CN109214973A - 针对隐写分析神经网络的对抗安全载体生成方法 - Google Patents

Abstract

本发明公开了一种针对隐写分析神经网络的对抗安全载体生成方法，利用梯度反向传播技术使隐写分析神经网络修改输入图像生成对抗样本，在失真函数中加入正则项以防止过量修改，使用随机噪声模拟隐写信息并令网络学习对抗该噪声的修改位置和幅度，采用迭代修改、定期量化、效果评价的循环生成稳定的对抗样本。通过采用本发明公开的方法可以使得给定的某个或多个隐写分析神经网络以很大的概率丧失检测载密载体的能力。

Description

针对隐写分析神经网络的对抗安全载体生成方法

技术领域

本发明涉及深度学习与信息隐藏技术领域，尤其涉及一种针对隐写分析神经网络的对抗安全载体生成方法。

背景技术

近年来，信息隐藏研究人员提出了许多先进的隐写算法，以将秘密信息隐藏到载体图像中实现隐秘通信。现有很多优秀的在空域或频域嵌入秘密消息方案，例如HUGO，WOW，S-UNIWARD，HILL，JUNIWARAD和UERD。这些方法可以将启发式定义的嵌入失真最小化，同时将秘密信息隐藏到给定图像中以降低统计可检测性。

隐写分析是针对隐写术的一种分析技术，对于待测载体，隐写分析工作分为几个不同层次，主要分为：隐写载体检测、隐写算法分析、秘密信息提取、隐写明文获取等内容。其中隐写载体检测旨在检测载体是否被嵌入秘密信息；隐写算法分析是在前一步基础上，分析被隐写载体的秘密信息嵌入方法和嵌入率；秘密信息提取的任务是在前两步工作的基础之上，确定秘密消息嵌入的位置并提取出隐写密文；最后将密文解密为隐写明文即完成了隐写分析工作。

然而现今主流隐写分析工作集中在分析过程的第一步，也就是隐写载体检测，主要研究如何高精度确定载体是否含有秘密信息，并且通常假设隐写方法与嵌入率已知。目前，传统的隐写分析方法分为高维特征提取和机器学习分类器训练两个步骤。富模型 (RM)是一组出色的隐写分析特征，通常用于第一步。该模型有多种版本，最具代表性的是空间域中的富模型(SRM)和频域的富模型(J-SRM)。机器学习的最常见选择分类器是集成分类器(EC)。SRM和EC的组合可以取得优异的检测性能。其他常用的隐写分析特征有马尔科夫、共生矩阵、直方图高阶距等，以这些特征为基础发展出了很多隐写分析算法：空域中有SPAM，CSR，频域的代表特征有PEV，CHEN，CC-CHEN，CC-PEV， DCTR，PHARM，GFR等。

在过去的两年中，基于卷积神经网络(CNN)模型的隐写分析取得了巨大的进展。与传统方法相比，基于CNN的神经网络使用各种网络结构来学习图像的有效特征，以此区分“载密图像”与“非载密图像”。Qian使用具有高斯函数的CNN结构来构建隐写分析模型。Xu设计了另一个具有双曲激活函数的CNN结构。Wu提出了一种充分利用残余网络进行图像隐写分析的CNN模型。Ye提出了一种CNN模型，其第一层初始化为SRM中使用的高通滤波器组，并引入了一种新的激活函数TLU以及基于CNN的隐写分析的选择通道感知方案。Ye和Wu网络的表现超过了SRM+EC。

因此，深度学习隐写分析已经成为隐写术的一个严峻挑战，以解除深度学习隐写分析对隐写的威胁为目的，注意到用于隐写分析的神经网络和用于目标分类的网络的任务非常相似，二者的区别在于网络的结构和分类目标的数量。隐写分析是一个二元分类问题，而对象分类有多个分类标签。而对抗样本技术是一种可以欺骗神经网络的技术。对抗样本本身是将精心制作的小型对抗噪声添加到输入中，以欺骗神经网络产生不正确输出的样本。Szegedy和Goodfellow做了对抗样本生成的开创性工作，提出了一种基于神经网络梯度的对抗样本构建方法，该方法可以有效地误导神经网络，使其产生明显与视觉不相符的判决结果，但该方法会大面积地对图像进行修改，而且修改仅与梯度符号相关，没有利用到梯度幅度的信息；而且该方法旨在保证修改后的图像误导神经网络的准确率，不涉及到修改后图像对于神经网络的鲁棒性，因此无法直接将其运用到隐写分析神经网络的对抗当中。

发明内容

本发明的目的是提供一种针对隐写分析神经网络的对抗安全载体生成方法，可以使得给定的某个或多个隐写分析神经网络以很大的概率丧失检测载密载体的能力，并具有较高的鲁棒性。

本发明的目的是通过以下技术方案实现的：

一种针对隐写分析神经网络的对抗安全载体生成方法，包括：

步骤A、运用对抗样本技术，向原始载体图像添加随机隐写噪声，获得带噪图像；

步骤B、将带噪图像输入至给定的隐写分析神经网络中，通过计算隐写分析神经网络的损失函数来计算修改原始载体图像的梯度信息，进而求得对抗噪声，再将对抗噪声叠加在原始载体图像上得到本次迭代最终的增强载体图像；

步骤C、利用给定的隐写分析神经网络对增强载体图像进行性能测试，同时，将增强载体图像赋值给原始载体图像，并重复执行上述步骤A～步骤C，迭代次数上限为K次，迭代K次之后，结合性能测试结果来选取性能最好的增强载体图像作为对抗安全载体。

由上述本发明提供的技术方案可以看出，生成针对指定某个或多个隐写分析神经网络的安全载体，使用生成的安全载体难以被神经网络察觉。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种针对隐写分析神经网络的对抗安全载体生成方法的流程图；

图2为本发明实施例提供的针对多神经网络计算梯度的示意图；

图3为本发明实施例提供的实验中在各个网络识别错误率示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

本发明实施例提供一种针对隐写分析神经网络的对抗安全载体生成方法，即向原始载体图像添加对抗噪声和嵌入消息。首先将对抗噪声添加到原始载体图像C来构造增强载体C'，然后将消息m嵌入到C'中以获得S。通过这种方式，接收者可以成功地从S中提取出m。本发明的方法可以使增强载体C'鲁棒到足以抵抗消息嵌入过程的影响，所以S仍然会被深度学习分类器误判为未经隐写的载体图像，本发明还考虑了如何生成针对多个隐写分析神经网络的对抗样本并控制生成对抗样本过程中引入修改的强度。上述增强载体生成方法主要过程如下：

步骤A、运用对抗样本技术，向原始载体图像添加随机隐写噪声，获得带噪图像；

步骤B、将带噪图像输入至给定的隐写分析神经网络中，通过计算隐写分析神经网络的损失函数来计算修改原始载体图像的梯度信息，进而求得对抗噪声，再将对抗噪声叠加在原始载体图像上得到本次迭代最终的增强载体图像；

步骤C、利用给定的隐写分析神经网络对增强载体图像进行性能测试，同时，将增强载体图像赋值给原始载体图像，并重复执行上述步骤A～步骤C，迭代次数上限为K次，迭代K次之后，结合性能测试结果来选取性能最好的增强载体图像作为对抗安全载体。

为了便于理解，下面结合附图1对上述过程做详细介绍。

步骤11、记原始载体图像为C，生成幅度在[-1,1]之间的随机隐写噪声矩阵，将噪声叠加在原始载体图像C上得到带噪图像C_n。

由于本发明实施例上述方案是一个迭代过程，对于第i次迭代，随机隐写噪声矩阵记为n_i，得到的带噪图像记为

步骤12、将C_n作为输入投入到给定的隐写分析神经网络中，固定网络参数，以“非载密”为真实标签y，令网络进行反向传播得到对输入图像的修改梯度η。

本发明实施例中，考虑单个隐写分析神经网络与多个隐写分析神经网络两种情况。

假设给定的隐写分析神经网络的数量为h；

当h＝1，即给定单个隐写分析神经网络，计算修改原始载体图像梯度η的公式为：

其中，θ表示给定的隐写分析神经网络的网络参数，C表示原始载体图像，y表示真实标签；为以θ为参数、C为输入、y为标签的神经网络损失函数；表示以C为自变量对求导；

当h>1，即给定多个隐写分析神经网络，则先计算联合损失函数。

如图2所示，将各个网络合并到一起，形成具有同一个输入和若干个输出的联合网络 N_Nmul，以各个隐写分析神经网络的输出与真实标签的交叉熵的加权和作为损失函数，作为正则项，得到所有隐写分析神经网络的联合损失函数TotalLoss：

其中，{loss₁,loss₂,...,loss_h}是各个隐写分析神经网络的不带正则项的损失函数， {α₁,α₂,...,α_h}各个隐写分析神经网络损失函数的权值，ε是正则项的系数；

正则项表示为：

其中，T为需要修改的像素数量，Δ_i为第i次迭代后的累积的对抗噪声。

设定参数λ＝T/输入图像像素个数，通过对参数λ的控制来确定修改图像的程度。最终在λ设定下得到修正原始载体图像的梯度信息：

其中，L_Nmul(θ,C,y)＝TotalLoss表示联合损失函数，表示以C为自变量对L_Nmul(θ,C,y)求导。

步骤13、将学习率∈作为梯度调整幅度系数，与η相乘得到对抗噪声n_ad，即有：

n_ad＝η×∈；

步骤14、将对抗噪声叠加到原始载体图像C上得到本次迭代的初步增强载体C”，即：

C”＝C+n_ad；

同时，此时得到的C”为浮点型数据，为将C”存储为图像后仍然有效，将C”中每个像素的数值使用round()函数进行取整，并调整像素值边界在[0,255]范围内，从而得到本次迭代最终的增强载体图像C’(可简称为增强载体图像)。

由于本发明实施例上述方案涉及了多次迭代，但由于每次迭代最终的增强载体图像并不参与其他计算，而是直接赋值给原始载体图像C，因此，每次迭代最终的增强载体图像都可以记为C’，不做表达形式上的区分。

步骤15、使用隐写分析神经网络对增强载体C’进行性能测试。

当h＝1，则使用给定的隐写分析神经网络生成Q组随机的噪声Noise＝ {n₁’,n₂’,…,n_Q’}，将Noise中的噪声分别叠加在增强载体图像C’上，对于第i组噪声n_i’来说，得到第i组带噪载体图像

利用隐写分析神经网络测试若所有带噪载体图像中有超过γ的比例成功欺骗隐写分析神经网络网络，被网络识别为非载密图像，则通过性能测试，视增强载体图像已经达到预期目标；

当h>1，则采用与h＝1时相同的方式，利用各个隐写分析神经网络对增强载体图像C’进行性能测试，并融合所有隐写分析神经网络的测试结果，当所有隐写分析神经网络均判决第i组带噪载体图像为非载密图像时认为第i组带噪载体图像通过性能测试；同样的，当所有带噪载体图像中有超过γ的比例通过性能测试，则视增强载体图像已经达到预期目标；

示例性的，假设h＝3，则3个隐写分析神经网络都采用h＝1时相同的方式对增强载体图像C’进行性能测试，将3个性能测试结果融合；在进行性能测试时，假设生成了5组随机的噪声，并分别叠加到增强载体图像C’上，对于第一组带噪载体图像如果3个隐写分析神经网络都判决为非载密图像，则认为第一组带噪载体图像通过性能测试，如果这5组带噪载体图像中有超过γ的比例通过性能测试，则增强载体图像C’已经达到预期目标，即通过性能测试。需要说明的是，γ的具体取值可以由本领域技术人员根据实际情况或者需求来设定，本发明并不其数值进行限定。

如果上一次迭代所获得的增强载体图像未通过性能测试，则修正判定非载密平均概率最低的隐写分析神经网络损失函数的权值，设置非载密平均概率为ρ，相应隐写分析神经网络损失函数权值修正公式为：

α’＝α+1-ρ；

在下一次迭代时，步骤B阶段结合修正后的隐写分析神经网络损失函数的权值来重新计算联合损失函数。

步骤16、将增强载体图像C’赋值给原始载体图像C，重新生成随机噪声n，重复上述流程，迭代次数上限为K次。

以第k轮迭代计算为例，

当h＝1，原始载体图像C的总体调整矩阵通过以下方式来计算：

当h>1，原始载体图像C的总体调整矩阵通过以下方式来计算：

其中，∈为学习步长；Δ_i为第i次迭代后的累积的对抗噪声 (也即Δ_i第i次迭代后所有对抗噪声n_ad之和，例如，如果是第1次迭代，则Δ_i也就是第1次迭代计算得到的n_ad；如果是第3次迭代，则Δ_i也就是第1～第3次迭代计算得到的三个n_ad之和)，T为需要修改的像素数量，ε是正则项的系数；L_N(θ,C+Δ_i+n_i,y)为以θ为参数、(C+Δ_i+n_i)为输入、y为标签的神经网络损失函数；为以 (C+Δ_i)为自变量对L_N(θ,C+Δ_i+n_i,y)求导；L_Nmul(θ,C+Δ_i+n_i,y)为以θ为参数、 (C+Δ_i+n_i)为输入、y为标签的h个神经网络的联合损失函数； 为以(C+Δi)为自变量对L_Nmulθ，,C+Δi+ni，,y求导；ni为第i次迭代的随机隐写噪声；

则第k次迭代后的初步增强载体图像C”记为：

同样的，对初步增强载体图像C”进行取整与像素值边界调整后，得到第k次迭代后最终的增强载体图像C’。

本领域技术人员可以理解，由于本发明上述方案是一个迭代计算过程，每一次迭代后所获得的增强载体图像C’都将赋值给原始载体图像C，因此，在第k次迭代时公式中所涉及的原始载体图像C并非最初阶段的原始载体图像，而是第k-1次迭代后所获得的增强载体图像。

本发明实施例上述方案中，为控制在生成安全载体过程中引入过量修改使得图像大幅度偏离自然图像，在损失函数中引入L₂范数作为正则项，控制生成过程中的修改幅度；设T表示需要修改的像素数量，当L₂损失超过T时，才控制图像的修改，使用带有max函数的修改向量L₂范数作为正规化器，表示为

当完成K次迭代后，结合性能测试结果来选取性能最好的增强载体图像作为对抗安全载体：

如果所有的K次迭代过程中，所有性能测试均未通过，则取性能测试过程中成功率最高的增强载体图像作为对抗安全载体；

如果第K次迭代得到的增强载体图像通过性能测试，则将其作为对抗安全载体。

本发明实施过程中的相关参数可以在一定范围内适当调整，但本发明要保护的是增强载体生成方法，即不同的实验参数仍然在本发明提出的方法框架内。

为了说明本发明上述方案的性能，还进行了相关实验。

实验参数参考：n为与输入图像尺寸相同的[-1,1]范围内随机整数矩阵；隐写分析神经网络数量取3，实验使用的隐写分析神经网络分别为Wu网络、Ye网络、Xu网络(即 h＝3)；ε取1×10^-4；∈学习率取1.0；K取30；Q取300；γ为90％；隐写方法使用0.4bpp嵌入率下的WOW算法。实验结果如图3所示，其中多网络结果的意义是三个网络同时判别为“非载密”的概率。

以往的隐写工作受到神经网络隐写分析的严重威胁，本发明提出的针对隐写分析神经网络的增强载体生成方法可以有效地抵抗神经网络隐写分析，使得神经网络漏警率大大提升。并且本发明可针对多个隐写分析神经网络构建安全载体，同时控制生成载体过程中引入的修改量。实验结果表明，该方法在抵抗三个主流的隐写分析网络上效果显著。

本发明实施例根据现有三个最先进的隐写分析网络设计了生成增强隐写载体的方法，实验结果表明，本发明方法生成的增强载体可以有效抵御现有最先进的隐写分析网络，为隐写安全做出了贡献。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，上述实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (9)

1.一种针对隐写分析神经网络的对抗安全载体生成方法，其特征在于，包括：

步骤A、运用对抗样本技术，向原始载体图像添加随机隐写噪声，获得带噪图像；

步骤B、将带噪图像输入至给定的隐写分析神经网络中，通过计算隐写分析神经网络的损失函数来计算修改原始载体图像的梯度信息，进而求得对抗噪声，再将对抗噪声叠加在原始载体图像上得到本次迭代最终的增强载体图像；

步骤C、利用给定的隐写分析神经网络对增强载体图像进行性能测试，同时，将增强载体图像赋值给原始载体图像，并重复执行上述步骤A～步骤C，迭代次数上限为K次，迭代K次之后，结合性能测试结果来选取性能最好的增强载体图像作为对抗安全载体。

2.根据权利要求1所述的一种针对隐写分析神经网络的对抗安全载体生成方法，其特征在于，所述运用对抗样本技术，向原始载体图像添加噪声包括：

对于第i次迭代，对原始载体图像C，生成幅度在[-1,1]之间的相同尺寸随机隐写噪声矩阵n_in，将噪声叠加在原始载体图像C上得到带噪图像

3.根据权利要求1所述的一种针对隐写分析神经网络的对抗安全载体生成方法，其特征在于，通过计算隐写分析神经网络的损失函数来计算修改原始载体图像的梯度信息包括：

假设给定的隐写分析神经网络的数量为h；

当h＝1，即给定单个隐写分析神经网络，计算修改原始载体图像梯度η的公式为：

其中，θ表示给定的隐写分析神经网络的网络参数，C表示原始载体图像，y表示真实标签；为以θ为参数、C为输入、y为标签的神经网络损失函数；表示以C为自变量对求导；

当h>1，即给定多个隐写分析神经网络，计算修改原始载体图像梯度η的公式为：

其中，L_Nmul(θ,C,y)＝TotalLoss表示联合损失函数，表示以C为自变量对L_Nmul(θ,C,y)求导。

4.根据权利要求3所述的一种针对隐写分析神经网络的对抗安全载体生成方法，其特征在于，计算联合损失函数的方式包括：

以各个隐写分析神经网络的输出与真实标签的交叉熵的加权和作为损失函数，作为正则项，得到所有隐写分析神经网络的联合损失函数TotalLoss：

其中，{loss₁,loss₂,...,loss_h}是各个隐写分析神经网络的不带正则项的损失函数，{α₁,α₂,...,α_h}各个隐写分析神经网络损失函数的权值，ε是正则项的系数；

正则项表示为：

其中，T为需要修改的像素数量，Δ_i为第i次迭代后的累积的对抗噪声。

5.根据权利要求1所述的一种针对隐写分析神经网络的对抗安全载体生成方法，其特征在于，

将学习率∈作为梯度调整幅度系数，与梯度η与相乘，得到对抗噪声n_ad：n_ad＝η×∈；

再将对抗噪声n_ad叠加到原始载体图像C上，得到本次迭代的初步增强载体图像C”：C”＝C+n_ad；

初步增强载体图像C”为浮点型数据，将初步增强载体图像C”中每个像素的数值使用round()函数进行取整，并调整像素值边界在[0,255]范围内，从而得到本次迭代最终的增强载体图像C’。

6.根据权利要求3或4或5所述的一种针对隐写分析神经网络的对抗安全载体生成方法，其特征在于，利用给定的隐写分析神经网络对增强载体图像进行性能测试的步骤包括：

当h＝1，则使用给定的隐写分析神经网络生成Q组随机的噪声Noise＝{n₁’,n₂’,…,n_Q’}，将Noise中的噪声分别叠加在增强载体图像C’上，对于第i组噪声n_i’来说，得到第i组带噪载体图像

利用隐写分析神经网络测试若所有带噪载体图像中有超过γ的比例成功欺骗隐写分析神经网络网络，被网络识别为非载密图像，则通过性能测试，视增强载体图像已经达到预期目标；

当h>1，则采用与h＝1时相同的方式，利用各个隐写分析神经网络对增强载体图像C’进行性能测试，并融合所有隐写分析神经网络的测试结果，当所有隐写分析神经网络均判决第i组带噪载体图像为非载密图像时认为第i组带噪载体图像通过性能测试；同样的，当所有带噪载体图像中有超过γ的比例通过性能测试，则视增强载体图像已经达到预期目标。

7.根据权利要求1所述的一种针对隐写分析神经网络的对抗安全载体生成方法，其特征在于，所述来选取性能最好的增强载体图像作为对抗安全载体包括：

如果所有的K次迭代过程中，所有性能测试均未通过，则取性能测试过程中成功率最高的增强载体图像作为对抗安全载体；

如果第K次迭代得到的增强载体图像通过性能测试，则将其作为对抗安全载体。

8.根据权利要求4或5所述的一种针对隐写分析神经网络的对抗安全载体生成方法，其特征在于，

当h>1时，如果上一次迭代所获得的增强载体图像未通过性能测试，则修正判定非载密平均概率最低的隐写分析神经网络损失函数的权值，设置非载密平均概率为ρ，相应隐写分析神经网络损失函数权值修正公式为：

α’＝α+1-ρ；

在下一次迭代时，步骤B阶段结合修正后的隐写分析神经网络损失函数的权值来重新计算联合损失函数。

9.根据权利要求1所述的一种针对隐写分析神经网络的对抗安全载体生成方法，其特征在于，

对于第k次迭代：

当h＝1，原始载体图像C的总体调整矩阵通过以下方式来计算：

当h>1，原始载体图像C的总体调整矩阵通过以下方式来计算：

其中，∈为学习步长；Δ_i为第i次迭代后的累积的对抗噪声，T为需要修改的像素数量，ε是正则项的系数；L_N(θ,C+Δ_i+n_i,y)为以θ为参数、(C+Δ_i+n_i)为输入、y为标签的神经网络损失函数；为以(C+Δ_i)为自变量对L_N(θ,C+Δ_i+n_i,y)求导；L_Nmul(θ,C+Δ_i+n_i,y)为以θ为参数、(C+Δ_i+n_i)为输入、y为标签的h个神经网络的联合损失函数； 为以(C+Δ_i)为自变量对L_Nmul(θ,C+Δ_i+n_i,y)求导；n_i为第i次迭代的随机隐写噪声；

则第k次迭代后的初步的增强载体图像C”记为：

通过对初步增强载体图像C”进行取整与像素值边界调整后，得到第k次迭代后最终的增强载体图像C’。