EditGuard:Versatile Image Watermarking for Tamper Localization and Copyright Protection
EditGuard: Versatile Image Watermarking for Tamper Localization and Copyright Protection
Xuanyu Zhang
1 School of Electronic and Computer Engineering, Peking University
2 Peking University Shenzhen Graduate School-Rabbitpre AIGC Joint
Research Laboratory
摘要
在人工智能生成内容(AIGC)的时代,恶意篡改对版权的完整性和信息安全构成了迫在眉睫的威胁。目前的深图像水印,虽然被广泛接受用于保护视觉内容,但只能保护版权和确保可追溯性。它们未能将日益现实的图像篡改本地化,这可能导致信任危机、侵犯隐私和法律纠纷。为了解决这一挑战,我们提出了一个创新的主动取证框架EditGuard,以统一版权保护和篡改不可知的定位,特别是对于基于AIGC的编辑方法。它可以提供一个细致的嵌入难以察觉的水印和精确解码篡改区域和版权信息。利用我们观察到的图像图像隐写的脆弱性和局部性,EditGuard的实现可以转换为一个统一的图像比特隐写问题,从而完全将训练过程与篡改类型解耦。大量的实验验证,我们的编辑guard平衡了篡改定位精度、版权恢复精度和各种基于AIGC的篡改方法的普遍性,特别是对于肉眼难以检测的图像伪造。
1.介绍
为了明确我们的任务范围,我们再次强调了双重取证任务的定义,如图1所示:

(1)版权保护:“这个图像属于谁?”我们渴望准确地检索一幅图像的原始版权,甚至遭受各种篡改和退化。
(2)篡改定位:“这张照片是在哪里被操纵的?”我们的目标是精确定位被篡改的区域,不受特定篡改类型的限制。
据我们所知,没有现有的方法同时完成这两项任务,同时保持高精度和广泛推广的平衡。
为了满足这一迫切的需求,我们提出了一种新的主动取证框架,称为EditGuard,以保护版权和为基于AIGC的编辑方法本地化篡改区域。具体来说,灵感从我们观察到的图像到图像(I2I)的脆弱性和隐写术固有的鲁棒性,我们可以转换实现的联合图像比特隐写术问题,允许训练编辑完全解耦的篡改类型,从而赋予其特殊的泛化性和以零镜头的方式定位篡改。简而言之,我们的贡献如下:
(1)我们首次尝试设计一个深度通用的主动取证框架EditGuard,用于通用篡改定位和版权保护。它将双隐形水印嵌入到原始图像中,并准确地解码被篡改的区域和版权信息。
(2)我们观察了I2I隐写技术的脆弱性和局部性,创新地将该双取证任务的解决方案转换为训练一个统一的象位隐写网络(IBSN),并利用IBSN的核心组件构建EditGuard。
(3)我们引入了一个基于提示的后验估计模块,以提高该框架的定位精度和退化鲁棒性。
(4)我们的方法的有效性已经在我们构建的数据集和经典的基准测试上得到了验证。与其他竞争方法相比,我们的方法在定位精度、泛化能力和版权精度方面具有显著的优点,而不需要任何标记数据或对特定的篡改类型需要额外的训练。
2.相关工作
2.1.篡改定位
2.2.图像水印
3.EditGuard总体框架
3.1.动机
现有方法的挑战:
(1)如何装备现有的水印方法,仅是为了版权保护,具有定位篡改的能力是编辑保护的关键。我们将通过第3.2节中的框架设计来解决它。
(2)以往大多数篡改定位方法在网络训练中不可避免地引入特定的篡改数据,但在未知篡改类型中往往会引起泛化问题,这将在第3.3节中解决。

我们的观察:
幸运的是,我们观察到图像到图像(I2I)的隐写术表现出明显的脆弱性和定位性,具有解决这些问题的巨大潜力。具体地说,I2I隐写[3,28,42,46,64,69]的目标是将秘密图像
3.2.框架设计和取证过程
实现统一篡改定位和版权保护,EditGuard设想嵌入二维定位水印和一维版权可追溯水印以难以察觉的方式到原始图像,这允许解码结束获得图像的版权和二进制掩码反映篡改区域。然而,设计这样一个框架需要解决两种类型的水印的兼容性问题。
(1)局部vs全局:定位水印需要隐藏在原始图像对应的像素位置上,而版权水印需要与空间位置无关,并冗余地嵌入到全局区域中。
(2)半脆弱vs鲁棒:定位水印的期望属性是半脆弱的,这意味着它在网络传输过程中对篡改很脆弱,但对一些常见的退化(如高斯噪声、JPEG压缩和泊松噪声)具有鲁棒性。然而,版权应该几乎无损,无论篡改还是退化。
为了解决这两个关键冲突,EditGuard采用了“顺序编码和并行解码”结构,其中包括双水印编码器、篡改定位器和版权提取器。
如图3所示,双水印编码器将把用户提供的预定义的定位水印和全局版权水印
场景1:如果
场景2:如果
场景3:如果
3.3.将双重取证转化为隐写术
为了实现通用且篡改不可知的定位性能,我们利用了我们观察到的I2I隐写术的局部性和脆弱性。

如第3.1节所述,通过图像的隐写和揭示,可以有效地实现图3中的定位水印和篡改定位性能。同时,结合当前位对图像隐写技术的鲁棒性,通过位加密和恢复,实现了图3中的版权水印和提取器。因此,我们可以将双取证框架EditGuard的实现转换为一个统一的图像比特隐写术网络。
我们的训练目标只是一种自我恢复机制,这意味着它只需要确保隐写术网络的输入和输出在不同的鲁棒性水平下保持高保真度,而不需要引入任何标记数据或篡改样本。
在推理过程中,它可以通过简单的零镜头比较来自然地定位篡改,并准确地提取版权。
4.联合图像比特隐写术网络IBSN
4.1.网络架构

如图4所示,所提出的IBSN(Image-bit Steganography
Network)包括图像隐写模块(IHM,image hiding
module)、比特加密模块(BEM,bit encryption
module)、比特恢复模块(BRM,bit recovery
module)和图像显示模块(IRM,image revealing
module)。首先,图像隐写模块IHM的目标是将一个定位水印
4.2.图像隐写模块IHM和图像显示模块IRM中的可逆块
考虑到基于流的模型具有精确恢复多媒体信息的固有能力,我们利用堆叠的可逆块来构造图像隐藏和揭示模块。原始图像
4.3.基于提示的后验估计
为了提高图像隐藏和揭示模块的保真度和鲁棒性,我们引入了一个基于退化提示的后验估计模块(PPEM,
posteriori estimation module)。由于编码网络倾向于将

具体来说,如图5所示,我们堆叠M个残差
最后,我们利用3×3卷积来融合基于提取的特征
4.4.比特加密和恢复模块

如图4所示,为了将版权水印的
4.5.通过IBSN构建EditGuard
为了稳定所提出的IBSN的优化,我们提出了一种双级优化策略。给定任意原始图像图像和水印
5.实验
5.1.实施细节
我们通过COCO
[38]的训练集来训练我们的EditGuard,而没有任何被篡改的数据。因此,对于篡改定位,我们的方法实际上是零次学习的。Adam
[30]用于用
5.2.与定位方法的比较
为了与篡改定位方法进行公平的比较,我们对四个经典基准[9,16,20,58]进行了广泛的评估,如表一所示。

由于EditGuard是一种主动的方法,我们首先将水印嵌入到真实的图像中,然后将被篡改的区域粘贴到容器图像中。值得注意的是,即使是现有方法专门从事的篡改类型,EditGuard的定位精度在四个数据集上始终优于SOTA方法[17],F1分数分别提升为0.102、0.116、0.441和0.065,这验证我们主动定位机制的优越性。

如图6所示,我们的EditGuard可以精确定位像素级的篡改区域,但其他方法只能产生一个粗略的轮廓或仅在某些情况下有效。同时,我们的比特精度保持在99.8%以上,而其他所有方法都无法实现有效的版权保护。
5.3.与水印方法的比较
5.4.扩展到基于AIGC的编辑方法
5.5.鲁棒性分析
5.6.消融研究
6.结论
我们首次尝试设计一种深多功能水印机构EditGuard。它通过嵌入难以察觉的定位和版权水印,解码准确的版权信息和篡改区域,提高图像的可信度,使其成为艺术创作和法律法医分析的可靠工具。在未来,我们将重点提高EditGuard的鲁棒性,不仅努力提供像素级的定位结果,而且努力提供语义级的结果。此外,我们计划进一步扩展EditGuard到更广泛的模式和应用程序,包括视频、音频和3D场景。我们在信息真实性方面的努力不仅服务于AIGC行业,也服务于我们对数字世界的信任,确保每个像素都能说出真相,每个人的权利都得到保障。