ResGuard: Enhancing Robustness Against Known Original Attacks in Deep Watermarking

📄 arXiv: 2604.03693 📥 PDF

作者: Hanyi Wang, Han Fang, Yupeng Qiu, Shilin Wang, Ee-Chien Chang

分类: cs.CV

发布日期: 2026-04-07

💡 一句话要点

ResGuard:增强深度水印技术抵抗已知原始攻击的鲁棒性

🎯 匹配领域: 支柱一:机器人控制 (Robot Control)

关键词: 深度水印 鲁棒性 已知原始攻击 残差学习 图像安全

📋 核心要点

  1. 现有深度水印技术易受已知原始攻击(KOA)影响,攻击者利用原始-水印图像对可有效去除水印。
  2. ResGuard通过引入残差特异性增强损失和KOA噪声层,强制水印嵌入与宿主图像强相关,提升KOA鲁棒性。
  3. 实验表明,ResGuard能显著提升水印提取准确率,从59.87%提升至99.81%,有效防御KOA攻击。

📝 摘要(中文)

基于深度学习的图像水印技术通常采用“编码器-噪声层-解码器”(END)架构来提高对随机信道失真的鲁棒性,但常常忽略了具有额外知识的攻击者引入的恶意操作。本文重新审视了这种范式,并揭示了一个关键但未被充分探索的漏洞:已知原始攻击(KOA),即攻击者可以访问多个原始-水印图像对,从而实现各种有针对性的抑制策略。我们表明,即使是简单的基于残差的去除方法,即从已知图像对中估计嵌入残差并将其从未见过的水印图像中减去,也可以几乎完全去除水印,同时保持视觉质量。这种漏洞源于END框架产生的残差的图像依赖性不足,这使得它们可以在图像之间转移。为了解决这个问题,我们提出ResGuard,一个即插即用模块,通过强制图像相关的嵌入来增强KOA鲁棒性。其核心在于残差特异性增强损失,该损失鼓励残差与其宿主图像紧密耦合,从而提高图像依赖性。此外,辅助KOA噪声层在训练期间注入残差风格的扰动,使解码器在更强的嵌入不一致性下保持可靠。集成到现有框架中,ResGuard提高了KOA鲁棒性,将平均水印提取准确率从59.87%提高到99.81%。

🔬 方法详解

问题定义:论文旨在解决深度水印技术在已知原始攻击(KOA)下的脆弱性问题。现有的基于“编码器-噪声层-解码器”(END)架构的水印方法,虽然对随机噪声具有一定的鲁棒性,但当攻击者能够获取多组原始图像和对应水印图像时,可以通过学习残差信息来有效去除水印,而图像质量几乎不受影响。这种攻击方式利用了水印嵌入的图像依赖性不足的弱点。

核心思路:ResGuard的核心思路是增强水印嵌入的图像依赖性,使得水印的嵌入方式与宿主图像的内容紧密相关,从而使得攻击者难以通过学习残差信息来去除水印。具体来说,ResGuard通过引入残差特异性增强损失来鼓励残差与宿主图像耦合,并使用KOA噪声层模拟攻击,使解码器适应更强的嵌入不一致性。

技术框架:ResGuard是一个即插即用的模块,可以集成到现有的END架构的水印框架中。训练过程中,首先使用编码器将原始图像编码为潜在表示,然后通过噪声层嵌入水印。ResGuard模块在噪声层之后,通过残差特异性增强损失和KOA噪声层来增强水印的鲁棒性。解码器用于从含水印图像中提取水印。

关键创新:ResGuard的关键创新在于提出了残差特异性增强损失和KOA噪声层。残差特异性增强损失鼓励水印嵌入的残差与宿主图像的内容紧密相关,从而增强了水印的图像依赖性。KOA噪声层通过在训练过程中模拟KOA攻击,使得解码器能够适应更强的嵌入不一致性,从而提高了水印的鲁棒性。

关键设计:残差特异性增强损失的设计目标是最小化残差与宿主图像之间的距离,可以使用L1或L2损失函数。KOA噪声层通过从已知的原始-水印图像对中学习残差信息,并将其添加到训练图像中,从而模拟KOA攻击。ResGuard模块可以作为一个独立的网络层插入到现有的水印框架中,无需修改原始的编码器和解码器。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,ResGuard能够显著提高深度水印技术抵抗已知原始攻击(KOA)的鲁棒性。在集成ResGuard后,水印提取准确率从59.87%提升至99.81%,表明ResGuard能够有效防御KOA攻击,并显著提升水印的安全性。该结果验证了ResGuard的有效性和实用性。

🎯 应用场景

ResGuard技术可应用于数字版权保护、信息隐藏、图像认证等领域。通过增强水印的鲁棒性,可以有效防止恶意攻击者篡改或去除水印,从而保护图像的版权和完整性。该技术在需要高度安全性的应用场景中具有重要价值,例如金融图像、军事图像等。

📄 摘要(原文)

Deep learning-based image watermarking commonly adopts an "Encoder-Noise Layer-Decoder" (END) architecture to improve robustness against random channel distortions, yet it often overlooks intentional manipulations introduced by adversaries with additional knowledge. In this paper, we revisit this paradigm and expose a critical yet underexplored vulnerability: the Known Original Attack (KOA), where an adversary has access to multiple original-watermarked image pairs, enabling various targeted suppression strategies. We show that even a simple residual-based removal approach, namely estimating an embedding residual from known pairs and subtracting it from unseen watermarked images, can almost completely remove the watermark while preserving visual quality. This vulnerability stems from the insufficient image dependency of residuals produced by END frameworks, which makes them transferable across images. To address this, we propose ResGuard, a plug-and-play module that enhances KOA robustness by enforcing image-dependent embedding. Its core lies in a residual specificity enhancement loss, which encourages residuals to be tightly coupled with their host images and thus improves image dependency. Furthermore, an auxiliary KOA noise layer injects residual-style perturbations during training, allowing the decoder to remain reliable under stronger embedding inconsistencies. Integrated into existing frameworks, ResGuard boosts KOA robustness, improving average watermark extraction accuracy from 59.87% to 99.81%.