目录
前言
作为一个刚踏入隐写领域的研一菜鸟,我希望记录一部分自己学习的内容,方便复习,也可以作为各位新手入门的借鉴。因为时间并不是非常充足,在翻译文章时我可能更偏向于自己的理解,并且会有不少部分省略。同时,这是我第一次写文章,由于个人英文水平与专业水平有限,若有错误,还请各位指出,谢谢。
Abstract
文章提出了一种新的隐写操作,对抗性嵌入(Adversarial Embedding,以下简称ADV-EMB),能够在嵌入隐写信息的同时骗过基于CNN隐写分析器。本文的方法工作在传统的最小化失真框架下。根据目标CNN的反向传播梯度,我们通过调整图像元素的修改来完成对抗性嵌入。因为这样的操作,我们对于修改像素的方向(sign)会有更高的概率与梯度的方向相反。
Section1.Introduction
本文主要做了三样贡献,如下:
- 提出一种新方法来机器学习分类器,并且没有尝试保存特定图像统计性质的模型
- 提出名叫ADV-EMB的隐写方法,与深度学习领域的对抗样本不同,ADV-EMB生成的对抗隐写图像可以携带秘密信息
- 基于对隐写和隐写分析的先验知识,考虑不同的对抗性模型,本文提出的方案可以达到SOTA的效果
在Section2中,用公式来表达隐写与隐写分析的问题。指出本方法的基础,并辨别两种对抗性场景(Adversarial Scenarios)
在Section3中,提出这个idea以及ADV-EMB隐写方法的实现。
在Section4中,实验部分。
在Section5中,给出结论
Section2.Technical Foundation
在文章中,大写加粗的字母用于代表矩阵,相对应的小写字母作为矩阵中的元素。
花体字母表示一个集合。
以及,cover image使用
表示,stego image使用
表示,而adversarial stego image使用
表示。
相应的图像集合使用
来分别表示。
A. 隐写安全性能的实际评估矩阵
对于这样一个隐写分析器
(2进制输出),我们将下式(1)作为他的分类结果与实际类别的对应,0代表cover,1代表stego。
在测试时,有两类错误率:
第一种是漏检率:
代表着将stego误认为cover
第二种是虚警率:
代表着将cover误认为是stego
根据式(2),(3),我们把总错误率定义为
对于隐写方来说,希望最大化上式;而对于隐写分析方,希望最小化上式。
B.隐写的最小失真框架
在最小失真框架下,隐写被定义为一个有约束的最小化问题,在这里约束是负载(payload)
例如式(5)
其中,D(C,S)是计算cover image被修改为stego时,产生的失真的函数。
而
是我们向S(stego image)中所嵌入的信息负载量,k是负载的大小(使用bits作为单位)
对于一个典型的三元嵌入加性失真函数,被定义为下式(6)
其中,
。
而δ( · )是指示函数(实际上就是一个冲激函数)
分别代表对cover中的元素加1与减1的代价。
虽然不同的隐写方法使用不同的代价函数,但是从经验的角度来说,分配给元素的代价值越大,越容易引入异常痕迹,并因此导致这个元素的修改概率降低,反之亦然。
在很多的隐写方案中,相等,使cover中的元素加1与减1的概率相等。根据CMD方法( Clustering modification direction),增加或者减少的代价不对称更新,对于邻域的修改方向同步是有利的。
C,D(略)
Section3.ADV-EMB隐写方法
在这个部分,我们介绍一个新颖的隐写方法“ADV-EMB”,来对抗目标隐写分析器。首先,我们会概述这个方法的Basic Idea。然后,我们会从细节上讨论本方法两个最重要的操作。最后,我们将给出ADV-EMB方法的一个实际应用。
A.Basic Idea
我们先把图像元素随机分为两组,common group和adjustable group。
我们把数据的嵌入分为两阶段:
阶段1,隐写信息的一部分通过传统的Baseline隐写方法嵌入到common group中。
阶段2,剩下的隐写信息使用对抗性嵌入方法嵌入到adjustable group中
目标隐写分析器将输出一个错误的类别标签,从而修改Adjustable elements。
使用了性能不错的深度学习隐写分析器Xu‘s Net作为目标隐写分析器,因为其损失函数相对于输入的梯度值可以用来指示Adjustable elements的修改。
为了防止对目标隐写分析器的over-adapted,以及强化对其他先进分析器的安全性能,我们需要最小化Adjustable elements的数量,得到了一个有约束的最小值问题。这一点会在Section3-C的部分细说。
B.Adversarial Embedding
我们用y作为x的真实标签,取值所代表的意义同上(cover为0, stego为1)
是隐写分析器
的损失函数。
(8)中的F(X)代表判定X是stego的概率
上式是对应的损失函数的交叉熵形式
在【33】-【35】中,对抗样本通过梯度来修正输入x来骗过ML models。
但是,在隐写中不能直接使用这个方法,实际上修改隐写图像的元素可能会使数据提取失败,这与我们隐写的目的相悖。
因此,我们需要设计一个嵌入方案来同时满足两个目的:
- 应用对抗性操作来对抗隐写分析器
- 应用数据嵌入方法来携带信息。
最终,我们提出了ADV-EMB方法,可以在最小化失真框架下生成隐写图像。
因为加入与梯度方向相反的扰动具有对抗性的效果,ADV-EMB的目标是使用与FGMS类似的方法(让修改的方向与梯度的反方向趋向与一致)
为了能够嵌入数据的同时以高概率的方式实现这个目标,我们在最小失真框架下使用满足以下性质的嵌入代价来操作。
如果梯度不是0,这样的代价会使得元素x(i,j)增加或者减少的概率不对称
通过这中方法,数据可以被嵌入到图像元素中,并且修改的方向会诱导隐写分析器误判。
注意,因为不对称的嵌入代价,对抗性嵌入可能导致更高的修改率。
C.最小化Adjustable elements的数量
因为增加与减少的代价不对称,这种方法增加了被修改的元素数量。原因在于,最大熵仅仅只能在图像元素有相等的增加与减少的概率得到。在有负载条件的限制下,不对称代价相比于对称代价,会导致修改率更大。尽管高修改率可能不会使性能变差,我们仍然希望能通过减少ADV-EMB的嵌入频率来最小化修改率。
3个事实:
- 仅仅使用一个部分的元素来进行对抗性操作就足以瞒过ML分类器·(甚至不使用ADV-EMB,只使用传统的隐写方法就能够使目标分类器出错了)
- 所有元素都被用来ADV-EMB可能会导致过拟合,同时也可能产生更多的可探测痕迹。我们可以最小化ADV-EMB操纵的元素,以防止引入其他的可探测痕迹。
- 当改变率最小的时候,图像的质量会被保存的更好
把图像元素分割为两部分,运用ADV-EMB的Adjustable element和 运用传统隐写方法的Common element。我们的目标是在能够误导隐写分析器的同时,尽可能的使Adjustable elements少。
用数学公式来表示:
β范围(0,1),代表Adjustable elements占全部elements的比例
这个问题显然没有一个很明显的解。为了有效的解决这个问题,要使用目标隐写分析器来在数学上逼近一个“够用”(just enough)的adjustable elements数量,这个数量能够满足公式(11)的约束。
D.ADV-EMB的一个实际使用案例
本part提出实际的ADV-EMB方法。因为JPEG图像被广泛用在网络上,将其作为cover。使用XuNet作为目标隐写分析器,J-UNIWARD作为baseline隐写的传统数据嵌入方法。
目标隐写分析器是一个CNN模型,由一个固定的DCT滤波层,20个可学习的卷积层组成。目前我们已知的分析器中,这个CNN模型在探测JPEG图像隐写中有最好的效果。
本文使用J-UNIWARD生成的stego和JPEG的cover来训练目标隐写分析器。
方法的步骤细节如下:
- 对于一个cover图像
,使用传统的代价函数来计算初始DCT系数嵌入代价,例如
。并且初始化β=0
2.把C中的元素分成两个不相邻的groups
Common groups contain elements:
Adjustable groups contain elements:
图1中,common groups是蓝色的,adjustable groups是红色的
这两种elements的位置可以提前固定好,也可以随机选取(之后讨论细节)
3.嵌入 k1 = [ k × (1-β) ]比特到common groups中(common groups是在step1中用初始嵌入代 价计算出来的),通过使用最小失真编码(如STC)。最终的图片被标记为Zc。
图1中,common groups中的修改系数被蓝色的斜线高亮。
4.使用目标标签y=0(即cover)来计算隐写分析器的梯度。通过(12),(13)来更新 adjustable elements的嵌入代价
α是大于1的缩放系数,目的是令(12)与(13)式满足等式(10)
在这次实验中,α被设置为2。通过使用(12)(13)计算的嵌入代价以及与common groups中相同的编码方法,在adjustable elements中嵌入k2 = k – k1比特。
合成后的图片为Z。图1展示出,adjustable groups中的元素的代价翻倍或者减半,这取决于 梯度的方向。
在数据嵌入后,adjustable groups中被修改的系数以红色斜线高亮显示。
5.把Z作为隐写分析器的输入。如果判定为cover,说明已经以最小的修改率β完成了目标。把Z 作为输出,并结束嵌入的过程
除此之外,adjustable elements的数量也有可能不够。在这个案例中,更新β=β + △β,并重 复step2-step5直到β=1。我们设定△β=0.1。如果直到β=1,但是隐写分析器的结果仍然还是 stego,我们就只使用传统方法。
因为同样的编码方法(如STC)被同时用在common groups和adjustable groups,消息的接收者既不需要知道β,也不需要知道common groups和adjustable groups的分布。我们所嵌入的数据可以使用同样的方法提取出来。
大多数现存的隐写方法,图像元素的嵌入顺序是由图像元素的索引打乱后生成的,这种打乱的操作被密钥决定,密钥是发送方和接受方之间分享的。密钥对不同的图像可以是固定的,也可以作为一种session key改变。
在ADV-EMB操作中,common elements和adjustable elements的位置可以用以下方法决定
首先,通过与baseline隐写方法同样的方式生成嵌入顺序。然后,根据这个嵌入顺序先生成 l1 = [ H×W×(1-β)]个元素作为common group。最后,用剩余的部分作为adjustable group。换句话说,adjusta element的位置是固定的还是随机的,依赖于嵌入顺序是固定的还是随机的。本文推荐使用随机的来强化安全性能。
Section4.实验部分(略)
Section5.结论
本文提出了一个关于隐写问题的新颖方法。总体来说,我们的提出的方法能够在嵌入隐写信息的同时,考虑了对抗先进CNN隐写分析器的必要性。因为引入了对抗性嵌入方法,我们能够同时做到数据嵌入与对抗性操作。ADV-EMB是一种在最小化Adjustable elements的情况下生成对抗隐写图像的方法,在文章中已经被证明了可以对抗基于深度学习的隐写分析器。
大量的实验给出了以下结论:
- 当目标隐写分析器对于隐写器来说是先验可知的并且隐写分析器对于对抗性操作是不知情的情况下,ADV-EMB方法会使得目标隐写分析器的探测错误率很高。
- 当隐写分析器了解了ADV-EMB方法,并且已经使用了对抗隐写图像来预训练后,文章所提出的ADV-EMB相较于其他SOTA的方法,无论是目标还是非目标分析器,都有较高的误导率(使隐写分析器判断错误的概率)
- 当隐写分析器与隐写器不断根据更新后的知识来迭代时,对抗隐写图像仍然在卷积的其他分析器或隐写器中占据优势地位。
文章来源:https://ieeexplore.ieee.org/abstract/document/8603808
W. Tang, B. Li, S. Tan, M. Barni and J. Huang, "CNN-Based Adversarial Embedding for Image Steganography," in IEEE Transactions on Information Forensics and Security, vol. 14, no. 8, pp. 2074-2087, Aug. 2019, doi: 10.1109/TIFS.2019.2891237.
扫一扫
1861
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
