Investigating Deep Watermark Security: An Adversarial Transferability Perspective

要約

生成ニューラル ネットワークの台頭により、生成されたコンテンツにおける知的財産 (IP) 保護の需要が高まりました。
深層透かし技術は、IP 保護における柔軟性が認められ、大きな注目を集めています。
しかし、敵対的な転送可能な攻撃の急増は、深層透かし技術のセキュリティに対して前例のない課題を引き起こしており、この分野は現在体系的な調査が不足しています。
この研究では、消去および改ざんのリスクに対するディープ ウォーターマークの脆弱性を評価するために、2 人の効果的な転送可能な攻撃者を導入することで、このギャップを埋めています。
具体的には、最初に局所サンプル密度の概念を定義し、それを利用してモデル出力の一貫性に関する定理を推定します。
ターゲット クラスの高サンプル密度領域 (HSDR) に向けてサンプルを撹乱すると、ターゲットを絞った敵対的転送可能性が向上することを発見し、Easy Sample Selection (ESS) メカニズムと Easy Sample Matching Attack (ESMA) メソッドを提案します。
さらに、情報ボトルネック理論を統合して、無関係なノイズに対するジェネレーターの依存性を軽減するボトルネック強化ミックスアップ (BEM) を提案します。
実験では、ESMA 方式と BEM-ESMA 方式の両方で、標的型転送攻撃の成功率が大幅に向上することが示されています。
さらに、ESMAとBEM-ESMAを測定値として使用し、モデルアーキテクチャと透かしエンコード長を考慮した包括的な評価を実行し、いくつかの印象的な発見を達成しました。

要約(オリジナル)

The rise of generative neural networks has triggered an increased demand for intellectual property (IP) protection in generated content. Deep watermarking techniques, recognized for their flexibility in IP protection, have garnered significant attention. However, the surge in adversarial transferable attacks poses unprecedented challenges to the security of deep watermarking techniques-an area currently lacking systematic investigation. This study fills this gap by introducing two effective transferable attackers to assess the vulnerability of deep watermarks against erasure and tampering risks. Specifically, we initially define the concept of local sample density, utilizing it to deduce theorems on the consistency of model outputs. Upon discovering that perturbing samples towards high sample density regions (HSDR) of the target class enhances targeted adversarial transferability, we propose the Easy Sample Selection (ESS) mechanism and the Easy Sample Matching Attack (ESMA) method. Additionally, we propose the Bottleneck Enhanced Mixup (BEM) that integrates information bottleneck theory to reduce the generator’s dependence on irrelevant noise. Experiments show a significant enhancement in the success rate of targeted transfer attacks for both ESMA and BEM-ESMA methods. We further conduct a comprehensive evaluation using ESMA and BEM-ESMA as measurements, considering model architecture and watermark encoding length, and achieve some impressive findings.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google