论文部分内容阅读
随着互联网技术与多媒体技术的快速发展与应用,人们越来越多地用图像、音频和视频等多媒体来传递和表达信息。隐写术作为一种将秘密消息嵌入多媒体文件中进行传递与共享的隐蔽通信技术,被广泛用于非法目的,如传播计算机病毒、传递非法消息等。显然,研究安全有效的隐写对抗技术具有重要的现实意义。隐写分析技术旨在识别隐写行为和检测载密图像,是有效的隐写对抗技术,其研究受到了普遍的关注与重视。随着近年来隐写技术不断地发展进步,对隐写分析的准确性要求不断提高,基于高维人工特征的隐写分析逐渐落后。而深度学习隐写分析由于其优异的分类准确率,成为主要的隐写分析方法。然而,对抗样本隐写的出现,严重威胁了深度学习隐写分析的可靠性,限制了其在现实中的应用。对抗样本隐写通过向载密中加入微小的对抗扰动,可在传递秘密消息的同时,令目标深度学习隐写分析模型将对抗样本载密误判为载体。因此,在当前的现实场景中,隐写分析模型面临三类样本:载体、常规载密和对抗样本载密。合格的隐写分析需要具备两方面能力:能准确区分载体和常规载密的能力,即准确性;不受对抗噪声干扰,正确分类对抗样本载密的能力,即鲁棒性。显然,深度学习隐写分析的鲁棒性亟待加强。当前最有效的防御对抗样本隐写的手段是重训练,即向训练集中加入对抗样本载密。但是隐写者可以对重训练后的模型生成新的对抗样本载密,继续规避检测。这样,隐写与隐写分析就陷入了军备竞赛式的多轮对抗。更严重的问题是,在多轮对抗的过程中,隐写分析模型的准确性不断下降,而对抗样本隐写在保持高攻击成功率的同时,抵抗非目标隐写分析模型检测的能力逐渐上升。因此,如何提高深度学习隐写分析模型的鲁棒性,避免陷入多轮对抗的困境,是当下隐写分析亟待解决的问题。在隐写与隐写分析多轮对抗的背景下,针对对抗样本隐写带来的挑战,本文从两个角度展开研究:一是如何解耦对抗扰动与隐写修改;二是如何利用深度学习特征和人工特征的互补性。从这两个角度出发,本文提出了三种方法,揭示了对抗样本隐写在不同层面的独特性质,设计了可用于不同场景的深度学习鲁棒性增强方法。本文的主要工作与创新点总结如下:1.基于随机子图采样的隐写分析对抗样本隐写的优化目标是:在欺骗深度学习隐写分析的前提下,最小化引入的对抗扰动。现有的对抗样本隐写均通过引入稀疏的对抗扰动实现该目标,而隐写修改则依修改概率散布于整幅图像。据此,本文提出了一种根据预测的修改概率对输入图像进行采样的隐写分析方法。具体地,依据预测的修改概率图,从修改概率各异的区域随机选取子图并且提取深度特征,从而迫使深度学习隐写分析将注意力散布至整幅图像,避免被局部的稀疏对抗扰动干扰。此外,考虑到子图间的相关性,本文首先计算子图特征的统计向量,然后随机组合各子图特征,训练若干子分类器,最后由所有子分类器投票得到判决结果。实验表明,该方法无需重训练就可以提升深度学习隐写分析的鲁棒性,同时保持优于人工特征隐写分析的准确性。2.基于多模型概率输出的隐写分析当前的隐写分析模型主要有两类——人工特征模型和深度学习模型。深度学习模型的准确性明显优于人工特征模型,但是容易受到对抗样本隐写的攻击,而人工特征则相反。完成现实场景中的隐写分析任务需要兼具准确性和鲁棒性。本文提出了一种利用两类模型的互补优势的鲁棒隐写分析框架,可以满足现实场景中隐写分析任务的需求。由于对抗样本隐写对深度学习模型和人工特征模型具有明显的攻击成功率差异,被深度学习模型认为是载体而人工特征模型认为是载密的图像中,包含了大量的对抗样本载密图。此外,对抗样本隐写最小化对抗扰动,导致隐写分析模型对于对抗样本载密的概率输出分布与载体图显著不同。利用对抗样本载密在模型的输出层面的上述两点特性,本文设计了一种过滤器,将多数对抗样本载密图从输入数据中筛选出来,并由专门的人工特征隐写分析进行分类。同时,深度学习隐写分析器则仅分类其余的图像。实验表明,该隐写分析框架,不仅显著提高了深度学习隐写分析的鲁棒性,还保持了对于载体图和常规载密图的高分类准确率,可以应对常规隐写与对抗样本隐写混杂的现实场景。3.基于多模型特征融合的隐写分析隐写术和对抗样本技术存在很高的相似性,即二者均利用人眼不可见的微小扰动完成各自的目标任务(传递秘密消息或误导深度学习模型)。因此,隐写分析技术可以用于对抗样本检测;研究对抗样本检测和防御方法,也可以启发鲁棒的隐写分析模型的研究。具体地,经典的人工特征隐写分析模型SRM(spatial rich model)已被成功地用于对抗样本检测任务,但对稀疏对抗扰动的检测准确率差。若采用深度学习模型检测对抗样本,则会受到针对性的对抗攻击(被称为二次攻击)。因此,本文提出了将人工特征与深度特征融合的检测模型。首先,为了避免深度特征被人工特征湮没,本文优化了 SRM特征,对其先升维后降维,在显著降低特征维数的情况下,提升了检测能力。其次,为进一步提升检测准确率,本文设计了用于检测对抗扰动的深度学习模型。最后,本文通过投票融合两类模型的判决结果。实验表明,本文提出的方法对于多种对抗样本的检测准确率都优于现有方法,并且对于不同条件下的二次攻击都具有鲁棒性。本文提出的方法在用于隐写分析任务时,也表现出了类似的性能,可以同时提升深度学习隐写分析的准确性和鲁棒性。