数字图像水印攻击方法

刘宇

近年来，移动互联网飞速发展，大量的社交软件应用的出现给人们提供了分享生活、展示自我的舞台。智能手机和摄像技术的发展以及图像处理算法的进步，使得屏幕前的普通人能够有效制造出大量优质的数字媒体。这些数字信息被方便地被制造出来并分享在互联网上满足人们不同的需求。然而，技术的发展在大大方便人们的生活的同时，也使得对相应数字信息的盗版、非法篡改与复制的成本大大降低。在这种情况下，为保护图片创造者的版权信息，数字水印这种技术被广泛应用。

用于版权保护的可见数字水印允许公开用户获取数字媒体，并且不介意对方明确水印信息的存在。为了不干扰其他人获取原始信息内容，通过一种对人视觉感知不敏感的形式将水印嵌入到载体信息中。经过多年的发展，数字水印能够满足视频、图片等不同媒体的版权保护需求。

水印攻击与数字水印相当于一枚硬币的正反面，二者相互促进，在互相的博弈中交替发展。一个水印算法的好坏，可以用水印的鲁棒性来表示。鲁棒性表达了算法在各种复杂环境和恶意攻击中存活的能力。而为了测试水印算法鲁棒性，使用水印攻击技术。若算法能抵抗的水印攻击类型越多，则该算法的鲁棒性越强。本文就将对常用于测试鲁棒性的水印攻击算法进行介绍。

水印攻击作为评价水印算法的客观标准，在二十世纪九十年代与数字水印算法一同得到了极大的发展。通常攻击者对水印鲁棒性的测试会利用到一種或者多种攻击方式，有利用图像操作对水印信息去除，有利用几何变换破坏水印同步信息破坏水印提取，也有利用可逆水印的漏洞实行穷举攻击等。

1.去除攻击

去除攻击是一种旨在将水印信息彻底从载体图像之中移除的攻击方式。这意味着去除攻击成功后，水印提取方无法将水印信息从载体图像中恢复。去除攻击不像利用密码学及水印协议攻击针对某种特殊的算法的漏洞，它的目标是将水印信息彻底从水印图像中去除，对多种不同的水印算法都有一定的效果。常见的去除攻击包含对图像进行有损压缩、降噪等。

有损压缩和降噪滤波是常见的图像处理过程。这些过程普遍存在于各种图像算法过程中，并且鲁棒水印算法希望水印信息能够在这些过程中幸存，所以学术界将这些过程作为水印去除的攻击用于评测水印算法鲁棒性。有损压缩算法的主要思路为省略对视觉效果影响较小细节信息，通常在不同平台传播图像时使用，实现节省流量或者降低存储空间的目的。在日常生活中最为常见的一种压缩方式就是JPEG压缩，图像经过JPEG压缩后，部分信息丢失，丢失信息的多少与压缩程度有关。水印信息有可能存储于丢失的信息中导致压缩过程后，提取者无法从压缩图片中提取水印。

降噪可以看作一种对图像的优化操作，目的是去除图像中的噪声。而水印作为后加进图像的信息，与图像本身内容相比就可以视为噪声。在拥有水印图像的情况下，根据统计特性估计出原始图像就自然可以达到去除水印的目的。根据求解的理论不同，如利用最大似然、最小平方差和最大先验概率，可以设计不同的滤波器。在求解过程中，根据水印空间分布假设和载体图像空间假设设计对应的降噪滤波器来进行去除攻击。较为精细的去除攻击要求去除水印信息的同时还将保证载体图像的图像质量不被破坏。对水印分布常用的假设有高斯分布、拉普拉斯分布，利用最大似然估计而设计的滤波器分别为均值滤波、中值滤波，而利用最大先验概率设计的代表性滤波器为维纳滤波。

2、几何攻击

几何攻击是通过对载体图像进行几何扭曲让原来的像素位置发生改变，达到水印提取方失去对水印信息的同步而无法对水印信息进行提取的目的。几何攻击并不在意具体的水印算法嵌入过程，只是需要保证在提取端的同步过程出现失误即可。由于水印信息依旧存在于原来的载体图像之中，理论上水印提取者重新获得同步信息之后依旧有可能将水印信息提取。但在实践中，恢复同步信息的难度极大。

常见的几何攻击分为全局和局部攻击。全局攻击就是在攻击的过程中同时涉及到图像的所有像素，常见的攻击方式对图像进行全局旋转、图像尺度的缩放、仿射变换或者将这多种攻击方式结合操作。局部几何扭曲也是另一种有效的的攻击方式，它对局部图像进行肉眼难以察觉的小的几何失真来破坏同步信息。如对局部像素的位置进行随机置乱，就可以显著的破坏一些空域水印的提取

3.穷举攻击

穷举攻击是一种利用暴力搜索方式进行的攻击。一些水印算法是可逆的，即当知道所有信息之后可获得原始图像信息。一些可逆水印算法会在嵌入过程和提取过程中某一步会用到密钥来对某些信息进行加密，穷举攻击就利用穷举搜索还原出这个密钥来获得水印信息。由于水印算法的具体流程并不在保密的范围内，假设攻击者知道算法，那么就可以根据获得的水印信息进行进一步水印的去除等操作。在这个过程中，攻击者的计算开销会随着密钥及加密空间的变大而提高。所以对水印算法来说，为了保证安全，通常需要选择一个合适长度的密钥，同时确保具有较大的加密空间提高攻击者攻击所付出的代价。

4.拷贝攻击

在这种攻击下，攻击目标不是破坏水印信息，而是估计出载体图像中的水印信息并将其拷贝至其它的载体图像中，来使得本不含有水印的图像含有水印。常见的方法有通过滤波等操作，预估出空域图像的水印信息，并对预估水印信息对载体图像进行适应性的处理满足水印的不可见性，然后将其加入到目标图像中。整个过程攻击者不需要了解水印算法具体内容，密钥知识，但其假设水印算法一定为加性算法。防御拷贝攻击可以通过在水印信息中加入对载体图像的特征信息来进行抵抗。当水印提取者发现嵌入的水印信息中，关于载体图像的特征信息与当前的载体图像信息不符，就会明白相应图像遭受了拷贝攻击而不会被欺骗。