[发明专利]一种基于DCT系数的生成网络模型水印方法及应用

说明书

本发明公开了一种基于DCT系数的生成网络模型水印方法，包括如下步骤：步骤1、创建训练图像数据集；步骤2、利用DCT变换在训练图像中嵌入不可见图像水印，步骤2.1、读取RGB图像为32*32*3的矩阵，提取图像中的蓝色通道B，即其中32*32*1的部分矩阵；步骤2.2、将训练图像在蓝色通道B中分割为大小为2*2的分块；步骤2.3、对每一个2*2方块进行DCT变换后在用水印的值乘以10后覆盖方块右下角的值，嵌入一位水印；步骤2.4、对2*2方块进行逆DCT变化，并更新原方块的值；步骤3、将步骤2中的带有不可见水印的训练图像投入生成图像任务的神经网络中训练，得到带水印的网络模型。该方法在神经网络模型的原始损失上加上水印损失，同时处理训练集图像，在训练集图像中嵌入DCT水印。

技术领域

本发明涉及人工智能安全技术领域，具体指一种基于DCT系数的生成网络模型水印方法及应用。

背景技术

伴随着人工智能应用于越来越多的领域，人工智能产业化在迅速发展。看似高端的人工智能技术已经在不知不觉中走进了我们的生活，越来越多的设备和应用中搭载了人工智能技术，例如物体识别，人脸识别，智能翻译，图像恢复等功能。随着设备计算能力的提高和5G的发展，我们可以在手机上使用到这些AI的服务。然而这些服务都是建立在以神经网络模型为代表的人工智能中，所以如何保证神经网络模型的安全和保护神经网络模型的版权成为了一个迫切的问题。

人工智能是新一轮科技革命和产业变革的重要驱动力量，如何保证它蓬勃健康的发展是我们需要关注的。一个神经网络模型的功能和准确性都是建立在模型所有者对模型结构和模型训练不断探索研究的努力中，同时一个模型的训练也需要花费大量的资源和时间，所以模型需要得到版权保护，避免它被以不正当手段盗取，使得攻击者谋取非法利益。人工智能安全作为网络安全的一部分，有很多的研究人员对此展开了研究。在不影响其原本性能的基础上嵌入隐秘信息到模型载体中，从而达到模型保护的作用。

目前在人工智能模型水印研究方面还有许多问题亟待解决，例如：1)模型取证困难，大多数方法都需要访问模型的参数或者需要控制模型的输入来获取水印2)大部分的模型水印都是针对分类神经网络模型，对于生成性网络模型的适用性不高，还需要更深入的研究3)模型水印的鲁棒性不强，嵌入的方式相对单一。人工智能模型水印的持续研究，有利于降低人工智能安全风险，确保网络空间的和谐，稳定和安全。

在人工智能模型水印的研究中，大部分的水印方案可以分为两类，即白盒水印和黑盒水印。白盒水印是依赖于模型参数的水印嵌入方法，这种在模型参数中携带水印信息的方法虽然能够提取的水印能够达到很好的准确率，但是它要求验证者能够获取整个模型的参数，在取证过程中有一定难度。黑盒水印使用预定义的输入作为触发器控制模型的输出即在模型中插入后门集，能够根据触发器的内容输入触发模型的一些特定的输出，这种方法不需要访问整个模型的参数，更容易取证，但是这种方法也要求我们能够对模型有一些特殊的输入。根据近几年新提出的无盒水印方法，所以我们提出了一种基于DCT系数的生成网络模型水印。尽管目前已经提出了一些有效的无盒水印方法，但是大多数方法都是通过另外训练一个新的网络来嵌入和提取水印，需要占用额外的训练资源。我们提出的方法是在模型训练过程中训练水印嵌入方法，使模型水印能够更加轻量化。

发明内容

针对现有技术的不足，本发明提出了基于DCT系数的生成网络模型水印方法及应用，在神经网络模型的原始损失上加上水印损失，同时处理训练集图像，在训练集图像中嵌入DCT水印。这样在保证原始模型任务的同时，神经网络能够学习如何嵌入DCT水印，从而使模型水印能够更加轻量化。

为了解决上述技术问题，本发明的技术方案为：

一种基于DCT系数的生成网络模型水印方法，包括如下步骤：

步骤1、创建训练图像数据集；

步骤2、利用DCT变换在训练图像中嵌入不可见图像水印