Skip to main content
QUICK REVIEW

[論文レビュー] ROMark: A Robust Watermarking System Using Adversarial Training

Bingyang Wen, Sergül Aydöre|arXiv (Cornell University)|Oct 2, 2019
Advanced Steganography and Watermarking Techniques参考文献 9被引用数 29
ひとこと要約

ROMark は、敵対的訓練を用いて画像処理攻撃に対する耐性を向上させる、強力なウェットマーキングシステムを提案する。ウェットマーキングをミニマックス最適化問題として定式化することで、訓練中に最悪の敵対的攻撃を生成し、JPEG 圧縮やガウスノイズなど多様な攻撃に対して、HiDDeN よりも高いビット精度と PSNR を達成する。

ABSTRACT

The availability and easy access to digital communication increase the risk of copyrighted material piracy. In order to detect illegal use or distribution of data, digital watermarking has been proposed as a suitable tool. It protects the copyright of digital content by embedding imperceptible information into the data in the presence of an adversary. The goal of the adversary is to remove the copyrighted content of the data. Therefore, an efficient watermarking framework must be robust to multiple image-processing operations known as attacks that can alter embedded copyright information. Another line of research extit{adversarial machine learning} also tackles with similar problems to guarantee robustness to imperceptible perturbations of the input. In this work, we propose to apply robust optimization from adversarial machine learning to improve the robustness of a CNN-based watermarking framework. Our experimental results on the COCO dataset show that the robustness of a watermarking framework can be improved by utilizing robust optimization in training.

研究の動機と目的

  • デジタルコンテンツの違法複製リスクの増大に応じ、ウェットマーキングの耐性を向上させること。
  • 多様な画像処理攻撃に対して失敗する既存のウェットマーキングシステムの限界を克服すること。
  • 敵対的機械学習技術を活用して、ウェットマーキングフレームワークの耐性を強化すること。
  • モデル訓練中に最悪の攻撃シナリオを最適化するミニマックス訓練定式化を構築すること。
  • 従来の手法(例:HiDDeN)と比較して、特定の攻撃タイプへの過学習を低減し、一般化性能を向上させること。

提案手法

  • ウェットマーキングをミニマックス最適化問題として定式化:敵対的攻撃全体における最悪の復号誤差を最小化する。
  • 訓練中に水色画像に対して、ノイズ層を用いて敵対的攻撃(例:クロップ、ぼかし、JPEG 圧縮)を生成する。
  • 本物の画像と水色画像を区別するための識別器ネットワーク $C_{\beta}$ を導入し、敵対的損失訓練を可能にする。
  • エンコーダ $E_{\theta}$ とデコーダ $D_{\phi}$ を、組み合わせ損失 $J_{\theta,\phi} = \sum L_D + \lambda_I L_{EI} + \lambda_A L_{EA}$ を用いて同時に訓練する。
  • 各入力に対して最悪の攻撃画像 $x^{att*}_i$ を特定するため、投影勾配降下法を用いて反復的な攻撃生成を実行する。
  • 訓練中に敵対的例を入力として用い、確率的勾配降下法によりエンコーダおよびデコーダのパラメータを最適化する。

実験結果

リサーチクエスチョン

  • RQ1強力な最適化からの敵対的訓練が、多様な画像処理攻撃に対するウェットマーキングの耐性を向上させられるか?
  • RQ2ミニマックス訓練は、特定の攻撃タイプへの過学習を標準訓練と比較してどの程度低減できるか?
  • RQ3組み合わせ攻撃下で、提案された ROMark フレームワークは、既存のウェットマーキングシステム(例:HiDDeN)をどの程度上回るか?
  • RQ4訓練時に最悪の敵対的例を用いることで、未観測の攻撃タイプに対しても一般化性能が向上するか?
  • RQ5敵対的損失と知覚的類似度損失の統合は、ウェットマーキングの品質と精度にどのような影響を及えるか?

主な発見

  • ROMark Combined は COCO データセットで 30 中 27.80 のビット精度を達成し、HiDDeN Combined(24.56)を顕著に上回った。
  • JPEG 圧縮(強度 100)下でも、ROMark は 27.70 のビット精度を達成したのに対し、HiDDeN は 23.57 にとどまり、より優れた耐性を示した。
  • ROMark Specialized は、クロップアウト(23.98 対 24.20)やドロップアウト(26.58 対 24.20)を含む、すべての攻撃タイプで HiDDeN Specialized よりも高いビット精度を示した。
  • クロップ攻撃下でも ROMark は高い PSNR(26.78)を維持したが、HiDDeN は 24.32 にとどまり、より優れた知覚的品質を示した。
  • ROMark は特定の攻撃に過学習していないことが、多様な攻撃タイプにわたる一貫性ある性能から裏付けられ、HiDDeN は訓練攻撃に過学習していたのと対照的であった。
  • ミニマックス定式化により、最悪の敵対的例を用いた訓練が、より汎用性の高いウェットマーキング性能を実現する上で効果的であった。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。