(19)国家知识产权局(12)发明专利申请(10)申请公布号CN114897095A(43)申请公布日2022.08.12(21)申请号202210611169.5(22)申请日2022.05.31(71)申请人福建农林大学地址350000福建省福州市仓山区上下店路15号(72)发明人梁锦超柳晓龙陈日清(74)专利代理机构厦门原创专利事务所(普通合伙)35101专利代理师吴廷正(51)Int.Cl.G06K9/62(2022.01)G06T1/00(2006.01)G06F21/16(2013.01)权利要求书1页说明书4页(54)发明名称基于不可见水印的对抗样本生成方法及其应用和存储介质(57)摘要本发明公开了基于不可见水印的对抗样本生成方法及其应用和存储介质，本发明方案基于频率域的离散小波变换技术和盆地跳跃优化算法，提出基于离散小波变换和盆地跳跃算法实现不可见水印的对抗样本新方法，该方法可用于解决最小化对抗样本属于特定类别的置信度；该方法执行过程中，通过嵌入不可见水印作为扰动信息生成对抗样本，其中，对抗样本的某一个像素通道分别保存原始图像缩放的尺寸、水印的打乱的随机数种子，原始图像打乱的随机数种子；而在不可见水印信息提取方面，本发明方案根据对抗样本的某一个像素通道保存的信息，可以完整提取出整个水印，实现不可见水印的信息提取；该方案可应用于对抗样本版权保护，其具有良好的安全性和鲁棒性。CN114897095ACN114897095A权利要求书1/1页1.一种基于不可见水印的对抗样本生成方法，其特征在于，其包括：获取待处理的原始图像，通过对其嵌入不可见水印作为扰动信息以生成对抗样本；其中，对抗样本的某一个像素通道分别保存原始图像缩放的尺寸、水印打乱的随机数种子和原始图像打乱的随机数种子。2.如权利要求1所述的基于不可见水印的对抗样本生成方法，其特征在于，对待处理图像嵌入不可见水印作为扰动信息的方法为：S01、获取待处理的原始图像，令确定嵌入水印的原始图像为数字图像；S02、将作为数字图像的水印转化二进制；S03、进行三次对抗性攻击，生成对抗样本，三次对抗性攻击中，原始图像被缩放成预设尺寸倍数。3.如权利要求2所述的基于不可见水印的对抗样本生成方法，其特征在于，第一次对抗性攻击时，原始图像的缩放尺寸被设置为0.5‑0.9，第二次对抗性攻击和第三次对抗性攻击时，原始图像的缩放尺寸分别被设置为10‑10.1、0.35‑12。4.如权利要求2所述的基于不可见水印的对抗样本生成方法，其特征在于，S03包括：S031、第一次对抗性攻击：寻找宿主图像特定的缩放尺寸、水印打乱的随机数种子、原始图像打乱的随机数种子；通过离散小波变换技术嵌入不可见水印生成对抗样本，对具有对抗性的样本直接保留，使不具有对抗性的样本进入下一次对抗性攻击；S032、第二次对抗性攻击：寻找宿主图像特定的缩放尺寸、水印打乱的随机数种子、原始图像打乱的随机数种子，通过离散小波变换技术嵌入不可见水印生成对抗样本，对具有对抗性的样本直接保留，使不具有对抗性的样本进入下一次对抗性攻击；S033、第三次对抗性攻击：寻找宿主图像特定的缩放尺寸、水印打乱的随机数种子、原始图像打乱的随机数种子，通过离散小波变换技术嵌入不可见水印生成对抗样本，对具有对抗性的样本直接保留，使不具有对抗性的样本进入下一次对抗性攻击。5.如权利要求1至4之一所述的基于不可见水印的对抗样本生成方法，其特征在于，其还包括：根据对抗样本的某一像素通道保存的原始图像缩放的尺寸、水印打乱的随机数种子和原始图像打乱的随机数种子进行提取对抗样本中嵌入的水印，实现不可见水印的信息提取。6.一种图像分类模型的训练方法，其特征在于，其包括权利要求1至5之一所述的基于不可见水印的对抗样本生成方法。7.一种计算机可读的存储介质，其特征在于：所述的存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述的至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行实现如权利要求1至5之一所述的基于不可见水印的对抗样本生成方法。8.一种计算机可读的存储介质，其特征在于：所述的存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述的至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行实现如权利要求6之一所述的图像分类模型的训练方法。9.一种图像版权标注方法，其特征在于：其包括权利要求4所述的基于不可见水印的对抗样本生成方法。2CN114897095A说明书1/4页基于不可见水印的对抗样本生成方法及其应用和存储介质技术领域[0001]本发明涉及神经网络训练技术、人工智能安全领域，尤其涉及基于不可见水印的对抗样本生成方法及其应用和存储介质。背景技术[0002]人工智能安全是目前非常热门的研究领域，对抗样本是人工智能安全