基于对抗攻击的图像隐写策略搜索

李 林，范明钰，郝江涛

(1. 电子科技大学计算机科学与工程学院 成都 611731；2. 中国核动力研究设计院核反应堆系统设计技术重点实验室 成都 610213)

隐写是一种隐藏秘密通信存在性的方法，在近三十年得到广泛应用和研究，其经典模型被描述为囚徒问题[1]。隐写的基本原理是，载体中有信息冗余空间可用于建立隐蔽信道，基本方法是将消息嵌入在载体的元素中。常用的载体有图像，其冗余空间体现为像素或DCT 非零系数。隐写努力隐藏，而与之相对应的隐写分析则尽可能地分析潜在的隐写痕迹，以发现可能的隐写行为。隐写和隐写分析之间存在一个对抗博弈过程。

在图像载体上的早期隐写方法Lsb(least significart bit)直接将消息比特串嵌入在像素的最小影响位平面。Lsb 破坏最小影响位平面的统计特征，容易被检测，如Chi-squared 攻击[2]就能有效检测Lsb。在更高阶的统计特征上的保持与分析之间同样存在类似的对抗博弈过程。

基于失真最小化框架的隐写是最流行的一类方法。通过构建失真函数，并采用一个已知编码过程如STC[3]，该框架将隐写转变为寻找更好的失真函数问题[4]。大量的高级隐写方法基于失真最小化框架取得了优秀的抗分析表现，如Hugo[5]、SUNIWARD[6]等。然而，高维数据分布难以捕获，且失真最小化同隐写安全之间的关系尚不清晰。

基于富特征模型和深度学习的隐写分析方法取得了目前最好的分析表现。深度学习在很多任务上取得了优秀的表现，且已经被引入到隐写和隐写分析中[7]，如XuNet[8]、YeNet[9]及SRNet[10]。生成对抗网络[11]以及对抗攻击[12]已被成功运用在隐写中，然而抗隐写分析的安全性尚且不足，仍然有很大的改进空间。

本文通过隐写策略模型和对手之间的对抗博弈过程寻找合适的隐写策略。基于对抗攻击，改进代价调整函数，从而实现更好的隐写修改。通过代价初始化及载体复杂性约束，避免对抗过程中的模式坍缩问题。实验表明，该框架能有效搜索隐写策略。

1 隐 写

令x∈X⊂An表示载体对象, 令y∈Y⊂X表示载密对象，其中A={0,1,2,···,q}表示载体和载密中元素取值的变化范围，n为载体和载密对象中元素的个数。令m∈M={0,1}|m|表示消息，k∈K={0,1}|k|表示密钥。本文考虑载体和载密为灰度图像，即q=255,n=H×W，其中H、W分别为图像的高和宽。

隐写算法分为消息嵌入和提取两个过程。消息嵌入过程将消息负载m嵌 入载体对象x中产生载密对象y，引入密钥k可以增强安全性。消息提取过程则是从载密对象y中提取出对应的消息m。为了隐藏秘密通信的存在性，隐写算法需要抵抗隐写分析的攻击。

令femb为嵌入过程，fext为提取过程。PX,PY分别为载体和载密对象的分布，D(PX||PY)为PX与PY之间的距离函数。隐写模型通过最小化D(PX||PY)以抵抗可能的分析对手的攻击。形式上，隐写模型表示如下：

2 对抗攻击

考虑针对隐写分析的对抗攻击问题，分析者训练一个分类器以区分载体和载密。给定分类器F:X■→L,L∈{0,1}为F的分类输出。攻击者通过构造对抗样本xadv使得分类器误分类，即F(xadv)≠F(x)。当攻击者可以直接查询分类器F的模型和参数，从而获得相应的梯度信息以构造对抗样本，称之为白盒攻击。当攻击者只能访问一些分类结果，而无法查看分类器的内部模型和参数，称之为黑盒攻击。

3 图像隐写策略搜索

图像隐写策略搜索框架如图1 所示。该框架主要由隐写策略模型、对手模型、梯度符号向量以及对抗博弈过程组成。

图1 隐写策略搜索框架

3.1 隐写策略模型

为了提升隐写安全性，同很多实用的隐写机制一样，先利用加密算法将消息m加密成密文消息比特串，再将其作为隐写机制负载的消息。

令 ρσ表示初始的失真代价，φσ(x)=π(x;θs)表示含参的代价调整策略，φσ(x)∈阈值范围(a,b)。

嵌入改变概率与失真代价之间的转换关系为：

隐写策略模型中的机制过程如下。

1) 建立初始失真代价 ρσ以及载体复杂约束；

4) 给定载体对象以及消息负载，利用实用的隐写编码STC，找到合适的载密对象来传递秘密消息。

3.2 采样器与策略更新

根据失真代价 ρσφ以及消息负载搜索出修改概率张量Pσφ，可利用一个最优的嵌入仿真器采样载密对象，如式(9)所示：

式中，ri为服从均匀分布的随机变量。然而，这个仿真器难以在训练过程中传递梯度信息，使得无法更新代价调整策略π(x;θs)。

假设元素的嵌入操作是独立的，样本采样器根据一个固定的嵌入顺序产生样本修改序列sp(x,Pσφ)，从而得到载密y。奖励函数reward(x,y)估计d(x,y)的变化方向，并给出代价调整的启发式经验。为了获得训练π(x;θs)的梯度信息，利用策略梯度的方式，更新隐写策略模型。隐写策略模型的更新过程为：

3.3 对手模型

标签函数L(o)指示对应对象的真实标签，即：

式中，SCE为softmax交叉熵函数；Po为对象的分布函数。

白盒攻击可看作是针对对手模型进行的不同粒度下的查询，根据查询获得的梯度信息指示了在对手模型的评价下改进的方向。然而，对手模型的评价可能是含噪的，得到的梯度信息对应着不同的偏离程度。建立一个更好估计梯度信息的模型有助于获得更加鲁棒和迁移性更好的启发式方向。为此，提出一个可靠概率度量下的梯度模型，以提供隐写代价改进的指引信息。

令PG表示对应对抗攻击的离散可靠概率向量。在PG度量下，将期望的梯度符号ESG(x,y)作为改进方向估计，形式化如下式所示：

式中， λr和 λm分别为对应的奖励系数和最大限定值； σ表示修改向量。

3.4 对抗隐写博弈过程

隐写策略模型和对手模型各自最优化自己的目标，它们之间存在着对抗博弈过程。隐写策略模型努力调整代价以获得期望的最大奖励，而对手模型则努力区分载体和载密。通过在可靠概率度量下的对抗攻击，建立更加可靠的改进方向。隐写策略模型需要根据载体复杂约束调整代价策略，以避免模式坍缩。迭代此过程，直至收敛至均衡点或者达到要求的迭代次数，对手模型无法继续改进区分能力，而隐写策略模型也无法继续产生更好的代价改进。此时，系统搜索到目标的隐写策略。对抗隐写博弈过程的搜索目标公式为：

3.5 模型实现

对手模型以及隐写策略模型均利用深度神经网络构建。采用SRNet的轻量版本作为分析模型。隐写策略模型结构为：

式中， bn为batchnormalization；relu为激活函数；fc为全连接操作；°为简单的复合操作，conv为卷积操作；Di为张量的通道数。这些子过程在深度学习中是经常使用的基本操作。尽管深度模型的结构很重要，但只要模型容量足够就能有效表示隐写调整策略，因此暂不考虑不同模型结构对隐写模型的可能影响。

4 实验与分析

4.1 实验设置

以空域灰度图像集Bossbase[13]为实验数据集，随机将Bossbase分为3 个不相交的部分，分别为训练数据集、验证数据集和测试数据集，比例分别为0.6、0.1 和0.3。利用Bicubic核分别将3 个数据集缩减到256×256。

分别采用SRM以及maxSRMd2[16]作为富模型特征提取器。利用空域富模型SRM[14]以及FLD集成分类器[15]进行隐写分析。以经典的空域隐写算法SUNIWARD[6]为基本的加性初始代价函数。分别考虑两种单独的对抗策略(z1和z2，分别为0 和0.15)，以及两种联合策略(均匀分布u和均值为0.05、方差为0.1 的高斯分布g s)下的方案，ATStegK为K=T，T∈{z1,z2,u,gs}对应的隐写算法。嵌入0.2、0.4 比特/像素(bpp)，在两种隐写分析器下，分别与SUNIWARD[6]、HILL[17]，及SPAR-RL[18]进行安全性比较。

4.2 实现细节

利用AdamOptimizer进行优化，学习率0.000 2，β1=0.2 ，β2=0.8，批量大小为16。λr=1，λm=2。采用DDE实验室Matlab版本的SUNIWARD实现代码[19]。运行软件平台为Tensorflow以及Python。运行硬件平台为Geforce RTX 3090GPU平台。

4.3 评价方法

假设载体和载密图像具有相等的先验概率，采用最小平均错误率PE来评价隐写机制，即：

式中，Pfa表示虚警率；Pmd表示漏检率。

4.4 评价结果

不同隐写算法抗SRM分析的安全表现评价结果如表1 所示。

表1 不同隐写算法抵抗SRM分 析的安全表现%

不同隐写算法抗maxSRMd2分析的安全表现评价结果如表2 所示。

表2 不同隐写算法抵抗maxSRMd2分析的安全表现%

从表1 和表2 的结果可以看出，ATStegz1的表现最次，而ATStegu的表现最好，可能的原因是ATStegu捕获的决策方向更加平滑，而ATStegz1则更加分散。ATStegz2和 ATSteggs则表现相近。

ATStegu在选择信道分析下依然能保持好的抗分析的能力，但在0.2 bpp 时比SPAR-RL低0.39%，在0.4 bpp 时比SPAR-RL低4.47%。说明SPAR-RL能得到更加鲁棒的代价，可能原因是SPAR-RL建模了载体状态，能更好捕获相应的载体模型。

从表1 和表2 的结果可以看出，ATSteg可以超越经典算法SUNIWARD和HILL，这得益于代价调整策略以及载体复杂约束。如果不对代价调整策略模型加以载体复杂约束，将会出现模式坍缩问题，即接近相同的修改概率状态，使得代价调整失败。

联合策略相比单独的策略表现更好，这意味着可以通过探索联合策略空间的概率度量，以更好地改进代价搜索。

5 结 束 语

本文提出了一个基于对抗攻击的隐写策略搜索框架，通过隐写策略模型与对手模型之间的对抗博弈过程，改进代价调整函数，从而实现更好的隐写修改。通过代价初始化及载体复杂性约束，避免对抗过程中的模式坍缩问题。实验表明，该框架能有效搜索隐写策略，优于传统经典算法以及接近目前最好的基于深度学习的方案。