代写计算机论文范文:基于对抗样本的版权算法探讨

发布时间:2023-05-10 20:16:58 论文编辑:vicky

本文是一篇计算机论文,为了能够更好地实现版权保护,我们在调研了对抗样本和目标检测任务的相关工作后,选择了单阶段目标检测器上的对抗样本技术展开研究。

第一章绪论

1.1研究背景和意义

随着计算机科学技术的高速发展,互联网络上出现了越来越多的数字产品,例如图像、音频和视频等多媒体,然而在给人们带来信息共享的便利同时,也让一些不法分子有机会接触从而进行盗窃、滥用等危害操作。无论是恶意还是无意的抄袭篡改、复制兜售这些数字媒体内容,都可能会给交通、医疗、科研、军事、商业等方面带来严重的影响,不仅阻碍了互联网信息化的进步,同时也对人类社会生存和发展造成无法估量的后果。因此数字信息内容的版权保护1问题具有重要的研究意义。

保护数字信息内容版权的方法有很多,其中数字水印技术[1-2]是最主要的实现手段。数字水印技术旨在将特定的信息嵌入到数字媒体中,包括图像、音频等,之后经过对水印信息的提取,最后与嵌入的特定信息即“水印”进行匹配,从而达到版权保护的功能。根据数字水印技术的目的,水印可以是可见的也可以是隐藏的。如果数字水印技术旨在显示版权信息,例如,作者希望其他人共享其原始作品,但必须指定作者信息,则通常会使用可见的水印。相反,如果作者禁止共享原始作品,则可以将隐藏的水印应用于定位跟踪:将追踪和追责共享原始副本的任何人。对于数字水印技术的后一种形式,隐写术[3]是一种在原始信号中隐藏信息的有效方法,可以通过将信息嵌入到像素或者量化到变换域中等手段实现。数字水印技术正是信息隐藏技术的一个分支隐写方法,对于这种形式的数字水印算法,在水印嵌入到数字产品后,不会被人类的感知系统例如视觉或者听觉所察觉,这是隐写式数字水印技术高度不可感知性的特点。并且受版权保护的多媒体内容即使在传输或者使用过程中,有一定的信息丢失或者经历被破坏、被增加了噪声等其它不可确定的干扰,在最后的追溯阶段也能成功地将嵌入的水印信息提取出来进行比对,从而正常实现版权保护的作用,这是一个隐写式数字水印技术高鲁棒性的体现,也是最为重要的特点之一。

1.2国内外研究现状

本节首先介绍对抗样本的发展历程,包括对抗攻击和对抗防御两个基本概念,挖掘国内外相关的研究工作。随后介绍实现版权保护的数字水印技术的发展、对抗样本在数字水印技术上的相关研究和不足。

1.2.1对抗样本的发展现状

2013年Szegedy等人[4]是最早提出对抗样本这个概念的研究者,他们发现在图像上添加了一个极小的扰动后,深度神经网络会出现严重的错误分类。同时把这种行为定义为对抗攻击,把添加扰动后的图像称为“对抗样本”,这是对抗样本技术最开始的理论基础。Szegedy等人解释了这种现象的导致原因是由于神经网络的高度非线性特质造成的,随后提出了L-BFGS优化方法来生成对抗样本。具体是将复杂的限制优化问题转化为凸优化问题,来求解最小的损失函数添加项2,从而让神经网络分类错误。

2014年Goodfellow等人[5]认为神经网络的高度非线性并非是对抗样本产生的真正原因,因为即使是在线性模型上也存在着对抗样本。同时也提出了一种称为快速梯度符号方法(Fast Gradient Signal Method,FGSM),通过梯度信息进行单步攻击的方式来寻找最优扰动从而生成对抗样本。FGSM方法虽然简单高效,但是也存在着明显的缺点,它攻击的成功率较低且生成对抗样本鲁棒性不强,添加的扰动很容易在预处理阶段就被过滤掉而失效。

第二章相关理论

2.1目标检测任务

目标检测任务是计算机视觉领域一个重要的研究方向,与图像分类任务不同的是,它的目标是不仅能在给定图像上识别出包含的物体类别并且需要输出物体所在的位置。由于物体的种类繁多,在给定的样本中可能在任意位置出现多种物体,且物体的尺寸变化范围很大、姿态和摆放角度也多变不定。因此相比较图像的分类任务,目标检测任务具有更大的挑战性。现有的目标检测工作主要分为两个研究方向:两阶段目标检测算法和单阶段目标检测算法。

2.1.1相关数据集和评价指标

当前目标检测任务上公开的数据集有很多,常用的主流数据集有PASCAL VOC2007[52]、PASCAL VOC 2012[53]、MS COCO 2014[54]和ImageNet[55]。

2.1.2两阶段目标检测算法

2014年,R.Girshick等人[56]首次提出了区域卷积神经网络(Region CNN,R-CNN),这是利用深度学习进行目标检测任务的第一个开创性工作。其主要工作原理是采用选择性搜索方法对每一张图像筛选出一定数量的候选区域后再进行分类和候选框的调整。

然而R-CNN的在图像上选取候选框时存在着大量的重叠框,提取特征操作会重复进行,因此训练和测试时会严重地影响速度。于是R.Girshick在2015年推出Fast R-CNN,Fast R-CNN提出了个叫做感兴趣区域池化(Region of Interest Pooling,RoI Pooling)的网络层,它可以把不同大小的输入映射到一个固定尺度的特征图。相比R-CNN需要对每个候选区域使用CNN提取特征,Fast R-CNN则是在对每张图像提取特征阶段后,在最后一层的特征图上直接筛选候选区域,之后再利用RoI Pooling进行归一化,节省了大量计算力。并且Fast R-CNN直接将候选区域的分类和边框位置的回归两个任务结合在一个网络结构里,训练成为了一个多任务模型,极大提升了训练和测试速度。Fast R-CNN和R-CNN相比,结构相对巧妙,流程更为精简,因此检测速度大幅地提升。

2.2对抗样本

2.2.1相关术语

对抗攻击指的是添加视觉不可察觉的扰动到输入数据使模型做出错误判断的过程,添加的扰动被称为对抗扰动,而添加对抗扰动后的样本被称为对抗样本。如表2.1所示,给出了本文涉及到的关于对抗样本技术的相关概念及定义。

计算机论文怎么写

2.2.2图像分类任务上的对抗样本

随着深度学习在许多任务上(包括图像识别,语音识别,目标检测,实例分割等)取得了不俗的表现,越来越多的工作研究都在利用深度学习进行问题求解。然而这样强大的学习模式,在面对对抗样本的时候也是脆弱的,容易遭受到对抗攻击(产生对抗样本的方式)而严重影响性能,研究对抗样本技术不仅能够了解模型的不足,提高模型的鲁棒性,也能防患于未然,避免损失严重。

第三章基于单阶段目标检测任务的对抗样本生成方法······························17

3.1概述·······································17

3.2 II-FGSM算法································17

第四章基于对抗样本的版权保护方法探究··································30

4.1版权保护系统AdMarks的设计···································30

4.1.1系统原理·············································30

4.1.2预处理和水印嵌入·······························31

第五章基于对抗样本的版权保护方法改进········································42

5.1 DCT域上的对抗样本检测器································42

5.1.1概述·············································42

5.1.2对抗样本检测器CNN-DCT·································43

第五章基于对抗样本的版权保护方法改进

5.1 DCT域上的对抗样本检测器

5.1.1概述

为了更好地探究对抗样本在频域中的变化,本小节对CIFAR-10数据集进行对抗攻击,该数据集共有60000张分辨率大小为32×32的彩色图像,总共划分为10个类,每类6000张图。本小节将二维DCT变换后的DCT系数绘制为热力图[77],如图5.1所示。每个DCT系数对应对应的空间频率对图像的贡献比例,其中热力图的水平方向对应二维坐标x方向上的频率,垂直方向对应二维坐标y方向上的频率。在实践中,本小节对图像的每个通道分别进行行和列的进行1D-DCT变换,然后将它们相乘(对应于水平和垂直方向),得到2D-DC变换后的系数,然后加权平均。

计算机论文参考

第六章总结与展望

6.1总结

数字水印技术是进行版权保护的一个主要手段,然而现有的数字水印技术大多都存在着不可感知性和鲁棒性上不相容的弊端。即水印的大小减小了,其不可感知性会相应地提高,但鲁棒性却会相应地降低。相反,水印的大小增大了,水印的鲁棒性也会提高,但水印的不可感知性却会降低。本文从深度学习安全的角度出发,调研了与数字水印技术原理十分相似的对抗样本技术,即对图像嵌入一个很小的扰动后,可以使强大的深度学习模型分类错误。我们从对抗样本积极的一面,尝试将这个扰动视为一个特殊的水印,以此实现版权保护。针对现有工作的不足,我们提出了新的改进方法,结合数字水印技术框架设计了新型的版权保护系统AdMarks,不但解决了版权保护方法中不可感知性和鲁棒性冲突的问题,也进一步提高了版权保护的安全性。本文的主要工作由以下几个组成:

(1)基于单阶段目标检测任务提出了对抗攻击算法II-FGSM

为了能够更好地实现版权保护,我们在调研了对抗样本和目标检测任务的相关工作后,选择了单阶段目标检测器上的对抗样本技术展开研究。主要借鉴图像分类任务上的FGSM算法,提出了在单阶段目标检测任务上的II-FGSM算法,该算法能够在维持较高的攻击成功率的同时,快速地生成具有更好视觉效果的对抗样本。

(2)新型版权保护系统AdMarks

调研了数字水印技术的框架和工作原理,我们利用单阶段目标检测器上的对抗攻击算法II-FGSM算法结合数字水印技术,提出并设计了一个新型的版权保护系统AdMarks。AdMarks主要由水印嵌入、水印编码和水印追溯三个模型组成,水印的嵌入主要由II-FGSM算法实现。而为了更好的实现版权保护过程中可追溯水印的唯一性和可识别性,我们为AdMarks设计了编码模块e-NMI,该模块可以对水印的特定检测结果信息进行编码,得到一个稳定且唯一的ID。最后的水印追溯模块则由e-NMI方案和相似度比较方法组成,可以更为准确地保证水印追溯过程的安全性。

参考文献(略)