本發(fā)明公開了不可見水印圖像、后門攻擊模型構(gòu)建、分類方法及系統(tǒng)，包括對原始圖像進行Haar離散小波變化，得到原始圖像的低頻信息矩陣、水平高頻信息矩陣、垂直高頻信息矩陣和對角高頻信息矩陣；對低頻信息矩陣進行分塊離散余弦變化，得到多個低頻信息矩陣；對水印圖像進行加密得到加密后的水印圖像，采取奇異值分解的水印算法，將加密后的水印圖像嵌入多個低頻信息矩陣中，然后經(jīng)過分塊離散余弦逆變換、Haar離散逆小波變化，得到不可見水印圖像。本發(fā)明基于不可見的水印技術，利用神經(jīng)網(wǎng)絡易于被后門攻擊的弱點，生成一種更加隱蔽的后門，在一定程度上降低神經(jīng)網(wǎng)絡分類精準度，在人工智能安全領域具有重大的意義。

技術領域

本發(fā)明屬于人工智能安全領域，涉及一種不可見水印圖像、后門攻擊模型構(gòu)建、分類方法及系統(tǒng)。

背景技術

近幾年來深度學習的迅速發(fā)展使其在各個領域都取得了很多成果。圖像分類、物體檢測、語音識別、語言翻譯，語音合成等都廣泛的使用到深度學習。甚至在很多領域中，深度學習模型的表現(xiàn)都超越了人類。盡管在眾多應用程序中都取得了巨大成功，但許多受深度學習啟發(fā)的應用程序仍然至關重要，這在安全性領域引起了極大關注。

訓練一個表現(xiàn)良好的模型是十分復雜的，要花費很多時間。所以神經(jīng)網(wǎng)絡的訓練任務一般都會外包給云。在這種場景下，對手有能力去操縱訓練神經(jīng)網(wǎng)絡的數(shù)據(jù)來改變模型的決策。這種類型的攻擊叫做后門攻擊，帶后門的模型具有以下行為：當輸入為干凈樣本時，模型將輸出正確分類結(jié)果，當輸入樣本帶有攻擊者指定的觸發(fā)器時，模型將輸出攻擊者指定的目標類別，這種模型分類錯誤，導致神經(jīng)網(wǎng)絡產(chǎn)生錯誤輸出。目前的后門攻擊方法訓練模型時，能在保持對良性樣本的預測精度的同時指定隱藏的后門，可用于數(shù)據(jù)集的保護、后門攻擊的檢測等方面，這在人工智能安全領域具有重大的意義。

現(xiàn)有的模型在標準驗證和測試樣本上表現(xiàn)良好，但在具有特定后門觸發(fā)器的輸入上表現(xiàn)不佳。現(xiàn)有的后門攻擊方法主要由于：后門觸發(fā)器是可見的像素點的或后門觸發(fā)器是高亮水印圖形的，這兩類神經(jīng)網(wǎng)絡在學習圖像特征時，把這些固定的可見像素點作為圖像的特有特征學習，模型即學到了正常數(shù)據(jù)集的特征，也學到了后門觸發(fā)器的特征，以此干擾模型分類精準度。

正是由于上述后門攻擊方法中后門觸發(fā)器不夠隱蔽，并且這些觸發(fā)器圖形都具有相同的特性，通過簡單的k-means方法便可以分類出這些異常的帶有后門數(shù)據(jù)。所以現(xiàn)有的后門攻擊方法隱蔽性較差，易被察覺，很容易被清理。因此，對后門攻擊方法的隱蔽性提出了更高的要求。

而基于現(xiàn)有的后門攻擊模型，在對圖像進行分類時，由于后門觸發(fā)器不夠隱蔽，容易被察覺，然后被清理，導致帶有攻擊者指定的觸發(fā)器的輸入樣本被識別出來，從而模型沒有輸出攻擊者指定的目標類別，神經(jīng)網(wǎng)絡模型分類精準度受到影響。

發(fā)明內(nèi)容

針對可見的后門觸發(fā)器隱蔽性較差，易于被察覺的問題，提出一種不可見水印圖像、后門攻擊模型構(gòu)建、分類方法及系統(tǒng)。本發(fā)明基于水印技術，發(fā)現(xiàn)神經(jīng)網(wǎng)絡訓練過程中的弱點，提供一種更加隱蔽的后門攻擊方式。

為達到上述目的，本發(fā)明采用如下技術方案：

一種不可見水印圖像的構(gòu)建方法，包括：

步驟1，獲取原始圖像和水印圖像；

步驟2，對所述原始圖像進行Haar離散小波變化，得到原始圖像的低頻信息矩陣、水平高頻信息矩陣、垂直高頻信息矩陣和對角高頻信息矩陣；

步驟3，對步驟2所述的低頻信息矩陣進行分塊離散余弦變化，得到多個低頻信息矩陣；

步驟4，對所述的水印圖像進行加密得到加密后的水印圖像，采取奇異值分解的水印算法，將所述加密后的水印圖像嵌入步驟3中多個低頻信息矩陣中，進行分塊離散余弦逆變換，得到嵌入水印低頻信息矩陣；

步驟5，將步驟4的嵌入水印低頻信息矩陣、步驟2中所述的水平高頻信息矩陣、垂直高頻信息矩陣和對角高頻信息矩陣進行Haar離散逆小波變化，得到不可見水印圖像。