Skip to main content
QUICK REVIEW

[论文解读] ROMark: A Robust Watermarking System Using Adversarial Training

Bingyang Wen, Sergül Aydöre|arXiv (Cornell University)|Oct 2, 2019
Advanced Steganography and Watermarking Techniques参考文献 9被引用 29
一句话总结

ROMark 提出了一种基于对抗训练的鲁棒水印系统,通过将水印嵌入建模为最小-最大优化问题,提升了对图像处理攻击的抗性。在训练过程中生成最坏情况的对抗性攻击,ROMark 在多种攻击(包括 JPEG 压缩和高斯模糊)下,比特准确率和 PSNR 均优于 HiDDeN。

ABSTRACT

The availability and easy access to digital communication increase the risk of copyrighted material piracy. In order to detect illegal use or distribution of data, digital watermarking has been proposed as a suitable tool. It protects the copyright of digital content by embedding imperceptible information into the data in the presence of an adversary. The goal of the adversary is to remove the copyrighted content of the data. Therefore, an efficient watermarking framework must be robust to multiple image-processing operations known as attacks that can alter embedded copyright information. Another line of research extit{adversarial machine learning} also tackles with similar problems to guarantee robustness to imperceptible perturbations of the input. In this work, we propose to apply robust optimization from adversarial machine learning to improve the robustness of a CNN-based watermarking framework. Our experimental results on the COCO dataset show that the robustness of a watermarking framework can be improved by utilizing robust optimization in training.

研究动机与目标

  • 通过提升水印鲁棒性应对数字内容盗版日益增长的风险。
  • 克服现有水印系统在面对多样化图像处理攻击时失效的局限性。
  • 利用对抗机器学习技术增强水印框架的鲁棒性。
  • 提出一种最小-最大训练公式,使模型在训练过程中针对最坏情况攻击场景进行优化。
  • 相比先前方法如 HiDDeN,提升泛化能力并减少对特定攻击类型的过拟合。

提出的方法

  • 将水印嵌入建模为最小-最大优化问题:最小化在对抗性攻击下的最坏情况解码误差。
  • 在训练过程中使用噪声层生成对抗性攻击(如裁剪、模糊、JPEG 压缩)作用于水印图像。
  • 引入判别器网络 $C_{\beta}$ 以区分真实图像与水印图像,支持对抗损失训练。
  • 联合训练编码器 $E_{\theta}$ 和解码器 $D_{\phi}$,采用联合损失函数:$J_{\theta,\phi} = \sum L_D + \lambda_I L_{EI} + \lambda_A L_{EA}$。
  • 通过投影梯度下降迭代生成对抗性攻击,以找到每个输入的最坏情况攻击图像 $x^{att*}_i$。
  • 在训练过程中使用对抗样本作为输入,通过随机梯度下降优化编码器和解码器参数。

实验结果

研究问题

  • RQ1从鲁棒优化角度出发的对抗训练是否能提升水印系统对多样化图像处理攻击的鲁棒性?
  • RQ2与标准训练相比,最小-最大训练在减少对特定攻击类型过拟合方面表现如何?
  • RQ3在组合攻击下,所提出的 ROMark 框架相较于现有水印系统(如 HiDDeN)的优越程度如何?
  • RQ4在训练过程中使用最坏情况对抗样本是否能提升对未见攻击类型的泛化能力?
  • RQ5对抗损失与感知相似性损失的结合对水印质量与准确率有何影响?

主要发现

  • ROMark Combined 在 COCO 数据集上实现了 30 中 27.80 的比特准确率,显著优于 HiDDeN Combined(24.56)。
  • 在 JPEG 压缩(严重程度 100)下,ROMark 实现了 27.70 的比特准确率,而 HiDDeN 仅为 23.57,表明其具有更强的鲁棒性。
  • 在所有攻击类型下,ROMark Specialized 的比特准确率均高于 HiDDeN Specialized,包括裁剪(23.98 vs. 24.20)和丢包(26.58 vs. 24.20)。
  • 在裁剪攻击下,ROMark 保持了较高的 PSNR(26.78),表明其感知质量优于 HiDDeN(24.32)。
  • ROMark 未对特定攻击过拟合,其在各类攻击下表现一致,而 HiDDeN 在训练攻击上表现出过拟合。
  • 最小-最大公式通过在最坏情况对抗样本上进行训练,有效提升了鲁棒性,从而实现了更具泛化能力的水印性能。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。