阅读说明：本技术 一种基于构造式对抗样本的隐蔽通信方法 (Concealed communication method based on structural countermeasure sample ) 是由 张新鹏 王江锋 姚宇巍 吴汉舟 冯国瑞 于 2020-03-31 设计创作，主要内容包括：本发明提出了一种基于构造式对抗样本的隐蔽通信方法。本方法是：将不含秘密信息的对抗样本与秘密信息的映射关系隐藏于公有神经网络的一种隐蔽通信方法。不同于隐写术,本发明旨在发送方和接收方的通信内容不含秘密信息。利用公有图像分类网络,发送方根据秘密信息对部分样本图像的标签进行量化编码,得到低置信度的正确“软标签”。根据软标签与真实标签之间的损失值构造对抗样本。对抗样本本身不含秘密信息,但可以通过特定的公有模型映射为含密“软标签”。因此通信双方之间仅需传输构造式对抗样本,接收方将对抗样本输入公有模型并对预测结果进行解码即可得到秘密信息。(The invention provides a concealed communication method based on a structural countermeasure sample. The method comprises the following steps: a covert communication method hides the mapping relation between countermeasure samples without secret information and the secret information in a public neural network. Unlike steganography, the present invention aims at communication contents of a sender and a receiver not containing secret information. And (3) carrying out quantitative coding on the labels of part of sample images by using a public image classification network according to the secret information by a sender to obtain correct 'soft labels' with low confidence. And constructing a countermeasure sample according to the loss value between the soft label and the real label. The challenge sample itself contains no secret information, but can be mapped to a secret "soft tag" by a specific public model. Therefore, only the structural countermeasure sample needs to be transmitted between the two communication parties, and the receiver inputs the countermeasure sample into the public model and decodes the prediction result to obtain the secret information.)

一种基于构造式对抗样本的隐蔽通信方法

技术领域

本发明涉及秘密数据传输领域，具体涉及一种基于构造式对抗样本的隐蔽通信方法。它是一种利用公有图像分类网络作为秘密信息提取工具，通信双方仅需传输构造式对抗样本即可实现秘密信息传输的隐蔽通信。

背景技术

隐蔽通信是在不引起第三方怀疑的情况下，发送方将秘密信息安全地发送给接收方。隐写术是实现隐蔽通信的一种重要方式。隐写术通过轻微修改载体信号来嵌入秘密信息，通信双方通过传输含密信号来进行隐蔽通信。因此大量隐写工作都致力于减少秘密信息的嵌入对原信号的损失以提高通信隐蔽性。然而近年来，基于机器学习的隐写分析可以挖掘出正常信号与含密信号不同的特征并以此对可疑信号进行判决以阻断隐蔽通信。理想情况下，只要载体信号含有秘密信息，则隐蔽通信就存在不安全性。

近年来，深度神经网络凭借其强大的学习能力在各个领域都得到了迅速发展和广泛应用。以图像分类任务为例，类似于VGGNet、ResNet等高性能深度神经网络模型被公开发布用于提供高质量的智能服务。深度神经网络模型也逐渐成为了类似于数字图像的一种新形式的数字化产品。在商业环境中，最常见的发布方式是将模型部署到云服务器上，提供输入、输出的API供用户使用。以图像分类任务为例，用户仅需将待分类的图像通过API输入模型，即可得到模型给出的预测结果。预测结果通常为Softmax函数输出的一个概率向量，向量中每一个值都表示属于当前类的概率。而分类结果为对应向量中概率最大的类别。

2013年，Szegedy等人提出对抗样本的概念，即在数据集中通过故意细微的扰动所形成的输入样本，该扰动后的样本会导致模型以高置信度给出错误的输出。2014年，Goodfellow证实对抗样本的主要原因是决策边界的过度线性，并提出一种针对指定模型构造对抗样本的对抗攻击方法，称为Fast Gradient Sign Method，即FGSM。给定待攻击模型和原始样本x，y为样本x对应的标签，那么最佳的扰动方向为和y之间的损失值方向。因此，对抗样本可由下式得到：

其中，J(*)为损失函数，通常为分类交叉熵，为梯度计算。其他常见的对抗攻击还有IGSM，PGD和DeepFool等。这些方法所生成的对抗样本在视觉上与原样本相似，所添加的扰动类似于噪声。由此启发，我们认为对抗样本可用于新形式的隐蔽通信系统。据调研所得，目前还尚未有利用深度神经网络实现隐蔽通信的相关工作。

发明内容

本发明的目的在于，提供一种基于构造式对抗样本的隐蔽通信方法。利用公有图像分类模型构造指定输出的对抗样本，通过传输对抗样本实现安全的隐蔽通信。

为了实现以上目的，本发明的构想是：

将正常通信内容与秘密信息的映射关系隐藏于公有神经网络。发送方和接收方隐式传输正常内容，但接收方将接收到的正常内容输入公有神经网络，即可输出含密的分类结果。同时，为不引起第三方起疑，含密的分类结果不应为错误的分类结果，仍为正确的低置信度分类结果，即“软标签”。

根据上述发明构想，本发明采用下述技术方案：

一种基于构造式对抗样本的隐蔽通信方法，具体操作步骤如下：

1)通信双方将深度神经网络作为秘密信息提取工具，并准备候选触发集；

2)发送方对秘密信息进行分组并分配触发集样本；

3)发送方根据秘密信息生成含密“软标签”；

4)发送方利用对抗攻击FGSM构造对应于“软标签”的对抗样本；

5)发送方传输构造式对抗样本给接收方；

6)接收方将对抗样本输入模型，得到含密“软标签”；

7)接收方对“软标签”进行解码，得到秘密信息。

所述步骤3)的具体操作步骤如下：

3-1)针对原标签进行量化；

3-2)统计秘密信息的非零个数；

3-3)对原标签最大值进行“降级”；

3-4)以最大值为起点向右循环遍历，并根据秘密信息对原标签进行扰动。

所述步骤7)的具体操作步骤如下：

7-1)将软标签与原标签作差；

7-2)以最大值为起点向右循环遍历，根据差值得到秘密信息。

本发明与现有技术相比，具有如下显而易见的突出实质性和技术进步：

1)本发明提出了一种借助于公有深度学习模型而实现的隐蔽通信方法。将公有深度学习模型作为秘密信息提取工具，可以极大地提高通信的隐蔽性。目前为止尚未有深度学习模型应用于隐蔽通信的相关工作，本发明具有创新性和先进性。

2)本发明提出了一种基于构造式对抗样本的隐蔽通信方法。借助于对抗攻击能够生成指定输出的样本图像，且与原图像并无视觉差异的特点，极大地提高了通信的隐蔽性。与隐写术不同，对抗样本并不直接包含任何秘密信息，具有极高的安全性。

3)本发明提出了一种“软标签”的编码方法，可以在不影响正确分类情况的同时，在分类结果中嵌入秘密信息，提高了通信的隐蔽性，具有创新性。

附图说明

图1是基于对抗样本的隐蔽通信示意图。

图2是一种基于构造式对抗样本的隐蔽通信方法的流程图。

图3是对抗样本生成过程中各类概率值的变化折线图。

具体实施方式

以下结合附图对本发明的具体实施例进行详细描述。

首先，假设发送方和接收方要传输一段秘密信息b_i∈{0,1},i＝1,2,…,N。

如图1和图2所示，一种基于构造式对抗样本的隐蔽通信方法，具体操作步骤如下：

步骤1：发送方与接收方提前约定任选一个深度神经网络作为秘密信息提取工具，并从模型的公有数据集中随机选取一组图像作为候选触发集X_cand。

步骤2：发送方将秘密信息b_i进行分组，以k比特为一组，并从候选触发集X_cand为每一组秘密信息分配一张样本图像x。

步骤3：发送方根据每组秘密信息b_i∈{0,1},i＝1,2,…,k，其中k不得大于标签y_true的维数，对样本图像x的标签y_true进行量化编码，形成“软标签”y_soft。所形成的“软标签”y_soft中可以解码出秘密信息。

步骤4：发送方使用对抗攻击FGSM构造对抗样本X_adv，作为触发集。触发集中每一个对抗样本输入模型会得到相应的“软标签”。

步骤5：发送方将对抗样本X_adv发送给接收方。由于对抗样本X_adv与正常图像并无视觉差异，且自身不包含秘密信息。因此第三方监察者无法从中提取秘密信息。

步骤6：接收方将接收到的对抗样本X_adv输入模型得到含密“软标签”y_pred。

步骤7：接收方对“软标签”y_pred进行解码，得到秘密信息b_i。

所述步骤3的“软标签”编码方法的构想为：

根据秘密信息对原标签进行修改，得到含密“软标签”。该含密“软标签”不得为错误标签，因此软标签与原标签的最大值索引应当相同。秘密信息的嵌入过程则可类似于LSB隐写方法，对原标签中除最大值之外的概率值进行修改。若秘密信息为1，则对该概率值增加一个量化单位，若秘密信息为0，则该概率值不变。

所述步骤3的具体步骤为：

步骤3.1，约定量化单位q，并对原标签y_true进行量化。量化单位q的大小决定修改幅度，q越小，秘密信息隐藏越隐蔽。但q过小则会影响秘密信息提取的准确率。

步骤3.2，统计b_i中的非零个数n₁。n₁为需要对原标签y_true的总修改量。

步骤3.3，为保证概率和为1的硬性约束，对原标签y_true的最大值进行“降级”。为保证软标签的分类正确性，要求降级后最大值的索引不变。

max(y)-n₁×q

步骤3.4，以原标签y_true的最大值为起点向右循环遍历，根据每个秘密信息b_i对y_true进行编码。若秘密信息为1，则概率值增加一个量化单位，若为0，则概率值保持不变。

所述步骤7中解码的具体步骤为：

步骤7.1，将分类结果y_pred与数据集中原标签y_true作差得到d，

步骤7.2，以y_true最大值为起点，向右循环遍历，以此对差值进行判决得到秘密信息。若差值为一个量化单位，则提取秘密信息为1，若差值为0，则不含秘密信息。

如图3所示，本发明中所生成的对抗样本能够精准地收敛至含密“软标签”，证明了本发明的可行性。

本发明提出了一种基于构造式对抗样本的隐蔽通信方法。本方法是：将正常通信内容与秘密信息的映射关系通过对抗样本隐藏于公有神经网络模型中的一种隐蔽通信方法。利用公有图像分类网络，发送方将秘密信息隐藏于部分样本图像的分类结果中。通过公有深度神经网络的对抗攻击构造指定输出的对抗样本。该对抗样本本身不含秘密信息，却可通过公有秘密信息映射为含密“软标签”。因此发送方和接收方仅需传输对抗样本，即可实现隐蔽通信。本发明是一种新形式的隐蔽通信，提高了通信的隐蔽性和安全性。