水印生成对抗样本。

通过BHI嵌入不可见水印生成对抗样本的方法，具体包括如下步骤：

S1：确定嵌入水印的数字图像，只对在特定分类模型下正确分类的图像进行攻击；

S2：将作为数字图像的水印转化为二进制，以便后续嵌入水印到宿主图像之中。

S3：执行六次盆地跳跃改进方法，生成对抗样本；其中，六次盆地跳跃改进方法的过程相类似，唯一的不同点在于迭代次数以及水印尺寸的变化范围。

在第一次盆地跳跃改进方法，迭代次数被设置为100，但是，在第二次盆地跳跃改进方法和第三次盆地跳跃改进方法，迭代次数被设置为60，在第四次，第五次，第六次盆地跳跃改进方法，迭代次数被设置为30。在第一次盆地跳跃改进方法，尺寸的范围从0.09到0.22，但是，在第二次和第三次盆地跳跃改进方法，尺寸的范围从0.18到 0.22，在第四次、第五次、第六次盆地跳跃改进方法，尺寸的范围从 0.09到0.18。

其中，S3具体步骤如下：

S3.1：第一次至第五次盆地跳跃改进方法均为寻找宿主图像特定的坐标和水印的特定尺寸，通过最低有效位技术嵌入不可见水印生成对抗样本，保留有对抗性的样本(对抗性的样本即分类模型错误分类的样本)，没有对抗性的样本进入下一次盆地跳跃改进；

S3.2：第六次盆地跳跃改进方法，寻找宿主图像特定的坐标和水印的特定尺寸，嵌入不可见水印生成对抗样本，保留有对抗性的样本，对没有对抗性的样本也进行保留。具体地，本实施例按照预设条件寻找宿主图像特定的坐标和水印的特定尺寸。

另外，在本发明各个实施方式中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器 (processor)执行本发明各个实施方式方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的部分实施例，并非因此限制本发明的保护范围，凡是利用本发明说明书内容所作的等效装置或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。