抗对抗攻击的相机源识别方法研究
发布时间:2021-10-07 21:32
相机源识别是数字图像取证中研究课题之一。通过校验图像的相机来源的真实性,以辅助各种刑事调查和审判及解决版权侵犯等中的取证环节。得益于深度神经网络的发展,其识别准确率有了显著提升。然而,研究表明深度神经网络易遭受对抗攻击,即攻击者只需要在原始图像中添加微小噪声,就能使深度神经网络产生误分类。从而也给基于深度神经网络的相机源识别方法带来极大的安全隐患。现有的通用对抗攻击防御方法难以适应这一应用场景,即未考虑相机源识别依赖于图像噪声,容易在防御中降低识别准确率,另外,以对抗训练为代表的对抗鲁棒性优化方法训练代价高,却不容易迁移到其他相机源识别模型中。因此,提出一种抗对抗攻击的相机源识别方法兼顾模型的识别准确率和对抗鲁棒性,显得尤为重要。本文通过提炼了一个基于深度神经网络的相机源识别模型,并基于该模型获得对应的对抗攻击威胁模型。进而,提出基于信息单调性的防御理论,并使用流形局部光滑映射构建了防御目标,以及利用一个基于两阶段训练的前置防御网络实现防御架构。本文的主要工作包括:1.利用特征提取映射在流形中建模,并通过流形局部邻域上分析特征提取映射对不同噪声的影响,从而发现模型的对抗攻击风险主要来源...
【文章来源】:华南理工大学广东省 211工程院校 985工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
相机源识别图例[1]
的数字指纹,或者是通过噪声过滤器的方法来获取模式噪声匹配数字指纹,图1-2显示了CanonIxus相机中的数字指纹图例。Filler等人[6]提出了使用最小方差无偏估计来获得与数字指纹相关的特征用于识别。Amerini等人[11]提出了使用MMSE滤波器以小波过滤出数字指纹。Bayram等人[12]通过数码相机中去马赛克操作的痕迹来识别相机源。这些方法普遍存在的问题是,都依赖于手工定义特征提取过程来获取特征,这点导致了当相机型号种类较少时,可能识别表现良好。当面临着庞大的相机型号集合时,此类方法的识别效果就会大打折扣。图1-2CanonIxus相机中的数字指纹图例[9]由于深度神经网络具有强大的特征提取能力,因而它被广泛用到各种各样的分类任务中。在近几年,越来越多的研究者将深度神经网络应用于相机源识别问题[13][14][15]。据我们所知,Bondi等人[14]是最早将深度神经网络应用于相机源识别方法中进行特征采集,并取得了当时最好的效果。然而证据表明,由于深度神经网络的局部非稳定性,基于深度神经网络的模型非常容易遭受到对抗攻击[15][16]。即攻击者只需要在特定的方向上添加肉眼难以觉察到的微小扰动就可以造成深度神经网络的错误分类。如图1-3表示,攻击者在熊猫图像上添加一定的噪声,带噪声的图像就会以很高的置信度被分类为长臂猿。Goodfellow等人[16]通过深入分析发现了,对抗攻击是由于深度神经网络的线性性引起的,即网络中每个分量上微小的扰动可以在线性网络的传递的过程中被不断地累计放大,最终在特
第一章绪论3征上形成巨大的偏差,从而影响最终分类的结果。更为严重的是,攻击者可以通过制造特定方向的攻击,从而获得他们想要得到的分类结果,这一类型的攻击被称为有目标对抗攻击。图1-3对抗攻击示意图[15]显然,基于深度神经网络的相机源识别方法也未能幸免于此。深度神经网络为相机源识别问题带来高准确率识别结果的同时,也引入了易遭受对抗攻击的问题。而对抗攻击的存在,给基于深度神经网络的相机源识别系统带来更大的安全隐患。例如,攻击者在篡改了数字图像的内容信息后,通过向图像添加对抗噪声,伪造出相机源数字指纹没有被篡改的假象,从而提高了伪造图像的真实性,形成伪造的证据。进而,他们可以利用这些伪证来逃避一些司法审判,版权受侵犯者也可能因伪造图像而合法权益无法得到保护。尽管一些研究者也意识到了相机源识别模型上存在的这一问题[17][18],并进一步验证了对抗攻击对相机源识别结果带来的巨大影响,但是很少有研究提出针对性的方案来防御这一应用场景下的对抗攻击。不同于一般图像分类任务,相机源识别具有噪声特异性,即识别结果依赖于图像的某种噪声,这种噪声在相机生成图像时产生[19],常被称为数字指纹。而其识别结果几乎是与图像的场景不相关。因而,现有的通用防御方法并不一定适用于相机源识别问题下的对抗攻击,这些方法往往可能在消除对抗噪声的同时影响到相机形成的数字指纹,从而不能很好地兼顾相机源识别的对抗鲁棒性和准确率。其中,对抗鲁棒性表示为深度神经网络抵抗对抗攻击的能力。综上所述,研究具有针对性的抗对抗攻击的相机源识别方法,使其能够兼顾对抗鲁棒性和识别的准确性具有重要的理论价值和实用意义。
本文编号:3422810
【文章来源】:华南理工大学广东省 211工程院校 985工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
相机源识别图例[1]
的数字指纹,或者是通过噪声过滤器的方法来获取模式噪声匹配数字指纹,图1-2显示了CanonIxus相机中的数字指纹图例。Filler等人[6]提出了使用最小方差无偏估计来获得与数字指纹相关的特征用于识别。Amerini等人[11]提出了使用MMSE滤波器以小波过滤出数字指纹。Bayram等人[12]通过数码相机中去马赛克操作的痕迹来识别相机源。这些方法普遍存在的问题是,都依赖于手工定义特征提取过程来获取特征,这点导致了当相机型号种类较少时,可能识别表现良好。当面临着庞大的相机型号集合时,此类方法的识别效果就会大打折扣。图1-2CanonIxus相机中的数字指纹图例[9]由于深度神经网络具有强大的特征提取能力,因而它被广泛用到各种各样的分类任务中。在近几年,越来越多的研究者将深度神经网络应用于相机源识别问题[13][14][15]。据我们所知,Bondi等人[14]是最早将深度神经网络应用于相机源识别方法中进行特征采集,并取得了当时最好的效果。然而证据表明,由于深度神经网络的局部非稳定性,基于深度神经网络的模型非常容易遭受到对抗攻击[15][16]。即攻击者只需要在特定的方向上添加肉眼难以觉察到的微小扰动就可以造成深度神经网络的错误分类。如图1-3表示,攻击者在熊猫图像上添加一定的噪声,带噪声的图像就会以很高的置信度被分类为长臂猿。Goodfellow等人[16]通过深入分析发现了,对抗攻击是由于深度神经网络的线性性引起的,即网络中每个分量上微小的扰动可以在线性网络的传递的过程中被不断地累计放大,最终在特
第一章绪论3征上形成巨大的偏差,从而影响最终分类的结果。更为严重的是,攻击者可以通过制造特定方向的攻击,从而获得他们想要得到的分类结果,这一类型的攻击被称为有目标对抗攻击。图1-3对抗攻击示意图[15]显然,基于深度神经网络的相机源识别方法也未能幸免于此。深度神经网络为相机源识别问题带来高准确率识别结果的同时,也引入了易遭受对抗攻击的问题。而对抗攻击的存在,给基于深度神经网络的相机源识别系统带来更大的安全隐患。例如,攻击者在篡改了数字图像的内容信息后,通过向图像添加对抗噪声,伪造出相机源数字指纹没有被篡改的假象,从而提高了伪造图像的真实性,形成伪造的证据。进而,他们可以利用这些伪证来逃避一些司法审判,版权受侵犯者也可能因伪造图像而合法权益无法得到保护。尽管一些研究者也意识到了相机源识别模型上存在的这一问题[17][18],并进一步验证了对抗攻击对相机源识别结果带来的巨大影响,但是很少有研究提出针对性的方案来防御这一应用场景下的对抗攻击。不同于一般图像分类任务,相机源识别具有噪声特异性,即识别结果依赖于图像的某种噪声,这种噪声在相机生成图像时产生[19],常被称为数字指纹。而其识别结果几乎是与图像的场景不相关。因而,现有的通用防御方法并不一定适用于相机源识别问题下的对抗攻击,这些方法往往可能在消除对抗噪声的同时影响到相机形成的数字指纹,从而不能很好地兼顾相机源识别的对抗鲁棒性和准确率。其中,对抗鲁棒性表示为深度神经网络抵抗对抗攻击的能力。综上所述,研究具有针对性的抗对抗攻击的相机源识别方法,使其能够兼顾对抗鲁棒性和识别的准确性具有重要的理论价值和实用意义。
本文编号:3422810
本文链接:https://www.wllwen.com/falvlunwen/fanzuizhian/3422810.html
