[发明专利]一种基于深度学习用于源相机识别的合理对抗分析方法

说明书

一种基于深度学习用于源相机识别的合理对抗分析方法,属于计算机图像处理技术领域。技术方案：采用耦合性编码的方式训练网络；使用神经网络引入了类似于复制粘贴方法的攻击模式；使用基于特征的联合自动学习攻击；基于噪声再训练方法的关系不匹配防御策略。有益效果：本发明所述的基于深度学习用于源相机识别的合理对抗分析方法采用复制粘贴攻击和联合特征自学习攻击的方法生成具有良好泛化性能的攻击；同时，本发明采用多任务学习的方法生成来源鉴别模型；并采用噪声再训练的方式扩展不同相机类型之间的关系误失配；这种关系误失配的方法可以精确的识别对抗样本。

技术领域

本发明属于计算机图像处理技术领域，尤其涉及一种基于深度学习用于源相机识别的合理对抗分析方法。

背景技术

科学技术的飞速发展已在许多方面改变了人们的日常生活。例如，广泛使用的图像编辑应用使得人们难以分辨图像的真实性。攻击者可能会恶意篡改图片，并可能导致一系列问题。相机来源识别是最受欢迎的领域之一，在法律证据和其他类似领域中起着不可或缺的作用。这项任务最有效的方法是基于机器学习和各种特征提取的方法。研究人员从标记的图像中提取特殊特征，然后通过支持向量机(SVM)将它们用于训练分类器。

近年来，深度神经网络(DNN)在分类和识别上表现出了卓越的性能。因此将DNN应用于取证任务也是必须的。Bondi等人选择数据驱动的方法和通用的分类网络来识别相机型号。为了增加有限内存的DNN的深度，研究人员将高分辨率源图像分成较小的块作为输入。因此，有足够的数据来训练更深的网络，而无需担心过度拟合。此外，Ding等人提出了一种多任务训练方法来同时区分相机品牌，型号和个体。然而，无论如何提高正常分类的准确性，网络仍然容易受到对抗攻击。

DNN很容易受到对抗攻击。例如，针对语义分割和目标检测精心制作的对抗+样本，针对图像文本生成的有目标攻击方法，以及旨在欺骗音频系统的黑匣子攻击。与上面提到的方法类似，guera等人提出向相机来源鉴别引入对抗攻击，例如采用FGSM和JSMA攻击方法。这里我们给出几种常见的攻击方法：

基本迭代方法(BIM)：FGSM一步生成对抗样本，不能保证攻击率。BIM反复执行多个小步骤，并在每个步骤之后裁剪像素值以生成对抗样本。

x′_n表示第n次攻击后生成的样本。ξ，ε，l表示最大扰动，单步扰动和预定义的攻击标签。

为了加快对抗攻击期间损失值的下降速度，dong等人将动量引入向后的梯度，该梯度将先前的梯度方向应用于随后的优化过程。

其中μ用于平衡动量和g_n当前梯度值，sign表示符号函数，用于裁剪梯度更新方向。

对抗性攻击不是取证领域的新颖概念。一般而言，对抗攻击和反取证都寻求可以解决优化问题的方法。即，寻找特殊的图像，该图像经过取证网络后的输出结果是错误的标签或某种意义上最接近目标标签。指纹复制移动攻击保持了针对未知样本的攻击效果，这在源相机识别领域是一种合理的攻击方法。生成对抗样本可以用来欺骗训练后的模型，并且可以测量模型的健壮性。此类研究例如采用现有的攻击方法攻击基于CNN的相机来源鉴别网络，从而研究网络的脆弱性是不可取的。因为此类方法没有考虑相机分类的真实依据，即残留的相机痕迹。为了提高图像取证的安全性，Zhao等人添加损失梯度的L2范数来约束网络保持相对平滑，从而保证当输入稍微改变时输出不会改变太多。