基于生成對抗網絡的信息隱藏方案
發布時間:2022-04-09所屬分類:計算機職稱論文瀏覽:1次
摘 要: 摘 要: 針對信息隱藏中含密載體會留有修改痕跡���,從根本上難以抵抗基于統計的隱寫分析算法檢測的問題,提出一種基于生成對抗網絡( GAN) 的信息隱藏方案���。該方案首先利用生成對抗網絡中的生成模型 G 以噪聲為驅動生成原始載體信息; 其次,使用 1 嵌入算法�����,將秘密消息嵌
摘 要: 針對信息隱藏中含密載體會留有修改痕跡���,從根本上難以抵抗基于統計的隱寫分析算法檢測的問題��,提出一種基于生成對抗網絡( GAN) 的信息隱藏方案�����。該方案首先利用生成對抗網絡中的生成模型 G 以噪聲為驅動生成原始載體信息; 其次��,使用 ± 1 嵌入算法�����,將秘密消息嵌入到生成的載體信息中生成含密信息; 最終���,將含密信息與真實圖像樣本作為生成對抗網絡中判別模型 D 的輸入���,進行迭代優化,同時使用判別模型 S 來檢測圖像是否存在隱寫操作���,反饋生成圖像質量的特性���,G&D&S 三者在迭代過程中相互競爭,性能不斷提高��。該方案所采用的策略與 SGAN( Steganographic GAN) 和 SSGAN( Secure Steganography based on GAN) 兩種方案不同���,主要區別是將含密信息與真實圖像樣本作為判別模型的輸入��,對于判別網絡 D 進行重構��,使網絡更好地評估生成圖像的性能���。與 SGAN 和 SSGAN 相比��,該方案使得攻擊者在隱寫分析正確性上分別降低了 13. 1% 和 6. 4% ���。實驗結果表明,新的信息隱藏方案通過生成更合適的載體信息來保證信息隱藏的安全性���,能夠有效抵抗隱寫算法的檢測�����,在抗隱寫分析和安全性指標上明顯優于對比方案��。
關鍵詞: 信息隱藏; 隱寫分析; 生成對抗網絡
0 引言
信息隱藏是將秘密信息以不可見的方式隱藏在一個宿主信號中,并在需要時將秘密信息提取出來���,以達到隱蔽通信和版權保護等目的[1]���。它主要用于特定雙方的秘密通信��,特別是在快速增長的社交網絡中��,有豐富的圖像和視頻作為載體��,這為信息隱藏提供了更多的機會和挑戰���。圖 1 是信息隱藏的典型模型。
當前常用的圖像信息隱藏方法主要包括空域和變換域的信息隱 藏 方 法�����?沼螂[藏方法如圖像最低有效位 ( LeastSignificant Bit���,LSB) 隱藏方法[2]、自適應 LSB 隱藏方法[3]��、空域通 用 小 波 相 對 失 真 ( Spatial-UNIversal WAvelet Relative Distortion��,S-UNIWARD) 方法[4]��、HUGO( Highly Undetectable steganography) [5]��、WOW( Wavelet Obtained Weights) [6] 等; 變換域 方 法 如 離 散 傅 里 葉 變 換 ( Discrete Fourier Transform, DFT) 隱藏方法[7]���、離散余弦變換( Discrete Cosine Transform���, DCT) 隱藏方法[8]、離散小波變換( Discrete Wavelet Transform���, DWT) 隱藏方法[9]等�����。
傳統信息隱藏方法都是通過修改載體來嵌入秘密信息�����,含密載體總會留有修改痕跡�����,導致含密載體難以從根本上抵抗基于統計的信息隱藏分析算法的檢測�����。當人們設計隱寫算法時��,通常會考慮到隱寫分析��。例如��,秘密信息應該嵌入到圖像的噪聲和紋理區域中���,這樣更加安全。但現有的隱寫模式通常要求載體信息的先驗概率分布���,在實際中很難獲得�����,也就是說抵抗隱寫分析的設計未能在應用中很好地實現��。因此���,如何設計安全的隱寫方案使含密載體從根本上抵抗基于統計的隱寫分析算法的檢測是研究人員面臨的難題,也是研究的熱點之一���。
生成對抗網絡( Generative Adversarial Network�����,GAN) [10]的特點是提取總結真實樣本的特征���,由噪聲驅動來生成豐富多樣的圖像樣本��,這為信息隱藏的研究提供了新方向��。在 SGAN ( Steganographic GAN ) [11] 和 SSGAN ( Secure Steganography based on GAN) [12]的啟發下���,本文提出了一種基于生成對抗網絡的安全隱寫方案,通過生成更合適的載體信息來保證信息隱藏的安全性�����。該方案首先用 GAN 中的生成模型( generative model) 以噪聲為驅動生成原始載體信息�����,其次將使用 ± 1 嵌入算法��,將消息嵌入到生成的載體信息中���,然后將含密信息與真實樣本作為生成對抗網絡判別模型 D ( discriminator D) 的輸入�����,對于判別性網絡進行重構��,同時使用判別模型 S( discriminator S) 來檢測圖像是否存在隱寫操作���。
本文的主要工作歸納如下:
1) 提高含密信息的安全性。在 本 文 中���,將 含 密 信 息 ( steg( G( z) ) ) 與真實圖像( χdata ) 作為生成對抗網絡判別模型( discriminative model) 的輸入���,對于判別性網絡進行重構,從而使含密信息的安全性顯著提高���。與 SGAN 和 SSGAN 相比���,本文方案使得攻擊者在隱寫分析正確性上分別降低了13. 1% 和 6. 4% 。 2) 生成的載體圖像更豐富���。本文改進原始 GAN 的框架��,同時要通過調節式( 5) 參數 α 的值��,使生成對抗網絡和隱寫分析檢測達到均衡��,從而更好評估生成圖像的特性���,使生成的圖像更豐富���。與對比方案相比,生成的載體圖像更適合嵌入��。
1 預備知識
1. 1 生成對抗網絡
GAN 是 Goodfellow 等[10] 在 2014 年提出的一種生成模型�����,其思想來源于博弈論中的二人零和博弈��,GAN 的結構如圖 2 所示��。主要由一個生成器和一個判別器組成��,任意可微分的函數都可用來表示 GAN 的生成器 G 和判別器 D[13]��。
GAN 從 2014 年提出后主要應用在無監督學習上��,它能從輸入數據動態地采樣并生成新的樣本�����。GAN 通過同時訓練以下兩個神經網絡進行學習( 設輸入分別為真實數據 x 和隨機變量 z) :
1) 生成模型 G: 以噪聲 z 的先驗分布 pnoise ( z) 作為輸入,生成一個近似于真實數據分布 pdata ( x) 的樣本分布 pG ( z) ���。
2) 判別模型D: 判別目標是真實數據還是生成樣本�����。如果判別器的輸入來自真 實 數 據,標 注 為 1; 如果輸入樣本為 G( z) �����,標注為 0�����。
GAN 的優化過程是一個極小極大博弈( Minimax game) 問題: 判別器 D 盡可能正確地判別輸入的數據是來自真實樣本( 來源于真實數據 x 的分布) 還是來自偽樣本( 來源于生成器的偽數據 G( z) ) ; 而生成器 G 則盡量去學習真實數據集樣本的數據分布��,并盡可能使自己生成的偽數據 G( z) 在 D 上的表現D( G( z) ) 和真實數據x在D上的表現D( x) 一致���,這兩個過程相互對抗并迭代優化���,使得 D 和 G 的性能不斷提升,最終當 G 與 D 二者之間達到一個納什平衡,D 無法正確判別數據來源時���,可以認為這個生成器 G 已經學到了真實數據的分布[13]��。
GAN 模型存在著無約束��、不可控�����、噪聲信號 z 很難解釋等問題�����。近年來��,在此基礎上衍生出很多 GAN 的衍生模型��。文獻[14]中 將 GAN 的思想擴展到深度卷積生成對抗網絡 ( Deep Convolutional GAN���,DCGAN) 中,將其專門用于圖像生成��,還論述了對抗訓練在圖像識別和生成方面的優點��,提出了構建和訓練 DCGAN 的方法。Conditional GAN[15]能生成指定類別的目標���。InfoGAN( interpretable representation learning by Information maximizing GAN) [16]被 OPENAI 稱為 2016 年的五大突破之一��,它實現了對噪聲 z 的有效利用���,并將 z 的具體維度與數據的語義特征對應起來,由此得到一個可解釋的表征�����。
1. 2 Wasserstein GAN
WGAN( Wasserstein GAN) [17] 是 GAN 的衍生模型��,主要從損失函數的角度對 GAN 作了改進�����。原始 GAN 采用交叉熵 ( JS 散度) 衡量生成分布和真實分布之間的距離���,導致 GAN 在訓練過程出現模型崩塌( mode-collapse) 的問題。WGAN 在理論上給出了 GAN 訓練不穩定的原因���,即交叉熵( JS 散度) 不適合衡量不相交分布之間的距離��,接著使用 Wassertein 距離去衡量生成數據分布和真實數據分布之間的距離�����,主要理論貢獻為:
1) 定義了可以明確計算的損失函數�����,徹底解決 GAN 訓練不穩定的問題��,不再需要小心平衡生成器和判別器的訓練���,基本解決了模型崩塌( mode-collapse) 問題���,確保了生成樣本的多樣性。
2) 使用 Wasserstein 方法對 G&D 的距離給出了明確的數學定義��。Wasserstein 距離也稱為轉移度量或者 E 距離���,它表示從一個分布轉移成另一個分布所需的最小代價��。
WGAN 對原始 GAN 的具體改進為: 1) 判別器最后一層去掉 sigmoid; 2) 生成器和判別器的 loss 不取 log; 3) 每次更新判別器 D 之后��,把 D 中參數的絕對值截斷到一個固定常數; 4) 采用 RMSProp( Root Mean Square prop) [19]��、SGD( Stochastic Gradient Descent) 替換基于動量的優化算法 momentum 和 Adam( Adaptive moment estimation) �����。
WGAN 既解決了訓練不穩定的問題�����,也提供了一個可靠的訓練進程指標��,而且該指標確實與生成樣本的質量高度相關�����。但是采用 WGAN 模型生成的圖片離現實圖片還有差距�����,后續還需要進一步研究���。
2 本文方案模型
在 SGAN 和 SSGAN 工作的啟發下,本文引入一個新的基于 WGAN 信 息 隱 藏 ( Steganography based on GAN��,StegoWGAN) 方案��,包含一個生成網絡和兩個判別網絡。具體功能為:
生成器網絡 G: 以噪聲為驅動��,通過機器學習生成近似真實數據樣本的圖像作為載體信息��。
判別器網絡 D: 與 SGAN 和 SSGAN 方案不同�����,該方案為將含密信息( steg( G( z) ) ) 與真實樣本作為判別模型 D 的輸入�����,對輸入的樣本鑒別真偽��。
判別器網絡 S: 與 SSGAN 方案相同�����,本文也使用復雜的 GNCNN( Gaussian-Neuron Convolutional Neural Network) [20] 來評估生成的圖像的合適性���,同時確定被檢圖像是否存在隱寫操作���。本文 Stego-WGAN 模型如圖 3 所示。
2. 1 網絡結構
對于生成網絡 G�����,它用于生成安全的載體信息。本文使用一個全連接層和四個卷積層��,然后是雙曲正切函數作為激勵層��。G 網絡結構如圖 4( a) 所示��。
對于判別網絡 D��,它用于評估含密圖像的質量特性�����。本文使 用 四 個 卷 積 層 和 一 個 全 連 接 層��。D 網 絡 結 構 如圖 4( b) 所示��。
對于判別網絡 S�����,它用于評估生成圖像的適用性���。本文首先使用預定義的高通濾波器進行濾波操作���,主要用于隱寫分析; 然后是四個卷積層,用于特征提取; 最后進行判別分類�����,分類的結構里也包含一個全連接�����。S 網絡結構如圖 4( c) 所示�����。
3 實驗結果與分析
3. 1 實驗數據準備
在本 文 實 驗 中��,使用公開可用的 CelebA ( CelebFaces Attribute) 人 臉 數 據 集 ( Ziwei Liu&Tang���,2015 ) ���,其 中 包 含 200 000張圖像; 輸入的隨機噪聲 z 為( - 1,1) 上的均勻分布��。實驗平臺為谷歌的人工智能學習系統 Tensorflow v0. 12��,計算顯卡為 NVIDIA1080。
為了進行隱寫分析�����,首先對數據集進行預處理�����,將所有圖像裁剪為 64 × 64 像素�����,將 90% 的數據作為訓練集���,并將其余的作為測試集��,訓練集由 A 表示��,而測試集由 B 表示��。使用 Stego( x) 來表示將一些秘密消息嵌入到載體信息 x 中的結果���,那么嵌入秘密信息后得到訓練集 A + Stego( A) 和測試集 B + Stego( B) ,即得到 380 000 張用于隱寫分析的訓練樣本,并將剩余的 20 000 張作為測試樣本���。
同時,使用 ± 1 嵌入的隱寫算法�����,有效載荷大小為每像素 0. 4 位���,本文隨機選擇文章作為嵌入的文本信息��。
本文使用了所有 200 000 張裁剪樣本 用 于 訓 練 StegoWGAN 模型��。圖 5 為經過 7 個訓練周期后���,Stego-WGAN 模型和 SSGAN 模型產生的圖像。
實驗結果表明��,本文提出的 Stego-WGAN 模型生成的圖像的視覺質量相同�����,但人物多樣性更豐富�����,明顯優于對比方案。
3. 2 實驗設置
在本節中��,將描述 Stego-WGAN 模型結構���。由 C2D-BNLR 表示卷積神經網絡的以下結 構 塊: Conv2d → Batch Normalization→Leaky ReLU���。
判別模型 D 和判別模型 S 具有相似的結構: 4 個 C2D-BNLR 層→1 個全連接層( 1 個神經元) →Sigmoid 函數( 用來計算一個輸出) 。生成模型 G 結構是: 1 個全連接層( 8 192 個神經元) →4 個 C2D-BN-LR 的反卷積層→tan( x) 函數層( 計算正則化輸出) �����。
對 Stego-WGAN 模型進行訓練�����,采用基于 Adam 的優化算法�����,學習率為 0. 0002�����,更新變量 β1 = 0. 5,β2 = 0. 999�����。在每次訓練中��,先更新一次判別器 D 的權重���,再更新兩次生成器 G 的權重[12]。
3. 3 實驗結果分析
在第一個實驗中�����,本文比較生成圖像與真實圖像作為信息載體的安全性���。首先將秘密信息嵌入到真實的圖像中��,使用 steganalyser S* 分類器進行分類; 然后將秘密信息嵌入到生成圖像中���,也使用相同參數的 steganalyser S* 分類器進行分類。
相關知識推薦:論文復審介紹
實驗結果如表 1 所示�����,在抗隱寫分析方面,與真實圖像隱寫分析正確率 88. 37% 相比���,含密圖像的表現明顯優于真實圖像; 與 SGAN 和 SSGAN 相比���,本文方案使得隱寫分析正確性分別降低了 13. 1% 和 6. 4% ���?梢缘贸霰疚姆桨干傻膱D像更加安全���,更適合成為信息隱藏的安全載體。
在第二個實驗中���,為進一步驗證生成樣本的安全性���,本文使用 Qian 網絡結構,設置不同的先驗噪聲分布作為輸入���,然后用 steganalyser S* 分類器對各自的生成圖像進行實驗��。具體實驗設置如下:
1) 使用相同的先驗噪聲分布;
2) 使用一些隨機選擇的先驗噪聲分布;
3) 使用與 2) 相同的先驗噪聲分布���,同時改變 WGAN 周期數�����。
實驗結果表明: 實驗條件 1) 下對生成的圖像訓練結果準確率為 82. 3% ; 條件 2) 下準確率為 77. 5% ; 條件 3) 下準確率為 74. 9% ���。通過改變不同的噪聲輸入和訓練周期,可以使檢測的準確性分別降低 4. 8% 和 2. 6% ���。輸入不同噪聲分布,改變訓練周期���,本文方案生成的圖像安全性進一步提高�����,可以更有效抵抗隱寫分析�����。
經過對比可得: Stego-WGAN 模型生成的圖像更合適作為載體信息���,同時更加豐富,視覺質量進一步提高�����。實驗結果表明,新的信息隱藏方案在抗隱寫分析和安全性指標上明顯優于對比方案���。
4 結語
本文提出了基于生成對抗網絡的 Stego-WGAN 信息隱藏方案�����,為信息隱藏生成更合適�����、更安全的載體信息���,基本上解決含密載體會留有修改痕跡的問題。使用 CelebA 數據集評估了 Stego-WGAN 方案的性能���,實驗結果表明 Stego-WGAN 方案在抗隱寫分析�����、安全性上有良好表現���,能夠生成更高視覺質量的圖像�����,有效抵抗隱寫分析算法的檢測���。同時,本文首次改變了生成對抗網絡的原始基本架構�����,為生成對抗網絡在信息隱藏領域的應用提供了新思路���。而如何改進生成模型 G 的結構,提高生成圖像的性能���,是下一步的重點研究工作���。——論文作者:王耀杰1,2* ���,鈕 可1���,2 ���,楊曉元1,2
參考文獻( References)
[1] 景冰. 信息隱藏在云計算中的發展與應用[J]. 教育現代化��, 2018( 4) : 19 - 56. ( JING B. The development and application of information hiding in cloud computing [J]. Education Modernization��, 2018( 4) : 19 - 56. )
[2] TIRKELL A Z���, RANKIN G A��, SCHYNDEL R V. Electronic watermark [EB/OL]. [2018-02-10 ]. https: / /pdfs. semanticscholar. org /01fe /d5b2495a240df67aad05793b659f62c90785. pdf.
[3] YANG C H�����, WENG C Y��, WANG S J. Adaptive data hiding in edge areas of images with spatial LSB domain systems [J]. IEEE Transactions on Information Forensics & Security���, 2008, 3( 3) : 488 - 497.
[4] HOLUB V���, FRIDRICH J��, DENEMARK T. Universal distortion function for steganography in an arbitrary domain [J]. EURASIP Journal on Information Security�����, 2014���, 2014: 1 - 13.
[5] PEVNY T�����, FILLER T�����, BAS P. Using high-dimensional image models to perform highly undetectable steganography [C] / / IH 2010: Proceedings of the 2010 International Workshop on Information Hiding���, LNCS 6387. Berlin: Springer, 2010: 161 - 177.
[6] HOLUB V�����, FRIDRICH J. Designing steganographic distortion using directional filters[EB /OL]. [2018-02-10]. http: / /www. ws. binghamton. edu /Fridrich /Research /WOW _ rewritten _ ver _ WIFS _02. pdf.
[7] RUANAIDH J J K O��, DOWLING W J���, BOLAND F M. Phase watermarking of digital images [C] / / Proceedings of the 1996 IEEE International Conference on Image Processing. Piscataway�����, NJ: IEEE���,1996: 239 - 242.
[8] COX I J, KILIAN J��, LEIGHTON F T. Secure spread spectrum watermarking for multimedia [J]. IEEE Transactions on Image Processing���, 2010��, 6( 12) : 1673 - 1687.
[9] LIN W H�����, HORNG S J��, KAO T W. An efficient watermarking method based on significant difference of wavelet coefficient quantization [J]. IEEE Transactions on Multimedia�����, 2008��, 10( 5) : 746 - 757.
