![点击分享此内容可以赚币 分享](/master/images/share_but.png)
基于智能进化算法的可见水印对抗攻击.pdf
《基于智能进化算法的可见水印对抗攻击.pdf》由会员分享,可在线阅读,更多相关《基于智能进化算法的可见水印对抗攻击.pdf(9页珍藏版)》请在咨信网上搜索。
1、 基于智能进化算法的可见水印对抗攻击*季俊豪1,张玉书1,赵若宇1,温文媖2,董 理3(1.南京航空航天大学计算机科学与技术学院,江苏 南京 2 1 1 1 0 6;2.江西财经大学信息管理学院,江西 南昌 3 3 0 0 3 2;3.宁波大学信息科学与工程学院,浙江 宁波 3 1 5 0 0 0)摘 要:随着公民版权意识的提高,越来越多含有水印的图像出现在生活中。然而,现有的研究表明,含有水印的图像会导致神经网络分类错误,这对神经网络的普及和应用构成了巨大的威胁。对抗训练是解决这类问题的防御方法之一,但是需要使用大量的水印对抗样本作为训练数据。为此,提出了一种基于智能进化算法的可见水印对抗攻
2、击方法来生成高强度的水印对抗样本。该方法不仅能快速生成水印对抗样本,而且还能使其最大程度地攻击神经网络。此外,该方法还加入了图像质量评价指标来约束图像的视觉损失,从而使水印对抗样本更加美观。实验结果表明,所提方法相比于基准水印攻击方法时间复杂度更低,相比于基准黑盒攻击对神经网络攻击成功率更高。关键词:对抗攻击;水印;图像质量评价指标;优化;神经网络中图分类号:T P 3 0 9.2文献标志码:Ad o i:1 0.3 9 6 9/j.i s s n.1 0 0 7-1 3 0 X.2 0 2 4.0 1.0 0 7A d v e r s a r i a l v i s i b l e w a
3、t e r m a r k a t t a c k b a s e d o n i n t e l l i g e n t e v o l u t i o n a r y a l g o r i t h mJ I J u n-h a o1,Z HANG Y u-s h u1,Z HAO R u o-y u1,WE N W e n-y i n g2,D ONG L i3(1.C o l l e g e o f C o m p u t e r S c i e n c e a n d T e c h n o l o g y,N a n j i n g U n i v e r s i t y o f
4、A e r o n a u t i c s a n d A s t r o n a u t i c s,N a n j i n g 2 1 1 1 0 6;2.S c h o o l o f I n f o r m a t i o n M a n a g e m e n t,J i a n g x i U n i v e r s i t y o f F i n a n c e a n d E c o n o m i c s,N a n c h a n g 3 3 0 0 3 2;3.F a c u l t y o f E l e c t r i c a l E n g i n e e r i
5、n g a n d C o m p u t e r S c i e n c e,N i n g b o U n i v e r s i t y,N i n g b o 3 1 5 0 0 0,C h i n a)A b s t r a c t:W i t h t h e i n c r e a s i n g a w a r e n e s s o f c i t i z e n c o p y r i g h t,m o r e a n d m o r e i m a g e s c o n t a i n i n g w a-t e r m a r k s a r e a p p e a
6、r i n g i n d a i l y l i f e.H o w e v e r,e x i s t i n g r e s e a r c h s h o w s t h a t i m a g e s w i t h w a t e r m a r k s c a n c a u s e n e u r a l n e t w o r k m i s c l a s s i f i c a t i o n,p o s i n g a s i g n i f i c a n t t h r e a t t o t h e p o p u l a r i z a t i o n a n
7、d a p p l i c a t i o n o f n e u r a l n e t w o r k s.A d v e r s a r i a l t r a i n i n g i s o n e o f t h e d e f e n s i v e m e t h o d s t o s o l v e t h i s p r o b l e m,b u t i t r e-q u i r e s a l a r g e n u m b e r o f w a t e r m a r k a d v e r s a r i a l s a m p l e s a s t r a
8、i n i n g d a t a.T o a d d r e s s t h i s i s s u e,t h i s p a-p e r p r o p o s e s a v i s i b l e w a t e r m a r k a d v e r s a r i a l a t t a c k m e t h o d b a s e d o n i n t e l l i g e n t e v o l u t i o n a r y a l g o r i t h m t o g e n e r a t e h i g h-i n t e n s i t y w a t e
9、r m a r k a d v e r s a r i a l s a m p l e s.T h i s m e t h o d c a n n o t o n l y q u i c k l y g e n e r a t e w a t e r m a r k a d v e r s a r i a l s a m p l e s,b u t a l s o m a x i m i z e t h e a t t a c k o n t h e n e u r a l n e t w o r k.I n a d d i t i o n,t h i s m e t h o d i n c
10、o r p o r a t e s i m a g e q u a l i t y e v a l u a t i o n m e t r i c s t o c o n s t r a i n t h e v i s u a l l o s s o f t h e i m a g e,m a k i n g t h e w a t e r m a r k a d v e r s a r i a l s a m p l e s m o r e v i s u a l l y a p p e a l i n g.T h e c o m p r e h e n s i v e e x p e r
11、i m e n t a l r e s u l t s s h o w t h a t t h e p r o p o s e d m e t h o d h a s l o w e r t i m e c o m p l e x i t y t h a n t h e b e n c h m a r k w a t e r m a r k a t t a c k m e t h-o d,a n d h a s a h i g h e r a t t a c k r a t e o n n e u r a l n e t w o r k s c o m p a r e d t o t h e
12、b e n c h m a r k b l a c k b o x a t t a c k.K e y w o r d s:a d v e r s a r i a l a t t a c k;w a t e r m a r k;i m a g e q u a l i t y e v a l u a t i o n;o p t i m i z a t i o n;n e u r a l n e t w o r k*收稿日期:2 0 2 3-0 4-1 1;修回日期:2 0 2 3-0 6-0 2基金项目:国家自然科学基金(6 2 0 7 2 2 3 7);南京航空航天大学研究生科研与实践创新计划
13、(x c x j h 2 0 2 3 1 6 0 3)通信作者:张玉书(y u s h u n u a a.e d u.c n)通信地址:2 1 1 1 0 6 江苏省南京市南京航空航天大学计算机科学与技术学院A d d r e s s:C o l l e g e o f C o m p u t e r S c i e n c e a n d T e c h n o l o g y,N a n j i n g U n i v e r s i t y o f A e r o n a u t i c s a n d A s t r o n a u t i c s,N a n j i n g 2 1
14、 1 1 0 6,J i a n g s u,P.R.C h i n a C N 4 3-1 2 5 8/T PI S S N 1 0 0 7-1 3 0 X 计算机工程与科学C o m p u t e r E n g i n e e r i n g&S c i e n c e第4 6卷第1期2 0 2 4年1月 V o l.4 6,N o.1,J a n.2 0 2 4 文章编号:1 0 0 7-1 3 0 X(2 0 2 4)0 1-0 0 6 3-0 91 引言近年来,神经网络在许多领域取得了巨大的成功,引起了广泛的关注。然而,最近的一些研究成果1 8表明,神经网络容易受到对抗样本中的攻
15、击,这种攻击通过对模型输入进行细微的扰动,导致神经网络分类错误。水印对抗样本7,8是对抗样本中的一种特例,它将特定的水印作为扰动嵌入到图像中误导神经网络模型,这对神经网络的普及和应用造成了巨大的威胁。如图1所示,在德牧图像中添加透明度为0.3的伯克利分校校徽,R e s-N e t 1 0 1(R e s i d u a l N e u r a l N e t w o r k w i t h 1 0 1 l a y-e r s)将生成的图像错误地分类为枪口。F i g u r e 1 A n e x a m p l e o f n e u r a l n e t w o r k c l a s
16、 s i f i c a t i o n m i s l e d b y w a t e r m a r k i n g(t o p c o n f i d e n c e s c o r e)图1 神经网络分类被水印误导的示例(最高置信度)水印是添加在不同图像上的文本或图案。根据视觉效果的不同,水印分为可见水印和不可见水印。可见水印是一种在数字媒体上直接可见的水印,通常包括文字、图像或标志等,用于声明图像来源或者美化图像,并且已被证明可见水印对压缩、旋转等防御措施具有鲁棒性8。不可见水印通常由一些不可察觉的数字信号组成,常用于验证数字内容的来源和完整性。随着公民版权意识的提高,含有水印的图像
17、在日常生活中越来越多。如何使神经网络分类器对这些图像具有鲁棒性成了一大难题。对抗训练是解决这个问题最有效的防御措施之一。这种方法通过不断输入水印对抗样本并执行对抗训练,从而不断提升神经网络的鲁棒性。然而,对抗训练的成本较高,为了保证有效性,需要使用大量高强度的水印对抗样本。现有的方法7,8使用可见水印对抗攻击来生成高强度的水印对抗样本。但是,这些方法无法自动地设置约束条件,且没有考虑生成样本的视觉效果。为此,本文提出了一种基于智能进化算法的可见水印对抗攻击方法。该方法将可见水印对抗攻击问题转化为求解约束非凸优化问题,不仅能快速地生成水印对抗样本,而且还能使生成的水印对抗样本最大程度地攻击神经网
18、络。具体来说,本文主要采用遗传算法来生成水印对抗样本。首先对水印进行图像变换(缩放、旋转等),之后采用A l p h a-b l e n d i n g技术将变换后的水印嵌入到原始图像中,最后使用神经网络对生成的图像进行预测,并进行迭代优化,选择出能最大程度影响预测结果的参数。为了控制水印对抗样本的视觉效果,本文方法还引入了图像质量评价指标来约束图像的视觉损失。值得注意的是,本文提出的方法是一种基于置信度的方法,属于黑盒攻击,只需获取神经网络分类器输出的类别和置信度就能生成水印对抗样本。相较于现有的方法,本文提出的方法能够根据设定的视觉损失约束,自动地调整嵌入水印的参数,不需要人工设定参数的约
19、束边界,具有更高的效率。水印对抗攻击生成的水印对抗样本不仅适用于对抗训练,而且在现实场景中具有广泛的应用和意义。例如,一些恶意软件可能会使用神经网络模型来获取特定类别的图像。由于本文方法属于黑盒攻击,通过在图像中嵌入可见水印,可以在一定程度上阻止恶意软件的识别,且生成的图像具有可见水印的一些特性。2 相关概念2.1 对抗攻击与防御对抗攻击指的是针对深度学习模型的攻击,通过对输入样本添加一些微小的扰动,使模型产生分类错误或误判的结果。这些扰动通常是不可见或人类难以察觉的,但足以改变模型的输出。与之相对应的是对抗防御。对抗防御是指对抗攻击的一种应对措施,其目的是提高深度学习模型的鲁棒性,使其能够在
20、受到对抗攻击时仍能够输出正确的结果。对抗攻击和对抗防御的研究,对于提高深度学习模型的鲁棒性、可靠性和安全性具有重要意义。2.1.1 对抗攻击对抗攻击可以根据攻击者所拥有的信息分为白盒攻击和黑盒攻击。白盒攻击2 5是指攻击者拥有目标模型的全部信息,包括模型结构、权重参数和训练数据等。黑盒攻击6 8是指攻击者只能通过输入和输出来了解目标模型的行为,无法直接获取模型的内部信息。在实际应用中,黑盒攻击是比较常见的攻击方式,因为攻击者通常无法获得完整的模型信息。对抗功击还可以根据攻击者的目46C o m p u t e r E n g i n e e r i n g&S c i e n c e 计算机工
21、程与科学 2 0 2 4,4 6(1)标分为目标攻击2 4和无目标攻击5 8。目标攻击是指攻击者有一个特定的目标,例如将一幅被分类为猫的图像误导成被分类为狗的图像。无目标攻击是指攻击者没有明确的目标,只是试图使得模型出现误分类。S z e g e d y等人2发现神经网络很容易受到对抗攻击的影响。2 0 1 4年,S z e g e d y等人2提出了对抗样本的概念,他们的研究表明,即使是精心设计的神经网络,在输入中添加微小扰动后,也容易出现判断错误的情况。此外,他们还首次将神经网络误分类问题转化为求解非线性优化问题。随后,G o o d f e l l o w等 人3提 出 了 快 速 梯
22、度 符 号 方 法F G S M(F a s t G r a d i e n t S i g n M e t h o d)来生成对抗样本,该方法利用神经网络的梯度信息,用一定程度的扰动来改变输入数据,导致神经网络做出错误分类。迭代 快 速 梯 度 符 号 方 法I-F G S M(I t e r a t i v e F a s t G r a d i e n t S i g n M e t h o d)4是F G S M的改进版本。该方法通过多次执行F G S M来生成对抗样本,能够在保持高效性的同时提高攻击的成功率。接着,M o o s a v i-D e z f o o l i等人5提出了
23、一种基于线性近似的对抗攻击方法D e e p F o o l,该方法每次迭代都添加一个非常细微的扰动向量,直到图像偏离原分类的决策边界,这些扰动叠加后作为最终的扰动向量。此外,S u等人6提出了单像素攻击方法,通过修改图像的单个像素,利用遗传算法生成对抗样本。可见水印对抗攻击是一种特殊的对抗攻击,其目的是在保留图像视觉质量的同时,将水印作为扰动嵌入到图像中,并使得嵌入的水印对神经网络分类结果产生影响。为了将可见水印作为扰动来生成水印对抗样本,J i a等人7首次将盆地跳跃进化B HE(B a s i n H o p p i n g E v o l u t i o n a r y)算法应用到对抗
24、攻击中。B HE算法能够选择水印的透明度,并在原始图像中的某个位置嵌入水印,这样得到的攻击性能具有较好的适用性。接着,J i a n g等人8进一步提出了类似于补丁攻击的快速可见水印对抗攻击F AWA(F a s t A d v e r s a r i a l W a t e r m a r k A t-t a c k)算法。该算法在原始图像上附加半透明的水印,并调整水印大小和嵌入角度来攻击神经网络分类器。相比于B HE算法,F AWA算法增加了对水印大小和嵌入角度的选择。这2种可见水印对抗攻击都对水印透明度进行了约束,但是这种约束都是基于经验总结出来的,最后生成的对抗样本在视觉效果表现上让人
25、难以接受。因此,研究一种能约束视觉损失并能够自适应调整水印参数的可见水印对抗攻击方法有重要意义的。2.1.2 对抗防御目前,在对抗防御研究上存在3个主要方向:在学习过程中修改训练过程或修改输入样本、修改网络结构和使用外部模型作为附加网络。其中,通过修改输入样本进行对抗防御的方法被称为对抗训练。对抗训练被广泛应用于提高模型的鲁棒性和通用性,特别是针对水印对抗攻击。将生成的水印对抗样本添加到训练集中并重新训练模型可以使模型具有更优的鲁棒性和通用性。X i e等人9还发现将随机重缩放引入训练图像可以减弱对抗攻击的强度,其它方法还包括随机填补、训练过程中的图像增强等。此外,P a p e r n o
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 智能 进化 算法 可见 水印 对抗 攻击
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。