有遮盖图像隐写术基于有限映射图像的鲁棒无覆盖隐写算法

沙特国王大学学报基于有限映射图像的刘希尧a，李兆英a，马俊兴a，张伟a，张建a，丁一鹏b，张伟a中南大学计算机科学与工程学院，湖南长沙410083b中南大学物理与电子学系，长沙410083阿提奇莱因福奥文章历史记录：2021年12月3日收到2022年4月14日修订2022年5月17日接受2022年5月23日在线提供保留字：无覆盖隐写术环统计特征混沌系统映射完整性图像可区分性和稳健性A B S T R A C T无遮盖图像隐写术（CIS）因其能从根本上抵抗隐写分析工具而受到广泛关注。现有的CIS方案主要分为基于综合的方案和基于映射的方案。与前者相比，基于映射的方法保证了信息的无损提取和更强的攻击鲁棒性。然而，这些方法仍然面临着秘密信息映射不完全，映射特征的鲁棒性和可扩展性之间的权衡，以及对大量映射图像的需求的挑战。针对这些问题，提出了一种基于有限映射图像的鲁棒无覆盖隐写算法。在我们的方案中，我们提取环统计，以确保映射功能的可扩展性和鲁棒性。此外，不同于传统的CIS方案，我们进一步设计了一个混沌系统，用于置乱图像特征映射秘密信息。该系统利用不同的置乱特征将一幅图像映射为多个秘密信息实例，减少了对图像数量的要求，避免了不完全映射。此外，置乱特征还增强了秘密信息的安全性。实验结果表明，我们的计划具有优越的性能，在可扩展性和鲁棒性对几何攻击，所需的映射图像的数量，和映射的完整性。©2022作者（S）。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍图像隐写术，其目的是将秘密数据嵌入到容器图像中而不引起怀疑，已经成为隐蔽通信的关键技术（Kadhim等人，2019年）。与直接加密秘密信息相比，不可检测性是图像隐写术的关键问题（Su等人，2021年）。此外，鲁棒性变得很重要，因为通过开放的社交网络传输的图像很容易受到攻击。传统的隐写方法，例如奇异值分解（SVD）方法（ Gul 和 Kurugollu ， 2010 ） 、 高 度 不 可 检 测 的 隐 写 （ HUGO ）（Pevny'etal. ， 2010 ） 、 基 于小 波 获得 的 权重 （ WOW） 的方 法（Holub和Fridrich，2012）和空间通用小波相对*通讯作者。电子邮件地址：csuzwzbn@csu.edu.cn（W. Zhang），dingyipeng@sina.com（Y.叮）。沙特国王大学负责同行审查基于失真的方法（S-UNIWARD）（Holub等人，2014）;将像素嵌入到纹理丰富的区域中，从而确保秘密信息不受隐写分析工具的影响。然而，这些传统的方法很难从根本上避免使用隐写分析工具检测秘密信息存在的风险。此外，在各种攻击下的鲁棒性仍然不足以在开放的社交网络上进行隐藏通信（El_Rahman，2018; Atawneh等人， 2017年）。针对上述问题，无覆盖图像隐写术（CIS）被设计为在不直接修改原始封面图像的情况下生成用于隐藏秘密信息的容器图像。 目前的CIS方法可以分为两大类：基于合成的（Chen，2008; Otori etal.，2007; Wu和Wang，2014; Liu等人，2018; Lee等人，2018年;Qian等人，2018;Hu等人，2018; Cao等人，2020; Qin等人，2020年; Li等人，2021;Zhang等人，2020）和基于映射的方法（Zhou等人，2015年; Yuan等人，2017年; Zheng等人，2017年; Wu等人，2018 年;Zhang 等人，2018 年; Liu等人，2020; Zou等人，2019;Govindasamy等人，2020年; Yang等人，2020年; Chen等人，2022;Zhou等人，2019; Luo等人，2021; He等人，2016; Deng等人，2009年）。在基于合成的方法中，使用可逆函数对图像进行重采样，并将包含秘密信息https://doi.org/10.1016/j.jksuci.2022.05.0121319-1578/©2022作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comX. Liu，Z.Li，J.Ma等人沙特国王大学学报4473合成了当使用这些方法时，现有的隐写分析工具很难从合成图像中检测出秘密信息的存在尽管有这样的优势，基于合成的方法仍然提出了挑战，即秘密信息不能完全恢复没有攻击，如果合成的图像受到攻击，可能会丢失。基于映射的CIS方法通过建立秘密信息片段与封面图像特征序列之间的关系，保证秘密信息的无损恢复，进一步增强了对各种攻击的此外，最近还引入了基于深度学习的图像分类机制，以确保候选映射图像属于同一主题，以进一步确保图像传输的行为安全。然而，现有的基于映射的CIS方法仍然存在以下问题：1）在嵌入容量和映射秘密信息所需的候选图像数量之间存在折衷。所需的候选图像的数量随着秘密信息的比特数的增加而呈指数增加。2)现有的方法忽略了映射特征的可辨别性，从而导致映射过程需要更多的图像，并且可能对接收器的秘密信息进行误报检测。3)这些方法在对图像攻击，特别是几何攻击的鲁棒性方面有改进的空间。4)虽然引入基于深度学习的分类增强了行为安全性，但它对映射完整性提出了额外的挑战，特别是对于分类后的图像集的每个类别。针对这些问题，本文提出了一种结合几何不变特征和混沌系统的无遮盖图像隐写方法。在我们的方法中，首先使用ResNet101将具有相似内容的候选图像分类到同一类别中，以提高行为安全性。然后，对可压缩图像进行环形分割，并通过计算环形统计量的残差来生成图像特征，以保证特征的可扩展性和鲁棒性，特别是对几何攻击的鲁棒性。接下来，秘密消息被划分为段。最后，每一段的比特映射到候选图像的特征，使用逻辑帐篷混沌系统（LTCS）的无覆盖隐藏传输。以这种方式，单个候选图像可以通过选择LTCS的对应密钥来映射到多个秘密消息，这比检索不同的候选图像容易得多并且更实用。因此，可以显著减少所需的候选图像的数量，同时可以增强映射消息的安全性。此外，在对候选图像进行基于深度学习的分类之后，从根本上保证了映射的完整性。据我们所知，这是第一个使用混沌系统，以减少所需的映射图像的数量，提高安全性，并确保映射基于无覆盖图像隐写术的映射完整性的方法。本文的主要贡献如下：1) 提出了一种新的无覆盖图像隐写算法，在保证高可分辨性和强鲁棒性的前提下，实现了映射的完全性，减少了候选图像的数目.2) 环特征的设计不仅保证了图像的可识别性，而且保证了图像对几何攻击的鲁棒性。3) 利用LTCS建立密文与图像特征之间的映射机制，保证秘密信息匹配的完整性，减少候选图像的数量4) 综合实验结果表明，该方案的优越性相比，最先进的基于映射的无覆盖图像隐写方案。本文的其余部分组织如下。第2节介绍了相关工作，第3节描述了所提出的方法。实验结果和分析见第4。最后，第5提出了结论。2. 相关工作CIS是确保机密信息隐蔽通信的重要技术之一根据隐写原理，CIS方案可分为基于合成的CIS方案和基于映射的CIS方案。每个类别分别描述如下。2.1. 基于综合的CIS基于合成的CIS方案（Chen，2008; Otori等人，2007;Wu和Wang，2014; Liu等人，2018; Lee等人，2018年; Qian等人，2018;Hu等人，2018; Cao等人，2020; Qin等人，2020年; Li等人，2021;Zhang等人，2020），其利用最新的先进条件生成对抗网络通过馈送秘密消息来生成图像，提高了传统信息隐藏方案抵抗隐写分析攻击的能力。Otori等人（2007）提出了一种基于像素纹理合成的隐写方案为了提高图像合成的效率;Wu和Wang（2014）提出了另一种方案，其中对较小的纹理图像进行重新采样以合成新的纹理图像。Liu等人（2018）首先使用辅助分类器GAN（ACGAN）来隐藏无覆盖信息。在（Lee等人，2018），Lee et al.使用秘密信息作为合成模式的输入，以改善原型在视觉图像质量方面的性能。Qian等人（2018）进一步提出了一种新的构造性隐写方案。与以往的方案不同，在隐藏数据之前构造一个中间纹理为了进一步提高基于合成的CIS的嵌入能力，Hu等人（2018）利用深度卷积生成对抗网络（DCGAN）来消除对标签的依赖。在（Cao等人，2020），Cao等人提出了一种基于动漫人物合成的隐写方案，通过将秘密信息转换为动漫人物的属性标签集，然后将其作为驱动器直接合成动漫人物，这也提高了隐藏容量。 为了优化隐写图像的质量，对抗损失和提取模块被添加到图像合成阶段（Qin等人，2020年; Li等人， 2021年）。最近，Zhang et al. （2020）提出了一种通过调整渲染距离来平衡不可感知性和鲁棒性的方案。2.2. 基于映射的CIS基于映射的方法在图像散列和秘密消息之间建立一对一映射（Zhou等人，2015年; Yuan等人，2017年; Zheng等人，2017年; Wu等人，2018 年 ;Zhang 等 人 ， 2018 年 ; Liu 等 人 ， 2020; Zou 等 人 ， 2019;Govindasamy等人，2020年; Yang等人，2020年; Chen等人， 2022;Zhou等人，2019; Luo等人，2021年）。Zhou等人（2015）提出了一种比较图像块平均值的CIS方案。Yuan等人（2017）和Zheng等人（2017）通过使用尺度不变特征变换（SIFT）特征点的方向信息设计了一种有效稳定的图像哈希，以增强对X. Liu，Z.Li，J.Ma等人沙特国王大学学报4474××常见的图像攻击。Wu等人提出了一种方案（Wu等人，2018），用于通过采用基于覆盖图像的灰度梯度共生矩阵的描述符来获得对JPEG压缩攻击和低通滤波器攻击的为了克服传输图像检测的主观视觉 阻 力 ， Zhang 等 人 （ 2018 ） 引 入 了 基 于 潜 在 Dirichlet 分 配（LDA）的分类机制，该机制确保候选映射图像属于同一主题，并使用离散余弦变换（DCT）特征进行秘密信息映射。Liu et al.（2020）利用离散小波变换（DWT）特征作为图像散列，并进一步设计了基于DenseNet的检索机制，以确保候选图像的相似性，从而降低主观怀疑的可能性为了进一步提高隐藏容量，几种无覆盖隐写方案（Zou等人，2019; Govindasamy等人，2020年; Yang等人，2020年），已经提出了基于图像块。这些方案将图像划分为许多不重叠的图像子块，计算像素平均值（Zou等人，2019）或最高有效位（Yang et al.，2020），最后对具有相同长度和数目的子块的特征进行隐写，以提高隐写容量。 Chen等人（2022）使用StarGAN合成和映射的组合来提高隐写能力。 为了进一步增强对几何攻击的鲁棒性，Zhou et al. （2019）采用Faster-RCNN来检测和定位图像中的对象，并利用这些对象的标签来表达秘密信息，以及（Luo et al.，2021）提取了DenseNet特征和对象标签，这些特征和对象标签被Faster-RCNN识别，用于秘密信息映射。3. 建议计划在这一节中，我们将描述所提出的方法如何实现隐藏信息和信息恢复。图1呈现了所提出的CIS方案的流程图。该方案由发送端的信息隐藏和接收端的信息恢复两部分3.1. 信息隐藏阶段信息隐藏就是根据隐藏的秘密信息选择隐藏图像的过程。该阶段由三个主要部分组成：图像数据集的ResNet101分类、特征提取和信息映射。3.1.1. 基于ResNet101的图像分类互联网的迅速发展为CIS提供了一种可能的应用，它可以从海量的网络图像数据集中检索出隐藏的封面图像。如果从图像数据集中随机选择封面图像以隐藏秘密信息，则所选择的封面图像的内容可能不相关，这可能增加攻击者的怀疑。为了解决这个问题，我们采用了深度为101层的经过良好训练的残差神经网络（表示为ResNet-101）（He et al.，2016）预先对图像数据集进行分类，如图2所示，以便用户可以选择图像数据集的类别并搜索合适的封面图像。使用ResNet101进行分类的过程是如下步骤1.ResNet101卷积神经网络用于从给定图像的图像库中提取特征特征Fxm=[f1，f2.，从全局平均池化层中提取，其中Fxm的维度为111000。步骤2.将特征输入softmax，以获得每个类别的概率和每个类别的分布。步骤3.选择最可能的类别作为输入图像的类别。步骤4.重复上述步骤，直到所有图像都被分类到相应的类别中。3.1.2. 特征提取特征序列是从图像中提取的固定长度的序列，其用于识别图像以在图像数据集中准确地搜索隐写图像因此，合成与图像相对应的特征序列并区分不同的图像特征是另外，隐写图像可能会受到各种图像攻击，如旋转、亮度等Fig. 1. 拟议CIS的流程图。X. Liu，Z.Li，J.Ma等人沙特国王大学学报4475Nrij¼1Nrin2N和s1/2s;s;·· ·;s]。12N<$q××0;qri6pri1;0rin<<图二. ResNet101图像分类框架。图像在传输过程中的变化、对比度变换和噪声干扰。因此，有必要设计一种鲁棒的特征提取算法，以保证特征更强大的统计数据。偏度sri是第ri个分区的平均值周围的像素值的不对称性的指示符Nri给定图像的序列在遭受不同攻击时保持不变。根据特征提取方法（Zheng等人，2017年; Wu等人，2018年; Zhang等人，2018年; Liu等人，二○二○年;Zou等人，2019; Govindasamy等人，2020年; Yang等人，二○二○年;黎里1XRrij;16ri6n5Chen等人， 2022），可以从子块中提取特征序列。然而，这些特征对图像攻击，特别是几何攻击敏感。在该方案中，qri¼Q3ri-Q1ri;16ri6ndri¼1倍。16ri6n17从图像的内接环生成，以保证可扩展性和鲁棒性。下面详细介绍特征提取步骤Nri-1RI第1页步骤1.每个图像都被归一化为N×N像素的大小，1PNri .Rrij-l3RI最接近的插值，以保证不同大小sri¼.Nri第1页！;16ri6n82sPNri。ffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiΣffiffiffiffi3共享相同的特征长度。此外，每个归一化图像从RGB转换到YUV颜色空间，并且选择分量Y用于表示。1Nri 第1页Rrij-lri步骤2.每个图像被分成n个同心环，R. 然后，根据图像像素与圆心之间的距离获得每个环的像素r¼，N，101R¼，N，102mmRkfpx;yjk-1rdx;y6krg3其中r是最内环的半径，n是环的数量，N是归一化图像的横向像素的数量，R是其中，Nri是第ri个环中的像素的数量，n是Rri（j）是第ri个环的第j个像素。Q1ri是第一个四分之一的像素值，Q3ri是正排序后四分之三位置的像素值。在这里，均值和四分位数范围被用来增强鲁棒性，和其他两个统计量部署，以增强可扩展性。步骤4.重复步骤2以获得所有环统计。因此，这些统计量被用来形成统计特征向量l/2 =l1;l2;·· ·;ln nn]，q/2 =q1;q2;·· ·;qn]，d/2 =d1;d2;·· ·;dn]，步骤5.根据上述四个环的统计向量，得到属于每幅图像的特征序列的每个比特最大环与CIR中心之间的距离F RI. 1;lri>lri10rin9cle，Rk表示第k个环上所有像素的集合，b·c是地板函数，dx，y是从p（x，y）到第k个环的欧几里得距离联系我们0;lri6lri1;<<图像中心。dx，ydx;y被定义为. 1; qri> qri 1其中x和y分别表示水平和垂直像素位置。在该步骤中，图像像素被划分为n个像素环。的图像的每个环中的像素在几何变换fd1;dri>dri 1;00;dri6dri1<里恩ð11Þ攻击;因此，在下一步中，将从是的。1; sri> sri 1; 0 Xi 1; 0 6 i 6 4 n1170;Xi6Xi1步骤5.利用混沌序列对图像特征f进行置乱B如下：E ¼ f B18其中f是特征向量，B是二进制形式的混沌序列，并且表示位级XOR操作。提取的图像特征不与秘密信息直接匹配，因为从图像中只能提取一个特征，并且在许多情况下将图像特征与秘密信息直接匹配将失败。在这一步中，LTCS可以在不同的初始值下产生不同的混沌序列。用这些混沌序列对图像特征进行置乱可以进一步生成各种彼此不同的新特征序列。在下面的步骤中，这些序列用于匹配秘密信息。以这种方式，可以将各种不同的秘密信息映射到同一图像，这可以减少图像的数量。此外，不同类型的图像集可以提取相同的秘密信息，提取信息段步骤6.它们被连接以形成完整的秘密信息S。4. 实验结果及分析4.1. 实验设置实验环境：我们的实验是在具有以下配置的个人计算机上进行的：(R) Core（TM）i5-9600K CPU@3.70 GHz，16 GB内存，Windows10，Microsoft Visual Studio 2010和MATLAB 2018a。数据集：测试数据集是ImageNet数据集和爬虫抓取的Web图像。1) ImageNet数据集（Deng et al.， 2009）：该数据集包含22，000个类别和1500万张低分辨率图像，这些图像是在网络上收集的，并 通 过 Amazon Mechanical Turk 进 行 标 记 。 数 据 集 中 的 文 件“n01440764” 、 “n02782093” 、 “n01914609” 、 “n04462240” 和“n09421951”中共有1300张5 = 6500的图像被随机选择并用于我们的实验。2) 作者抓取的网络图像：该数据集包含从互联网上随机抓取的20万张图像。互联网图像的分辨率是不同的，没有固定的类别。ResNet101是使用ImageNet数据集进行预训练的模型，用于对图像进行分类。随机选取五类图像，每类1000幅图像用于实验。本实验中的参数设置如下：环形分区的数目n为9，图像大小N为320，LTCS迭代深度k为1000，量化比特数为32。的¼X. Liu，Z.Li，J.Ma等人沙特国王大学学报4477XX我×××××× × ××¼fp将实验结果与四种可用的CIS方法，即MEAN（Zhou等人，2015）、DCT（Zhang等人， 2018 ）、DWT（Liu等人，2020）;和MSB（Yang等人，2020年）。实验结果和分析包括以下六个部分：鲁棒性、可扩展性、鲁棒性和可扩展性的权衡、隐藏容量和所需候选图像数、映射完整性和安全性。4.2. 耐用性评价鲁棒性是CIS中的一个重要性能指标，它反映了秘密信息在传输过程中抵抗攻击的能力。使用ImageNet数据集和Web图像数据集来测试鲁棒性。应用了几种类型的攻击封面图片，如表1所示。在实验中，我们使用intra_BER来评估隐写术的鲁棒性，它是在各种攻击下原始秘密信息和恢复的秘密信息之间的BER。较小的intra_BER值指示较好的隐写鲁棒性。intra_BER定义为。4分- 1分帧内误码率（BER）：1-u=bi;b0i ii = 14n-1n = 20n1/1其中n为图像环的个数，bi为秘密信息的第i位，bi'为对应的图像特征f与混沌序列异或后序列为了计算两个的不同对应位的数目，序列的u定义为。（1;bi¼b04.3. 可重复性特征的可重复性，这表明一个特征的能力，以代表一个图像尽可能唯一的，也是重要的，在CIS应用程序中有以下两个原因。首先，当特征可扩展性越高时，所需的候选图像的数量越少，这导致图像之间的特征冲突越少。第二，秘密消息的假阳性检测率将随着特征可重用性的提高而降低。在实验中，我们使用每对特征之间的inter_BER值来评估特征的可重用性。inter_BER的定义如下：4分- 1分内部BER¼1-ufi;f0i=4n-1221/1其中，n是图像环的数目，fi是第i个图像的特征序列，并且fInter_BER是两个不同图像的特征之间的误码率（BER）。理论上，较大的inter_BER值指示较好的特征可重复性。我们计算两个数据集中每类图像的inter_BER值总共有5 1300（1300-1）/2 = 4221750不同内部误码率值为ImageNet和51000(1000–1)/2 = 2497500 differentWeb图像数据集。为了进一步分析在由各种方案提取的特征中，我们计算小于0.05. 实验结果列于表4中。如表4所示，我们提出的方法在两个数据集上都优于四种基准方法通过使用所提出的算法获得的五个子集的平均比率ubi;b0i我0;bið21ÞImageNet数据集和Web Image数据集的平均值分别为2.01×10-2、4.48×10- 4、1.08×10- 3、2.93×10- 3和3.02×10- 5，各种方法的平均intra_BER值列于表2和表3中。这两个表中的结果表明，在各种攻击下，我们提出的算法在两个数据集上的鲁棒性高于其他四种基准方法。所提出的算法在ImageNet数据集和Web Image数 据 集 上 的 平均 intra_BER 的 平 均 值 分 别为 0.1372 ， 0.1340 ，0.1541，0.1091和0.0251和0.1274，0.1324，0.1353、0.0973和0.0227，这比基准方法小得多。特别是，我们提出的算法在几何攻击下的鲁棒性，最大平均intra_BER小于0.05，明显强于其他四种方法。此外，我们提出的算法在其他攻击下的鲁棒性也是相当的这些基准方法。这一结果的原因是采用环形特征消除了诸如旋转和翻转之类的几何攻击的影响。表1攻击的类型攻击类型参数旋转（RT）50、70、90、135、180边缘裁剪（EC）{10%，20%}翻转（FL）{水平，垂直}2.2210-2，1.5410-3，1.8510-3，3.2010- 3，6.93 10-4，分别。这些值比基准方法的值小得多。特别是，我们提出的方法在几何攻击下的抗攻击能力，最大均值比小于10- 4，明显低于其他四种方法.这是因为在我们的方法中，利用相邻环的高阶统计特征的差异来构造更复杂的特征序列。4.4. 鲁棒性和可重复性之间的权衡评价在信息隐藏的整个过程中，要综合考虑图像的不可篡改性和抵抗图像攻击的鲁棒性。在本节中，我们计算了假阳性率Pfp和假阴性率Pfn，以评估这种权衡。这里，假阳性率Pfp是从不同图像恢复的秘密信息被识别为相同的概率，而假阴性率Pfn是从攻击前后的图像恢复的秘密信息被识别为不同的概率P_fp和P_fn分别在（23）和（24）JPEG压缩（JPEG）质量因子={50，70，90}高斯噪声（GN）均值= 0;方差= {0.001，0.005}椒盐噪声（SN）均值= 0;方差={0.001，0.005}PNfpNtdð23Þ散斑噪声（SPN）均值= 0;方差= {0.001，0.005}高斯滤波（GF）窗口={3×3，5×5}中值滤波（MF）窗口={3× 3，5× 5}PfnNfn¼Ntsð24Þ平均滤波（AF）窗口={3×3，5×5}伽马变换（GT）c= {0.8，1.2}其中，Nfp是in-ter_BER低于阈值T的秘密信息对的数量，Ntd表示组合的X. Liu，Z.Li，J.Ma等人沙特国王大学学报表24478ImageNet上各种方法的平均intra_BER。粤ICP备05016666号-1电话：+86-21 -8888888传真：+86-21 - 88888888电话：+86-510 - 8888888传真：+86-510 - 8888888电话：+86-510- 8888888传真：+86-510 - 8888888Copyright ©2018 - 2019 www.cnjs.com版权所有电话：+86-021 - 8888888传真：+86-021 - 8888888粤ICP备16016888号-1平均值0.1372 0.1340 0.1541 0.1091 0.0251表3各种方法在Web图像上的平均intra_BER粤ICP备05016888号-1电话：+86-21 -5555555传真：+86-21 - 55555555电话：+86-510-8888888传真：+86-510 - 8888888电话：+86-510 - 8888888传真：+86-510 - 8888888电话：+86-510 - 8888888传真：+86-510 - 8888888电话：+86-021 - 8888888传真：+86-021 - 8888888电话：+86-021 - 8888888传真：+86-021 - 8888888平均值0.1274 0.1324 0.1353 0.0973 0.0227从候选图像中提取的所有秘密信息对的数量，Nfn是具有高于阈值T的intra_BER值的秘密信息的量，并且Nts是秘密信息的量。阈值T由P fp或P fn确定。根据假阳性率和假阴性率的定义，Pfp和Pfn越小，鲁棒性和可验证性之间的权衡越好。在我们的实验中，阈值T由Pfp确定。对于这两个数据集，Pfp被设置为0.1%以保证高可重复性的图像特征，并计算Pfn来评估各种攻击下的整体性能。通过使用MEAN计算的P fn结果（Zhou等人，2015）、DCT（Zhang等人， 2018）、DWT （ Liu 等 人 ， 2020 ） ; MSB （ Yang 等 人 ， 2020 ） 和 我 们 在ImageNet和Web图像数据集上提出的方案分别在表5和表6中呈现。根据表5和表6，我们方法的Pfn平均值在ImageNet和web图像数据集上分别仅为0.36%和0.56%，显著小于攻击平均值（Zhou等人，（2015年）DCT（Zhang等人， 2018年）DWT（Liu等人， 2020年）MSB（Yang等人， 2020年）我们的方法RT 500.47300.47420.47020.33970.0250RT 700.55780.49500.55120.37030.0277RT 900.60340.52860.59090.38110.0358RT 1350.56380.49870.58590.45400.0363RT 1800.56610.54260.57920.47170.0414EC 10%0.07860.05130.20850.03500.0126EC 20%0.16380.07850.24000.06720.0484FL水平0.25790.57410.19640.18480.0271FL垂直0.52110.40450.55770.44660.0268JPEG 500.00120.00500.00790.00310.0134JPEG 700.00100.00360.00520.00240.0115JPEG 900.00070.00240.00340.00130.0074GN 0.0010.00140.00460.00600.00360.0151GN 0.0050.00310.00910.01070.00710.0307SPN 0.0010.00080.00240.00320.00120.0083SPN 0.0050.00120.00460.00600.00350.0167SN 0.0010.00110.00350.00400.00240.0115SN 0.0050.00270.00670.00730.00400.0195GF 3× 30.00080.00210.00250.00170.0167攻击平均值（Zhou等人，（2015年）DCT（Zhang等人， 2018年）DWT（Liu等人， 2020年）MSB（Yang等人， 2020年）我们的方法RT 500.44780.47130.43370.31640.0270RT 700.51930.49390.50360.33880.0331RT 900.55800.52470.54480.35650.0406RT 1350.51750.49320.53080.37290.0476RT 1800.51650.53250.53890.38840.0513EC 10%0.06350.04230.11970.01810.0042EC 20%0.13430.07690.15160.03550.0358FL水平0.30530.57370.29120.27510.0415FL垂直0.45980.43080.49200.36310.0288JPEG 500.00150.00250.00880.00240.0098JPEG 700.00080.00170.00570.00180.0064JPEG 900.00050.00110.00450.00110.0050GN 0.0010.00080.00230.00730.00270.0096GN 0.0050.00250.00470.01290.00530.0189SPN 0.0010.00050.00150.00630.00110.0060SPN 0.0050.00030.00160.00880.00270.0084SN 0.0010.00050.00070.00520.00180.0071SN 0.0050.00150.00130.00680.00310.0108GF 3× 30.00030.00030.00240.00160.0127X. Liu，Z.Li，J.Ma等人沙特国王大学学报表44479Nci对于各种方法，小于0.05的Inter_BER值的数量的比率数据集类别均值（Zhou等人， 2015）DCT（Zhang等人， 2018）DWT（Liu等人， 2020）MSB（Yang等人， 2020）我们的方法ImageNetC11.83 × 10 -23.25 × 10 -41.65 × 10 -41.44 × 10 -38.30× 10 -5C2 1.47× 10-2 5.62× 10-4 6.08× 10-4 2.37× 10-3 1.67× 10-5C3 2.15× 10-2 6.95× 10-4 2.14× 10-3 2.28× 10-3 4.17× 10-5C4 1.26× 10-2 1.85× 10-4 6.01× 10-6 4.92× 10-4 2.41× 10-6C5 3.32× 10-2 4.74× 10-4 2.47× 10-3 8.07× 10-3 7.12× 10-6平均值2.01×10-2 4.48×10-4 1.08×10-3 2.93×10-3 3.02×10-5网站图片C1 2.05× 10-2 6.33× 10-4 9.62× 10-4 1.92× 10-3 3.21× 10-4C2 2.08× 10-2 1.96× 10-3 4.89× 10-4 1.87× 10-3 4.57× 10-4C3 1.69× 10-2 3.66× 10-3 3.46× 10-3 2.67× 10-3 1.53× 10-3C4 3.49× 10-2 1.15× 10-3 1.72× 10-3 7.35× 10-3 1.08× 10-3C5 1.77× 10-2 2.81× 10-4 2.60× 10-3 2.17× 10-3 7.21× 10-5平均值2.22× 10 -21.54 × 10 -31.85 ×10 -33.20 × 10 -36.93× 10 -4表5Pfn，Pfp= 0.1%，在MEAN，DCT，DWT，MSB和我们提出的方法在ImageNet上的不同攻击下。攻击平均值（Zhou等人， 2015）DCT（Zhang等人， 2018）DWT（Liu等人， 2020）MSB（Yang等人， 2020）我们的方法RT 5089.31%96.51%95.71%92.01%0.08%RT 70 93.81% 97.18% 98.32% 92.21% 0.15%RT 90 95.3