發(fā)布時(shí)間:2022-04-09所屬分類:計(jì)算機(jī)職稱論文瀏覽:1次
摘 要: 摘 要: 針對信息隱藏中含密載體會(huì)留有修改痕跡,從根本上難以抵抗基于統(tǒng)計(jì)的隱寫分析算法檢測的問題,提出一種基于生成對抗網(wǎng)絡(luò)( GAN) 的信息隱藏方案。該方案首先利用生成對抗網(wǎng)絡(luò)中的生成模型 G 以噪聲為驅(qū)動(dòng)生成原始載體信息; 其次,使用 1 嵌入算法,將秘密消息嵌
摘 要: 針對信息隱藏中含密載體會(huì)留有修改痕跡,從根本上難以抵抗基于統(tǒng)計(jì)的隱寫分析算法檢測的問題,提出一種基于生成對抗網(wǎng)絡(luò)( GAN) 的信息隱藏方案。該方案首先利用生成對抗網(wǎng)絡(luò)中的生成模型 G 以噪聲為驅(qū)動(dòng)生成原始載體信息; 其次,使用 ± 1 嵌入算法,將秘密消息嵌入到生成的載體信息中生成含密信息; 最終,將含密信息與真實(shí)圖像樣本作為生成對抗網(wǎng)絡(luò)中判別模型 D 的輸入,進(jìn)行迭代優(yōu)化,同時(shí)使用判別模型 S 來檢測圖像是否存在隱寫操作,反饋生成圖像質(zhì)量的特性,G&D&S 三者在迭代過程中相互競爭,性能不斷提高。該方案所采用的策略與 SGAN( Steganographic GAN) 和 SSGAN( Secure Steganography based on GAN) 兩種方案不同,主要區(qū)別是將含密信息與真實(shí)圖像樣本作為判別模型的輸入,對于判別網(wǎng)絡(luò) D 進(jìn)行重構(gòu),使網(wǎng)絡(luò)更好地評(píng)估生成圖像的性能。與 SGAN 和 SSGAN 相比,該方案使得攻擊者在隱寫分析正確性上分別降低了 13. 1% 和 6. 4% 。實(shí)驗(yàn)結(jié)果表明,新的信息隱藏方案通過生成更合適的載體信息來保證信息隱藏的安全性,能夠有效抵抗隱寫算法的檢測,在抗隱寫分析和安全性指標(biāo)上明顯優(yōu)于對比方案。
關(guān)鍵詞: 信息隱藏; 隱寫分析; 生成對抗網(wǎng)絡(luò)
0 引言
信息隱藏是將秘密信息以不可見的方式隱藏在一個(gè)宿主信號(hào)中,并在需要時(shí)將秘密信息提取出來,以達(dá)到隱蔽通信和版權(quán)保護(hù)等目的[1]。它主要用于特定雙方的秘密通信,特別是在快速增長的社交網(wǎng)絡(luò)中,有豐富的圖像和視頻作為載體,這為信息隱藏提供了更多的機(jī)會(huì)和挑戰(zhàn)。圖 1 是信息隱藏的典型模型。
當(dāng)前常用的圖像信息隱藏方法主要包括空域和變換域的信息隱 藏 方 法。空域隱藏方法如圖像最低有效位 ( LeastSignificant Bit,LSB) 隱藏方法[2]、自適應(yīng) LSB 隱藏方法[3]、空域通 用 小 波 相 對 失 真 ( Spatial-UNIversal WAvelet Relative Distortion,S-UNIWARD) 方法[4]、HUGO( Highly Undetectable steganography) [5]、WOW( Wavelet Obtained Weights) [6] 等; 變換域 方 法 如 離 散 傅 里 葉 變 換 ( Discrete Fourier Transform, DFT) 隱藏方法[7]、離散余弦變換( Discrete Cosine Transform, DCT) 隱藏方法[8]、離散小波變換( Discrete Wavelet Transform, DWT) 隱藏方法[9]等。
傳統(tǒng)信息隱藏方法都是通過修改載體來嵌入秘密信息,含密載體總會(huì)留有修改痕跡,導(dǎo)致含密載體難以從根本上抵抗基于統(tǒng)計(jì)的信息隱藏分析算法的檢測。當(dāng)人們設(shè)計(jì)隱寫算法時(shí),通常會(huì)考慮到隱寫分析。例如,秘密信息應(yīng)該嵌入到圖像的噪聲和紋理區(qū)域中,這樣更加安全。但現(xiàn)有的隱寫模式通常要求載體信息的先驗(yàn)概率分布,在實(shí)際中很難獲得,也就是說抵抗隱寫分析的設(shè)計(jì)未能在應(yīng)用中很好地實(shí)現(xiàn)。因此,如何設(shè)計(jì)安全的隱寫方案使含密載體從根本上抵抗基于統(tǒng)計(jì)的隱寫分析算法的檢測是研究人員面臨的難題,也是研究的熱點(diǎn)之一。
生成對抗網(wǎng)絡(luò)( Generative Adversarial Network,GAN) [10]的特點(diǎn)是提取總結(jié)真實(shí)樣本的特征,由噪聲驅(qū)動(dòng)來生成豐富多樣的圖像樣本,這為信息隱藏的研究提供了新方向。在 SGAN ( Steganographic GAN ) [11] 和 SSGAN ( Secure Steganography based on GAN) [12]的啟發(fā)下,本文提出了一種基于生成對抗網(wǎng)絡(luò)的安全隱寫方案,通過生成更合適的載體信息來保證信息隱藏的安全性。該方案首先用 GAN 中的生成模型( generative model) 以噪聲為驅(qū)動(dòng)生成原始載體信息,其次將使用 ± 1 嵌入算法,將消息嵌入到生成的載體信息中,然后將含密信息與真實(shí)樣本作為生成對抗網(wǎng)絡(luò)判別模型 D ( discriminator D) 的輸入,對于判別性網(wǎng)絡(luò)進(jìn)行重構(gòu),同時(shí)使用判別模型 S( discriminator S) 來檢測圖像是否存在隱寫操作。
本文的主要工作歸納如下:
1) 提高含密信息的安全性。在 本 文 中,將 含 密 信 息 ( steg( G( z) ) ) 與真實(shí)圖像( χdata ) 作為生成對抗網(wǎng)絡(luò)判別模型( discriminative model) 的輸入,對于判別性網(wǎng)絡(luò)進(jìn)行重構(gòu),從而使含密信息的安全性顯著提高。與 SGAN 和 SSGAN 相比,本文方案使得攻擊者在隱寫分析正確性上分別降低了13. 1% 和 6. 4% 。 2) 生成的載體圖像更豐富。本文改進(jìn)原始 GAN 的框架,同時(shí)要通過調(diào)節(jié)式( 5) 參數(shù) α 的值,使生成對抗網(wǎng)絡(luò)和隱寫分析檢測達(dá)到均衡,從而更好評(píng)估生成圖像的特性,使生成的圖像更豐富。與對比方案相比,生成的載體圖像更適合嵌入。
1 預(yù)備知識(shí)
1. 1 生成對抗網(wǎng)絡(luò)
GAN 是 Goodfellow 等[10] 在 2014 年提出的一種生成模型,其思想來源于博弈論中的二人零和博弈,GAN 的結(jié)構(gòu)如圖 2 所示。主要由一個(gè)生成器和一個(gè)判別器組成,任意可微分的函數(shù)都可用來表示 GAN 的生成器 G 和判別器 D[13]。
GAN 從 2014 年提出后主要應(yīng)用在無監(jiān)督學(xué)習(xí)上,它能從輸入數(shù)據(jù)動(dòng)態(tài)地采樣并生成新的樣本。GAN 通過同時(shí)訓(xùn)練以下兩個(gè)神經(jīng)網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)( 設(shè)輸入分別為真實(shí)數(shù)據(jù) x 和隨機(jī)變量 z) :
1) 生成模型 G: 以噪聲 z 的先驗(yàn)分布 pnoise ( z) 作為輸入,生成一個(gè)近似于真實(shí)數(shù)據(jù)分布 pdata ( x) 的樣本分布 pG ( z) 。
2) 判別模型D: 判別目標(biāo)是真實(shí)數(shù)據(jù)還是生成樣本。如果判別器的輸入來自真 實(shí) 數(shù) 據(jù),標(biāo) 注 為 1; 如果輸入樣本為 G( z) ,標(biāo)注為 0。
GAN 的優(yōu)化過程是一個(gè)極小極大博弈( Minimax game) 問題: 判別器 D 盡可能正確地判別輸入的數(shù)據(jù)是來自真實(shí)樣本( 來源于真實(shí)數(shù)據(jù) x 的分布) 還是來自偽樣本( 來源于生成器的偽數(shù)據(jù) G( z) ) ; 而生成器 G 則盡量去學(xué)習(xí)真實(shí)數(shù)據(jù)集樣本的數(shù)據(jù)分布,并盡可能使自己生成的偽數(shù)據(jù) G( z) 在 D 上的表現(xiàn)D( G( z) ) 和真實(shí)數(shù)據(jù)x在D上的表現(xiàn)D( x) 一致,這兩個(gè)過程相互對抗并迭代優(yōu)化,使得 D 和 G 的性能不斷提升,最終當(dāng) G 與 D 二者之間達(dá)到一個(gè)納什平衡,D 無法正確判別數(shù)據(jù)來源時(shí),可以認(rèn)為這個(gè)生成器 G 已經(jīng)學(xué)到了真實(shí)數(shù)據(jù)的分布[13]。
GAN 模型存在著無約束、不可控、噪聲信號(hào) z 很難解釋等問題。近年來,在此基礎(chǔ)上衍生出很多 GAN 的衍生模型。文獻(xiàn)[14]中 將 GAN 的思想擴(kuò)展到深度卷積生成對抗網(wǎng)絡(luò) ( Deep Convolutional GAN,DCGAN) 中,將其專門用于圖像生成,還論述了對抗訓(xùn)練在圖像識(shí)別和生成方面的優(yōu)點(diǎn),提出了構(gòu)建和訓(xùn)練 DCGAN 的方法。Conditional GAN[15]能生成指定類別的目標(biāo)。InfoGAN( interpretable representation learning by Information maximizing GAN) [16]被 OPENAI 稱為 2016 年的五大突破之一,它實(shí)現(xiàn)了對噪聲 z 的有效利用,并將 z 的具體維度與數(shù)據(jù)的語義特征對應(yīng)起來,由此得到一個(gè)可解釋的表征。
1. 2 Wasserstein GAN
WGAN( Wasserstein GAN) [17] 是 GAN 的衍生模型,主要從損失函數(shù)的角度對 GAN 作了改進(jìn)。原始 GAN 采用交叉熵 ( JS 散度) 衡量生成分布和真實(shí)分布之間的距離,導(dǎo)致 GAN 在訓(xùn)練過程出現(xiàn)模型崩塌( mode-collapse) 的問題。WGAN 在理論上給出了 GAN 訓(xùn)練不穩(wěn)定的原因,即交叉熵( JS 散度) 不適合衡量不相交分布之間的距離,接著使用 Wassertein 距離去衡量生成數(shù)據(jù)分布和真實(shí)數(shù)據(jù)分布之間的距離,主要理論貢獻(xiàn)為:
1) 定義了可以明確計(jì)算的損失函數(shù),徹底解決 GAN 訓(xùn)練不穩(wěn)定的問題,不再需要小心平衡生成器和判別器的訓(xùn)練,基本解決了模型崩塌( mode-collapse) 問題,確保了生成樣本的多樣性。
2) 使用 Wasserstein 方法對 G&D 的距離給出了明確的數(shù)學(xué)定義。Wasserstein 距離也稱為轉(zhuǎn)移度量或者 E 距離,它表示從一個(gè)分布轉(zhuǎn)移成另一個(gè)分布所需的最小代價(jià)。
WGAN 對原始 GAN 的具體改進(jìn)為: 1) 判別器最后一層去掉 sigmoid; 2) 生成器和判別器的 loss 不取 log; 3) 每次更新判別器 D 之后,把 D 中參數(shù)的絕對值截?cái)嗟揭粋(gè)固定常數(shù); 4) 采用 RMSProp( Root Mean Square prop) [19]、SGD( Stochastic Gradient Descent) 替換基于動(dòng)量的優(yōu)化算法 momentum 和 Adam( Adaptive moment estimation) 。
WGAN 既解決了訓(xùn)練不穩(wěn)定的問題,也提供了一個(gè)可靠的訓(xùn)練進(jìn)程指標(biāo),而且該指標(biāo)確實(shí)與生成樣本的質(zhì)量高度相關(guān)。但是采用 WGAN 模型生成的圖片離現(xiàn)實(shí)圖片還有差距,后續(xù)還需要進(jìn)一步研究。
2 本文方案模型
在 SGAN 和 SSGAN 工作的啟發(fā)下,本文引入一個(gè)新的基于 WGAN 信 息 隱 藏 ( Steganography based on GAN,StegoWGAN) 方案,包含一個(gè)生成網(wǎng)絡(luò)和兩個(gè)判別網(wǎng)絡(luò)。具體功能為:
生成器網(wǎng)絡(luò) G: 以噪聲為驅(qū)動(dòng),通過機(jī)器學(xué)習(xí)生成近似真實(shí)數(shù)據(jù)樣本的圖像作為載體信息。
判別器網(wǎng)絡(luò) D: 與 SGAN 和 SSGAN 方案不同,該方案為將含密信息( steg( G( z) ) ) 與真實(shí)樣本作為判別模型 D 的輸入,對輸入的樣本鑒別真?zhèn)巍?/p>
判別器網(wǎng)絡(luò) S: 與 SSGAN 方案相同,本文也使用復(fù)雜的 GNCNN( Gaussian-Neuron Convolutional Neural Network) [20] 來評(píng)估生成的圖像的合適性,同時(shí)確定被檢圖像是否存在隱寫操作。本文 Stego-WGAN 模型如圖 3 所示。
2. 1 網(wǎng)絡(luò)結(jié)構(gòu)
對于生成網(wǎng)絡(luò) G,它用于生成安全的載體信息。本文使用一個(gè)全連接層和四個(gè)卷積層,然后是雙曲正切函數(shù)作為激勵(lì)層。G 網(wǎng)絡(luò)結(jié)構(gòu)如圖 4( a) 所示。
對于判別網(wǎng)絡(luò) D,它用于評(píng)估含密圖像的質(zhì)量特性。本文使 用 四 個(gè) 卷 積 層 和 一 個(gè) 全 連 接 層。D 網(wǎng) 絡(luò) 結(jié) 構(gòu) 如圖 4( b) 所示。
對于判別網(wǎng)絡(luò) S,它用于評(píng)估生成圖像的適用性。本文首先使用預(yù)定義的高通濾波器進(jìn)行濾波操作,主要用于隱寫分析; 然后是四個(gè)卷積層,用于特征提取; 最后進(jìn)行判別分類,分類的結(jié)構(gòu)里也包含一個(gè)全連接。S 網(wǎng)絡(luò)結(jié)構(gòu)如圖 4( c) 所示。
3 實(shí)驗(yàn)結(jié)果與分析
3. 1 實(shí)驗(yàn)數(shù)據(jù)準(zhǔn)備
在本 文 實(shí) 驗(yàn) 中,使用公開可用的 CelebA ( CelebFaces Attribute) 人 臉 數(shù) 據(jù) 集 ( Ziwei Liu&Tang,2015 ) ,其 中 包 含 200 000張圖像; 輸入的隨機(jī)噪聲 z 為( - 1,1) 上的均勻分布。實(shí)驗(yàn)平臺(tái)為谷歌的人工智能學(xué)習(xí)系統(tǒng) Tensorflow v0. 12,計(jì)算顯卡為 NVIDIA1080。
為了進(jìn)行隱寫分析,首先對數(shù)據(jù)集進(jìn)行預(yù)處理,將所有圖像裁剪為 64 × 64 像素,將 90% 的數(shù)據(jù)作為訓(xùn)練集,并將其余的作為測試集,訓(xùn)練集由 A 表示,而測試集由 B 表示。使用 Stego( x) 來表示將一些秘密消息嵌入到載體信息 x 中的結(jié)果,那么嵌入秘密信息后得到訓(xùn)練集 A + Stego( A) 和測試集 B + Stego( B) ,即得到 380 000 張用于隱寫分析的訓(xùn)練樣本,并將剩余的 20 000 張作為測試樣本。
同時(shí),使用 ± 1 嵌入的隱寫算法,有效載荷大小為每像素 0. 4 位,本文隨機(jī)選擇文章作為嵌入的文本信息。
本文使用了所有 200 000 張裁剪樣本 用 于 訓(xùn) 練 StegoWGAN 模型。圖 5 為經(jīng)過 7 個(gè)訓(xùn)練周期后,Stego-WGAN 模型和 SSGAN 模型產(chǎn)生的圖像。
實(shí)驗(yàn)結(jié)果表明,本文提出的 Stego-WGAN 模型生成的圖像的視覺質(zhì)量相同,但人物多樣性更豐富,明顯優(yōu)于對比方案。
3. 2 實(shí)驗(yàn)設(shè)置
在本節(jié)中,將描述 Stego-WGAN 模型結(jié)構(gòu)。由 C2D-BNLR 表示卷積神經(jīng)網(wǎng)絡(luò)的以下結(jié) 構(gòu) 塊: Conv2d → Batch Normalization→Leaky ReLU。
判別模型 D 和判別模型 S 具有相似的結(jié)構(gòu): 4 個(gè) C2D-BNLR 層→1 個(gè)全連接層( 1 個(gè)神經(jīng)元) →Sigmoid 函數(shù)( 用來計(jì)算一個(gè)輸出) 。生成模型 G 結(jié)構(gòu)是: 1 個(gè)全連接層( 8 192 個(gè)神經(jīng)元) →4 個(gè) C2D-BN-LR 的反卷積層→tan( x) 函數(shù)層( 計(jì)算正則化輸出) 。
對 Stego-WGAN 模型進(jìn)行訓(xùn)練,采用基于 Adam 的優(yōu)化算法,學(xué)習(xí)率為 0. 0002,更新變量 β1 = 0. 5,β2 = 0. 999。在每次訓(xùn)練中,先更新一次判別器 D 的權(quán)重,再更新兩次生成器 G 的權(quán)重[12]。
3. 3 實(shí)驗(yàn)結(jié)果分析
在第一個(gè)實(shí)驗(yàn)中,本文比較生成圖像與真實(shí)圖像作為信息載體的安全性。首先將秘密信息嵌入到真實(shí)的圖像中,使用 steganalyser S* 分類器進(jìn)行分類; 然后將秘密信息嵌入到生成圖像中,也使用相同參數(shù)的 steganalyser S* 分類器進(jìn)行分類。
相關(guān)知識(shí)推薦:論文復(fù)審介紹
實(shí)驗(yàn)結(jié)果如表 1 所示,在抗隱寫分析方面,與真實(shí)圖像隱寫分析正確率 88. 37% 相比,含密圖像的表現(xiàn)明顯優(yōu)于真實(shí)圖像; 與 SGAN 和 SSGAN 相比,本文方案使得隱寫分析正確性分別降低了 13. 1% 和 6. 4% 。可以得出本文方案生成的圖像更加安全,更適合成為信息隱藏的安全載體。
在第二個(gè)實(shí)驗(yàn)中,為進(jìn)一步驗(yàn)證生成樣本的安全性,本文使用 Qian 網(wǎng)絡(luò)結(jié)構(gòu),設(shè)置不同的先驗(yàn)噪聲分布作為輸入,然后用 steganalyser S* 分類器對各自的生成圖像進(jìn)行實(shí)驗(yàn)。具體實(shí)驗(yàn)設(shè)置如下:
1) 使用相同的先驗(yàn)噪聲分布;
2) 使用一些隨機(jī)選擇的先驗(yàn)噪聲分布;
3) 使用與 2) 相同的先驗(yàn)噪聲分布,同時(shí)改變 WGAN 周期數(shù)。
實(shí)驗(yàn)結(jié)果表明: 實(shí)驗(yàn)條件 1) 下對生成的圖像訓(xùn)練結(jié)果準(zhǔn)確率為 82. 3% ; 條件 2) 下準(zhǔn)確率為 77. 5% ; 條件 3) 下準(zhǔn)確率為 74. 9% 。通過改變不同的噪聲輸入和訓(xùn)練周期,可以使檢測的準(zhǔn)確性分別降低 4. 8% 和 2. 6% 。輸入不同噪聲分布,改變訓(xùn)練周期,本文方案生成的圖像安全性進(jìn)一步提高,可以更有效抵抗隱寫分析。
經(jīng)過對比可得: Stego-WGAN 模型生成的圖像更合適作為載體信息,同時(shí)更加豐富,視覺質(zhì)量進(jìn)一步提高。實(shí)驗(yàn)結(jié)果表明,新的信息隱藏方案在抗隱寫分析和安全性指標(biāo)上明顯優(yōu)于對比方案。
4 結(jié)語
本文提出了基于生成對抗網(wǎng)絡(luò)的 Stego-WGAN 信息隱藏方案,為信息隱藏生成更合適、更安全的載體信息,基本上解決含密載體會(huì)留有修改痕跡的問題。使用 CelebA 數(shù)據(jù)集評(píng)估了 Stego-WGAN 方案的性能,實(shí)驗(yàn)結(jié)果表明 Stego-WGAN 方案在抗隱寫分析、安全性上有良好表現(xiàn),能夠生成更高視覺質(zhì)量的圖像,有效抵抗隱寫分析算法的檢測。同時(shí),本文首次改變了生成對抗網(wǎng)絡(luò)的原始基本架構(gòu),為生成對抗網(wǎng)絡(luò)在信息隱藏領(lǐng)域的應(yīng)用提供了新思路。而如何改進(jìn)生成模型 G 的結(jié)構(gòu),提高生成圖像的性能,是下一步的重點(diǎn)研究工作。——論文作者:王耀杰1,2* ,鈕 可1,2 ,楊曉元1,2
參考文獻(xiàn)( References)
[1] 景冰. 信息隱藏在云計(jì)算中的發(fā)展與應(yīng)用[J]. 教育現(xiàn)代化, 2018( 4) : 19 - 56. ( JING B. The development and application of information hiding in cloud computing [J]. Education Modernization, 2018( 4) : 19 - 56. )
[2] TIRKELL A Z, RANKIN G A, SCHYNDEL R V. Electronic watermark [EB/OL]. [2018-02-10 ]. https: / /pdfs. semanticscholar. org /01fe /d5b2495a240df67aad05793b659f62c90785. pdf.
[3] YANG C H, WENG C Y, WANG S J. Adaptive data hiding in edge areas of images with spatial LSB domain systems [J]. IEEE Transactions on Information Forensics & Security, 2008, 3( 3) : 488 - 497.
[4] HOLUB V, FRIDRICH J, DENEMARK T. Universal distortion function for steganography in an arbitrary domain [J]. EURASIP Journal on Information Security, 2014, 2014: 1 - 13.
[5] PEVNY T, FILLER T, BAS P. Using high-dimensional image models to perform highly undetectable steganography [C] / / IH 2010: Proceedings of the 2010 International Workshop on Information Hiding, LNCS 6387. Berlin: Springer, 2010: 161 - 177.
[6] HOLUB V, FRIDRICH J. Designing steganographic distortion using directional filters[EB /OL]. [2018-02-10]. http: / /www. ws. binghamton. edu /Fridrich /Research /WOW _ rewritten _ ver _ WIFS _02. pdf.
[7] RUANAIDH J J K O, DOWLING W J, BOLAND F M. Phase watermarking of digital images [C] / / Proceedings of the 1996 IEEE International Conference on Image Processing. Piscataway, NJ: IEEE,1996: 239 - 242.
[8] COX I J, KILIAN J, LEIGHTON F T. Secure spread spectrum watermarking for multimedia [J]. IEEE Transactions on Image Processing, 2010, 6( 12) : 1673 - 1687.
[9] LIN W H, HORNG S J, KAO T W. An efficient watermarking method based on significant difference of wavelet coefficient quantization [J]. IEEE Transactions on Multimedia, 2008, 10( 5) : 746 - 757.
