基于智能進化算法的可見水印對抗攻擊*

季俊豪,張玉書,趙若宇,溫文媖,董 理

(1.南京航空航天大學計算機科學與技術學院,江蘇 南京 211106; 2.江西財經大學信息管理學院,江西 南昌 330032;3.寧波大學信息科學與工程學院,浙江 寧波 315000)

1 引言

近年來,神經網絡在許多領域取得了巨大的成功,引起了廣泛的關注。然而,最近的一些研究成果[1-8]表明,神經網絡容易受到對抗樣本中的攻擊,這種攻擊通過對模型輸入進行細微的擾動,導致神經網絡分類錯誤。水印對抗樣本[7,8]是對抗樣本中的一種特例,它將特定的水印作為擾動嵌入到圖像中誤導神經網絡模型,這對神經網絡的普及和應用造成了巨大的威脅。如圖1所示,在德牧圖像中添加透明度為0.3的伯克利分校?；?ResNet 101(Residual Neural Network with 101 layers)將生成的圖像錯誤地分類為槍口。

Figure 1 An example of neural network classification misled by watermarking(top confidence score)圖1 神經網絡分類被水印誤導的示例(最高置信度)

水印是添加在不同圖像上的文本或圖案。根據視覺效果的不同,水印分為可見水印和不可見水印。可見水印是一種在數字媒體上直接可見的水印,通常包括文字、圖像或標志等,用于聲明圖像來源或者美化圖像,并且已被證明可見水印對壓縮、旋轉等防御措施具有魯棒性[8]。不可見水印通常由一些不可察覺的數字信號組成,常用于驗證數字內容的來源和完整性。隨著公民版權意識的提高,含有水印的圖像在日常生活中越來越多。如何使神經網絡分類器對這些圖像具有魯棒性成了一大難題。

對抗訓練是解決這個問題最有效的防御措施之一。這種方法通過不斷輸入水印對抗樣本并執行對抗訓練,從而不斷提升神經網絡的魯棒性。然而,對抗訓練的成本較高,為了保證有效性,需要使用大量高強度的水印對抗樣本?，F有的方法[7,8]使用可見水印對抗攻擊來生成高強度的水印對抗樣本。但是,這些方法無法自動地設置約束條件,且沒有考慮生成樣本的視覺效果。為此,本文提出了一種基于智能進化算法的可見水印對抗攻擊方法。該方法將可見水印對抗攻擊問題轉化為求解約束非凸優化問題,不僅能快速地生成水印對抗樣本,而且還能使生成的水印對抗樣本最大程度地攻擊神經網絡。具體來說,本文主要采用遺傳算法來生成水印對抗樣本。首先對水印進行圖像變換(縮放、旋轉等),之后采用Alpha-blending技術將變換后的水印嵌入到原始圖像中,最后使用神經網絡對生成的圖像進行預測,并進行迭代優化,選擇出能最大程度影響預測結果的參數。為了控制水印對抗樣本的視覺效果,本文方法還引入了圖像質量評價指標來約束圖像的視覺損失。值得注意的是,本文提出的方法是一種基于置信度的方法,屬于黑盒攻擊,只需獲取神經網絡分類器輸出的類別和置信度就能生成水印對抗樣本。相較于現有的方法,本文提出的方法能夠根據設定的視覺損失約束,自動地調整嵌入水印的參數,不需要人工設定參數的約束邊界,具有更高的效率。

水印對抗攻擊生成的水印對抗樣本不僅適用于對抗訓練,而且在現實場景中具有廣泛的應用和意義。例如,一些惡意軟件可能會使用神經網絡模型來獲取特定類別的圖像。由于本文方法屬于黑盒攻擊,通過在圖像中嵌入可見水印,可以在一定程度上阻止惡意軟件的識別,且生成的圖像具有可見水印的一些特性。

2 相關概念

2.1 對抗攻擊與防御

對抗攻擊指的是針對深度學習模型的攻擊,通過對輸入樣本添加一些微小的擾動,使模型產生分類錯誤或誤判的結果。這些擾動通常是不可見或人類難以察覺的,但足以改變模型的輸出。與之相對應的是對抗防御。對抗防御是指對抗攻擊的一種應對措施,其目的是提高深度學習模型的魯棒性,使其能夠在受到對抗攻擊時仍能夠輸出正確的結果。對抗攻擊和對抗防御的研究,對于提高深度學習模型的魯棒性、可靠性和安全性具有重要意義。

2.1.1 對抗攻擊

對抗攻擊可以根據攻擊者所擁有的信息分為白盒攻擊和黑盒攻擊。白盒攻擊[2-5]是指攻擊者擁有目標模型的全部信息,包括模型結構、權重參數和訓練數據等。黑盒攻擊[6-8]是指攻擊者只能通過輸入和輸出來了解目標模型的行為,無法直接獲取模型的內部信息。在實際應用中,黑盒攻擊是比較常見的攻擊方式,因為攻擊者通常無法獲得完整的模型信息。對抗功擊還可以根據攻擊者的目標分為目標攻擊[2-4]和無目標攻擊[5-8]。目標攻擊是指攻擊者有一個特定的目標,例如將一幅被分類為貓的圖像誤導成被分類為狗的圖像。無目標攻擊是指攻擊者沒有明確的目標,只是試圖使得模型出現誤分類。

Szegedy等人[2]發現神經網絡很容易受到對抗攻擊的影響。2014年,Szegedy等人[2]提出了對抗樣本的概念,他們的研究表明,即使是精心設計的神經網絡,在輸入中添加微小擾動后,也容易出現判斷錯誤的情況。此外,他們還首次將神經網絡誤分類問題轉化為求解非線性優化問題。隨后,Goodfellow等人[3]提出了快速梯度符號方法FGSM(Fast Gradient Sign Method)來生成對抗樣本,該方法利用神經網絡的梯度信息,用一定程度的擾動來改變輸入數據,導致神經網絡做出錯誤分類。迭代快速梯度符號方法I-FGSM(Iterative Fast Gradient Sign Method)[4]是FGSM的改進版本。該方法通過多次執行FGSM來生成對抗樣本,能夠在保持高效性的同時提高攻擊的成功率。接著,Moosavi-Dezfooli等人[5]提出了一種基于線性近似的對抗攻擊方法DeepFool,該方法每次迭代都添加一個非常細微的擾動向量,直到圖像偏離原分類的決策邊界,這些擾動疊加后作為最終的擾動向量。此外,Su等人[6]提出了單像素攻擊方法,通過修改圖像的單個像素,利用遺傳算法生成對抗樣本。

可見水印對抗攻擊是一種特殊的對抗攻擊,其目的是在保留圖像視覺質量的同時,將水印作為擾動嵌入到圖像中,并使得嵌入的水印對神經網絡分類結果產生影響。為了將可見水印作為擾動來生成水印對抗樣本,Jia等人[7]首次將盆地跳躍進化BHE(Basin Hopping Evolutionary)算法應用到對抗攻擊中。BHE算法能夠選擇水印的透明度,并在原始圖像中的某個位置嵌入水印,這樣得到的攻擊性能具有較好的適用性。接著,Jiang等人[8]進一步提出了類似于補丁攻擊的快速可見水印對抗攻擊FAWA(Fast Adversarial Watermark Attack)算法。該算法在原始圖像上附加半透明的水印,并調整水印大小和嵌入角度來攻擊神經網絡分類器。相比于BHE算法,FAWA算法增加了對水印大小和嵌入角度的選擇。這2種可見水印對抗攻擊都對水印透明度進行了約束,但是這種約束都是基于經驗總結出來的,最后生成的對抗樣本在視覺效果表現上讓人難以接受。因此,研究一種能約束視覺損失并能夠自適應調整水印參數的可見水印對抗攻擊方法有重要意義的。

2.1.2 對抗防御

目前,在對抗防御研究上存在3個主要方向:在學習過程中修改訓練過程或修改輸入樣本、修改網絡結構和使用外部模型作為附加網絡。其中,通過修改輸入樣本進行對抗防御的方法被稱為對抗訓練。對抗訓練被廣泛應用于提高模型的魯棒性和通用性,特別是針對水印對抗攻擊。將生成的水印對抗樣本添加到訓練集中并重新訓練模型可以使模型具有更優的魯棒性和通用性。Xie等人[9]還發現將隨機重縮放引入訓練圖像可以減弱對抗攻擊的強度,其它方法還包括隨機填補、訓練過程中的圖像增強等。此外,Papernot等人[10]提出了一種基于防御蒸餾的對抗防御方法,通過訓練一個模型來預測先前訓練的另一個模型的輸出,可以獲得魯棒性更高的模型。Wang等人[11]使用單獨的數據轉換模塊對輸入數據進行轉換,來消除圖像中可能的對抗性擾動。

2.2 水印嵌入算法

水印嵌入算法是指嵌入的水印可以被看到或感知,而不需要額外的解碼或特殊設備。在可見水印嵌入領域,Braudaway等人[12]首次將可見水印引入圖像,使用自適應非線性像素域技術將水印添加到圖像中,這種技術在保留圖像細節的同時,還能使添加的可見水印難以移除。在該算法中,水印和原始圖像具有相同大小,即水印和原始圖像的每個像素都一一對應,可以獨立進行運算。之后,Kankanhalli等人[13]使用塊離散余弦變換技術來提取每個塊的頻域特征,從而確定每個塊的水印嵌入系數和位置。在嵌入時,根據每個塊的特性來調整嵌入系數和位置,以最大限度地保留圖像的質量和感知性。最后,Shen等人[14]建議使用Alpha-Blending技術來生成可見水印。Alpha-Blending技術將水印融入到圖像中,可以快速地嵌入水印,并且具有很好的普適性。在嵌入時,將水印與原始圖像的Alpha通道進行合成,可以在保持圖像質量的同時,使嵌入的水印更加穩定和難以移除。

2.3 參數優化算法

參數優化算法大體上可以分為梯度下降算法[15-17]和智能進化算法[18-21]2類。梯度下降算法是一種基于數學優化的方法,其核心思想是通過計算函數的梯度來沿著函數最陡峭的方向尋找最小值,從而達到優化的目的。智能進化算法是一種基于仿生學的方法,其核心思想是通過模擬自然界中的一些現象,基于自然進化原理的優化算法來尋找最優解,如蟻群優化ACO(Ant Clony Optimization)算法[18]、遺傳優化GA(Genetic Algorithm)算法[19]和粒子群優化PSO(Particle Swarm Optimization)算法[20]等。本文方法在水印嵌入過程中無法獲得神經網絡參數,屬于黑盒攻擊,因此可以選擇遺傳算法來進行參數優化。

Figure 2 Flow chart of adversarial visible watermark attack based on intelligent evolutionary algorithm圖2 基于智能進化算法的可見水印對抗攻擊流程圖

3 問題形式化

本文提出了一種基于智能進化算法的可見水印對抗攻擊方法。該方法包含2個主要部分:水印嵌入模塊和對抗攻擊模塊。水印嵌入模塊采用Alpha-Blending技術來快速生成含有可見水印的圖像。對抗攻擊模塊采用智能進化算法里的遺傳算法,能夠從多個由Alpha-Blending生成的圖像中選擇出高強度的水印對抗樣本,從而最大程度地誤導神經網絡分類器。如圖2所示,圖像和水印經過遺傳算法計算出透明度系數α、縮放比例β和旋轉角度γ等參數;然后對水印進行旋轉和縮放操作;接著根據透明度系數α使用Alpha-Blending技術將水印嵌入到圖像中;最后將生成的圖像傳入到預訓練好的神經網絡分類模型,根據神經網絡計算出的分類概率來修改遺傳算法中的參數。通過不停地迭代更新參數,獲得一個效果較好的水印對抗樣本。

3.1 Alpha-Blending

圖像在計算機中以數字矩陣形式存儲。一般的圖像有3個通道,表示每個像素有R、G、B 3個顏色分量。在一幅帶有Alpha通道的圖像中,每個像素包含3個顏色分量和1個Alpha分量。Alpha通道是圖像中的第4個通道,用于衡量每個像素的透明度。Alpha分量取值一般從0～255, 0表示是該像素完全透明,顏色不會顯示;255表示該像素完全不透明,顏色顯示正常。圖像最終顯示的顏色取決于每個像素點的3個顏色分量及其Alpha分量值。如圖3所示,通過修改所有Alpha分量值可以影響一幅圖像的透明度。此外,當一幅圖像從RGB顏色模式轉為RGBA顏色模式時,默認所有像素的Alpha分量值為255。

Figure 3 Images with different Alpha values圖3 不同Alpha值的圖像

Alpha-Blending是一種混合像素值并產生半透明效果的圖像合成技術,可以在原始干凈圖像中快速嵌入彩色可見水印[21]。其基本思想是將前景圖像和目標圖像按照一定比例進行混合,產生一幅新的圖像。其中,混合比例由前景圖像的Alpha分量值控制,Alpha值越高,前景圖像在混合后的圖像中占比越大,該像素點越不透明。在這個混合過程中,每個像素的Alpha值(透明度值)都會影響其在最終圖像中的顏色。

在水印嵌入模塊中,本文利用Alpha通道值控制水印的透明度,從而實現可見水印的嵌入,使其既能顯示又不過度影響原圖視覺效果。

Alpha-Blending的一般化計算如式(1)所示:

output=(sc*Alpha+dc*(255-Alpha))/255

(1)

其中,sc和Alpha是前景圖像(即嵌入圖像)的像素值及其對應的Alpha分量值;dc是背景圖像的像素值;output是輸出圖像的像素值。式(1)表示,混合后的顏色是由前景圖像和背景圖像的顏色加權平均得到的,權重由前景圖像的Alpha分量值決定。如果Alpha為0,則表示前景圖像完全透明,背景圖像保持不變;如果Alpha為255,則表示前景圖像完全不透明,覆蓋在背景圖像上;如果0

在本文中,假設原始圖像為I∈RM×N×3,M和N分別表示圖像的高度和寬度。原始水印為W∈Rm×n×3,其中m和n分別表示原始水印的高度和寬度。經過β放縮、γ旋轉等變換后的水印為W′∈Rm′×n′×3,其中m′和n′分別表示變換后水印的高度和寬度。進一步假設,如果W′存在Alpha通道,將這個通道記作A;如果不存在,則認為W′完全不透明,即矩陣A中的值都為255。I和W′經過Alpha-Blending生成的圖像為G∈RM×N×3,其大小與I的一致。

當2幅圖像進行Alpha-Blending處理時,分別對疊加區域的各像素進行線性加權求和,得到混合后新的像素。一般情況下I和W′大小不一致,需要分區域討論,具體如下所示:

當i∈(p,p+m′),j∈(q,q+n′)時,嵌入公式如式(2)和式(3)所示:

α′=α·Ai-p,j-q

(2)

Gi,j=(Ii,j*α′+W′i-p,j-q*(255-α′))/255

(3)

其中,p和q表示W′嵌入到I的具體位置;α表示自定義的透明度系數,取值在[0,1];Ii,j表示原始圖像I第i行、第j列像素向量;W′i,j表示變換后的水印圖像W′第i行、第j列像素向量。

若W′完全不透明,式(2)可以簡化為式(4):

Gi,j=Ii,j*α+W′i-p,j-q*(1-α)

(4)

當i?(p,p+m′),j?(q,q+n′)時,嵌入公式如式(5)所示:

Gi,j=Ii,j

(5)

值得注意的是,在實際操作中,由于圖像旋轉會改變圖像大小,先對水印圖像采取旋轉操作,再按照特定比例因子進行縮放操作。縮放水印的時候需要滿足max(m′,n′)

m′=int(m*β),n′=int(n*β)

(6)

(7)

其中,scale是縮放系數,表示W′長寬占I長寬的比例;int(·)是向下取整函數;β表示縮放比例因子。

具體操作如圖4所示,從ImageNet數據集中任選一幅圖像嵌入騰訊文字水印。

Figure 4 An example of watermark embedding圖4 水印嵌入示例

3.2 問題形式化

本文的目標是生成高強度的水印對抗樣本。水印的位置(i,j)、透明度系數α、縮放比例β和旋轉角度γ均會影響水印對抗樣本的生成。生成水印對抗樣本的過程可以形式化為求解多元約束非凸優化問題。為了控制水印對抗樣本的視覺效果,本文還考慮了圖像的視覺損失。具體而言,優化目標是在設定的圖像損失里面,讓生成的水印對抗樣本在原始的分類標簽上的概率盡可能小。

假設有一個經過良好訓練的神經網絡分類器f(·),原始圖像I的真實分類標簽為t,ft(·)表示I被模型f(·)分類為t的概率。圖像水印生成器g(I,W,i,j,α,β,γ)表示先將水印逆時針旋轉γ,再按照縮放因子β進行縮放,最后將處理好的水印嵌入到原始圖像的(i,j)位置。

在進行非目標攻擊時,問題的一般表述如式(8)和式(9)所示:

(8)

(9)

其中,ε代表視覺損失上界,即最多允許圖像改變的程度,ε的取值隨著評價方法的變動而變動;L表示水印對抗樣本生成后的視覺損失?？梢圆捎脠D像質量評價指標來衡量圖像G的損失,例如均方誤差MSE(Mean Square Error)、歸一化均方根誤差NRMSE(Normalized Root Mean Square Error)、峰值信噪比PSNR(Peak Signal to Noise Ratio)等。其中,峰值信噪比較為特殊,一般來說,PSNR越大,代表圖像失真越少。因此,當作為視覺損失函數使用時,需要將L設定為PSNR的倒數,如式(10)所示,PSNR計算如式(11)所示:

(10)

(11)

3.3 遺傳算法

遺傳算法作為一種新型、高效的啟發式并行搜索算法,具有收斂速度快、控制參數少等優點,本文采用遺傳算法求解上述優化問題。如圖5所示,遺傳算法主要包括種群初始化、變異、交叉和選擇。在每次迭代期間,當前解決方案(父級)使用搜索策略進行變異和交叉操作,生成一組新的候選解決方案(子項)。然后在選擇操作中,子項與相應的父項進行比較,如果子項更適合種群進化(具有較小的多元函數值),則子項生存下來成為下一次迭代的父級。

Figure 5 Framework of genetic algorithm圖5 遺傳算法框架

算法1介紹了遺傳算法的具體流程。原始圖像I和原始水印圖像W是算法的輸入。對抗樣本G是算法的輸出。首先,需要設置算法的超參數并且進行種群初始化。然后,使用搜索函數對上一代個體進行變異操作。在g=1的情況下,上一代個體就是初始化的種群個體。接著,進行交叉和選擇操作。最后,找出最后一代種群里能最大程度攻擊神經網絡的參數。如果該參數生成的對抗樣本滿足視覺損失約束且能夠使神經網絡錯誤分類,則將這個對抗樣本作為算法的輸出。

算法1 基于遺傳算法的可見水印對抗攻擊輸入:原始圖像I,水印W。輸出:水印對抗樣本G。步驟1 設置種群數量NP、視覺損失限制ε;步驟2 設置單個個體的最大變異次數niter;步驟3 設置種群進化次數gm;步驟4 設置交叉系數co和φ,詳情參考3.3.3節;步驟5 設置多元向量(i,j,α,β,γ)的邊界;步驟6 種群初始化獲得X0,詳情參考3.3.1節;步驟7 for g= 1,…,gmdo步驟8 for n= 1,…,NPdo步驟9 變異,詳情參考3.3.2節;步驟10 交叉,詳情參考3.3.3節;步驟11 end for步驟12 選擇,詳情參考3.3.4節;步驟13 g=g+1;步驟14 end for步驟15 if Xg+1中存在L≤ε的個體 then步驟16 找種群里面使目標函數最小的個體;步驟17 return 由該個體生成的G;步驟18 end if

3.3.1 種群初始化

由于每個基因變量都有上界和下界,可以采用式(12)進行最大值最小值種群初始化:

(12)

其中Xmax,q、Xmin,q分別表示q基因變量的上、下界,rand(0,1)表示服從[0,1)均勻分布的隨機值。

3.3.2 變異

在本文中,變異是以當前個體為起始點,采用任意一種多元函數優化搜索策略進行搜索,搜索到的結果比初始個體有更低的函數值。為了降低算法的時間復雜度,可以將搜索策略的迭代次數設定為1。

隨機更新策略是一種迭代次數為1的快速更新策略,即在原來的個體周圍隨機生成一個個體,如式(13)所示:

(13)

3.3.3 交叉

(14)

其中,CO=co×cos(φπg/2),co表示交叉因子的交叉系數,取值在[0,1],φ是頻率。

3.3.4 選擇

選擇是指種群進化時,選擇擁有更低函數值的個體,以便更容易進化下去。在本文的算法中存在這樣一種情況,如果父項滿足視覺約束條件,子項經過優化后,有著更低的函數值,但不滿足視覺約束條件,那么父項保留下來。在每次種群迭代中,將當前種群Xg和經過變異、交叉后的種群Ug進行比較,選擇優化目標值較好的個體生成Xg+1。具體公式如式(15)所示:

(15)

4 實驗結果與分析

4.1 實驗設置

4.1.1 數據集

本文從ImageNet數據集中隨機選擇100幅圖像進行相關實驗。此外,為保持一致性,本文將所有圖像的尺寸都調整為224×224,即M=N=224。

在整個實驗過程中,考慮的水印包括2大類:文字水印和圖像水印。文字水印為CCTV水印;圖像水印為伯克利分校(Berkeley)校徽和麻省理工(MIT)?；?兩者的最大區別是水印是否鏤空。

4.1.2 實驗環境及參數設置

本文基于PyTorch深度學習框架,采用NVIDIA GeForce RTX 3080 Ti GPU進行計算,操作系統為Ubuntu 20.04。

實驗參數分為超參數和訓練參數。對于超參數,需要考慮種群數量、遺傳次數、交叉概率因子和搜索半徑。種群數量NP設置為50,搜索半徑a設置為0.05。考慮到算法的時間復雜度,遺傳迭代次數越小,訓練時間越短,交叉因子系數越大,越有可能進行交叉操作,訓練會變得更快。本文參數設置如下:co=0.9,φ=1,gm=3。

訓練參數包括透明度上下界、縮放上下界和視覺損失上界ε。在本文提出的方法中,透明度和縮放比例等的范圍都是由ε自動控制的,不需要特別設定。在現實生活中,可根據實際應用需求調整上下界。根據圖像質量評價指標的特性:圖像失真越嚴重,MSE和NRMSE越大,PSNR越小,表1給出了采用各種圖像質量評價指標進行對抗攻擊時ε合適的取值。本文使用的圖像質量評價指標為PSNR。通常,當PSNR>30時,被認為圖像質量較好,即圖像的失真可以被接受。視覺損失L是PSNR的倒數,當L≤1/30時,PSNR>30,因此,本文設置視覺損失上界ε為1/30。

Table 1 ε values under different image quality evaluation metrics表1 ε在不同圖像質量評價指標下的取值

4.2 時間復雜度評估

為了衡量算法的時間復雜度,對單獨一幅圖像進行可見水印對抗攻擊,并與其他基準可見水印對抗攻擊方法(BHE和FAWA)進行比較,測試所用的神經網絡是ResNet101,結果如表2所示。從表2可以看出,本文提出的方法攻擊單一圖像所用的時間遠低于其他基準水印攻擊方法的。這主要是由于對抗攻擊問題對優化的要求并不高,不需要完全找到最小值點。因此,算法在變異階段只采用了一次迭代優化,并沒有采用復雜的多元函數優化策略。

Table 2 Time complexity of different adversarial watermarking attack algorithms表2 不同可見水印對抗攻擊算法的時間復雜度

4.3 攻擊效果評估

為了可視化地評估對抗樣本對神經網絡的攻擊效果,本文繪制了水印對抗樣本及其神經網絡觀測熱力圖,該熱力圖能夠有效地反映神經網絡在圖像上的關注點。如圖6所示,第1行是在Image- Net數據集上對ResNet101攻擊生成的結果,第2行是分數加權激活熱力圖可視化Score-CAM(Score-weighted Class Activation Mapping)?？梢钥吹?與原始圖像相比,生成的水印對抗樣本改變了神經網絡的激活區域和圖像中主體的輪廓,從而改變了最高分類置信度。此外,湯碗對抗樣本上PSNR值達到了33.22,此時,L≈0.0301<ε,青果對抗樣本上PSNR值達到了34.94,此時L≈0.0286<ε。兩者都接近設定的圖像損失上界。這表明優化問題的解會落在由ε控制的定義域邊界上。

Figure 6 Examples of different watermarking attack effects圖6 不同水印攻擊效果熱力圖

為了更好地解釋視覺損失上界ε的作用,在湯碗圖像上分別使用大小相同的Berkeley?；蘸蚆IT?；者M行水印對抗攻擊,結果如圖7所示?？梢钥吹?2幅對抗樣本的PSNR值接近,但是2種水印的嵌入大小和透明度完全不一致,麻省理工校徽水印更大、更透明。ε只限制圖像的視覺損失,即讓生成的水印對抗樣本在視覺損失上不超過設定的上界,具體的嵌入參數(如位置、透明度、縮放比例和旋轉角度)由程序根據不同水印自適應調整。

Figure 7 Examples of different watermarking attack effects圖7 不同水印攻擊效果示例圖

4.4 對比實驗分析

為了全面驗證本文方法的有效性,測試了3種在ImageNet數據集上預訓練好的神經網絡分類器:AlexNet(Alex’s neural Network)、VGG16(Visual Geometry Group’s neural network with 16 layers)和ResNet101。表3給出了不同徽標或文字水印在各種神經網絡分類器上的平均攻擊成功率。可以看到,Berkeley?；账≡谏窠浘W絡上的攻擊成功率最高能達到60%。

Table 3 Attack success rates of different watermarks on neural networks表3 不同水印在神經網絡上的攻擊成功率 %

此外,為了定量評估本文方法的性能,還將其與邊界攻擊[22]、單像素攻擊[6]等黑盒攻擊進行了比較,測試網絡為AlexNet和ResNet101。不同黑盒攻擊在神經網絡上的平均攻擊成功率如表4所示。為了更加公平地實驗,本文選擇PSNR作為圖像評價指標,將模型限定在ε=0.028的損失條件下與邊界攻擊進行對比,將模型限定在ε=0.022的損失條件下與單像素攻擊進行對比。很明顯,與這2種基準黑盒攻擊相比,本文方法對神經網絡的攻擊成功率更高。

Table 4 Attack success rate of different black-box attacks on neural networks表4 不同黑盒攻擊在神經網絡上的攻擊成功率 %

5 結束語

本文提出了基于智能進化算法的可見水印對抗攻擊方法。該方法將可見水印對抗攻擊問題轉化為求解約束非凸優化問題。與以往的工作相比,本文提出的方法增加了圖像質量評價指標來約束圖像的視覺損失,不僅能快速生成高強度的水印對抗樣本,還能使生成的對抗樣本擁有更好的視覺效果。該方法生成的對抗樣本可以成功地攻擊神經網絡分類器,具有很好的適用性。實驗結果表明,該方法相比于基準水印攻擊方法時間復雜度更低,同時相比于基準黑盒攻擊對神經網絡攻擊成功率更高。

對于水印對抗樣本的防御,除了進行對抗訓練外,如何精準有效地規避可見水印對抗攻擊是研究的下一個重點。此外,由于本文方法改變了圖像主體的輪廓信息,未來的工作將進一步在其他領域應用可見水印對抗攻擊和防御,例如目標檢測等。