Decoupling Defense Strategies for Robust Image Watermarking

Het paper introduceert AdvMark, een tweestapsraamwerk dat de verdedigingsstrategieën voor diep leergebaseerde watermerken ontkoppelt om zowel de schone nauwkeurigheid te behouden als de robuustheid tegen adversariële, vervormings- en regeneratie-aanvallen aanzienlijk te verbeteren.

De kern

Titel: Hoe je een onzichtbaar, onvernietigbaar watermerk op je foto's plakt (Zonder de foto te bederven)

Stel je voor dat je een heel waardevol schilderij hebt. Je wilt er een onzichtbaar merkteken op zetten zodat iedereen weet dat het van jou is, zelfs als iemand het probeert na te maken, te knippen, te vervormen of zelfs te "herverven" met een AI.

Vroeger was dit lastig. De methoden die bestonden, waren als een slechte slotmaker:

1. Of ze maakten het slot zo sterk dat het niet meer open ging (je kon de foto niet meer goed bekijken).
2. Of ze waren sterk tegen één soort dief (bijv. iemand die de foto inkleurt), maar zwak tegen een andere (bijv. iemand die de foto in een AI-herhalingssysteem stopt).

De onderzoekers van dit paper (Chen et al.) hebben een slimme nieuwe aanpak bedacht, genaamd AdvMark. Ze noemen het "ontkoppelen" van verdediging. Laten we het uitleggen met een verhaal.

Het Probleem: De "Alles-in-één" Fout

Stel je voor dat je een slot maakt voor je huis. Je probeert het slot zo te ontwerpen dat het bestand is tegen:

• Een inbreker met een breekijzer (vervorming).
• Een inbreker die het slot probeert te hacken met een computer (adversariale aanval).
• Een inbreker die je hele huis afbreekt en opnieuw opbouwt (AI-hergeneratie).

Als je probeert één slot te maken dat alles tegenhoudt, krijg je vaak een slot dat ofwel te zwaar is om te openen (je foto ziet er wazig uit), ofwel dat het tegen het breekijzer werkt, maar niet tegen de hacker.

De Oplossing: AdvMark (Twee Stappen)

AdvMark zegt: "Laten we niet proberen alles in één keer op te lossen. Laten we het in twee stappen doen."

Stap 1: De "Onaanraakbare Zone" (Tegen hackers)

In de eerste stap kijken ze alleen naar de encoder (de machine die het watermerk in de foto stopt).

• De Analogie: Stel je voor dat je een bal (je foto) op een helling plaatst. Hackers proberen de bal naar beneden te duwen naar een "valkuil" waar het watermerk verdwijnt.
• De Slimme Move: In plaats van de valkuil te dichten (wat de foto zou verstoren), duwen ze de bal gewoon naar het hoogste punt van de heuvel. Van daaruit is het voor de hacker bijna onmogelijk om de bal naar beneden te duwen, omdat de helling te steil is.
• Resultaat: De foto ziet er nog steeds perfect uit (geen vervorming), maar hackers kunnen het watermerk niet meer "weghacken". Ze hebben de decoder (de lezer) bijna niet aangepakt, zodat de foto niet kapot gaat.

Stap 2: De "Kunstzinnige Reparatie" (Tegen vervorming en AI)

Nu hebben we een foto die veilig is tegen hackers, maar misschien nog kwetsbaar is als iemand de foto inkleurt, verkleint of door een AI laat "dromen" (hergenereren).

• De Analogie: Stel je voor dat je de bal nu een beetje hebt verschoven om hem veilig te houden, maar hij zit nu net niet meer op de perfecte plek voor de rest van de wereld.
• De Slimme Move: Ze nemen de foto en passen hem heel voorzichtig aan, alsof je een schilderij een beetje bijwerkt. Ze gebruiken een speciale "veiligheidsregel" (een wiskundige formule).
  • Deze regel zegt: "Je mag de foto aanpassen om hem sterker te maken tegen vervorming, MAAR je mag niet verder weg komen dan de plek waar hij in Stap 1 stond."
• Resultaat: De foto wordt nu ook bestand tegen AI-hergeneratie en compressie, maar omdat ze de "veiligheidsregel" gebruiken, blijft het watermerk dat ze in Stap 1 hebben gelegd, veilig zitten.

Waarom is dit zo speciaal?

1. Geen "Slecht Slot": Oude methoden maakten de foto vaak wazig om hem veilig te maken. AdvMark houdt de foto kristalhelder (zoals een nieuwe foto).
2. De "Onmogelijke" Dief: Ze testen het tegen de nieuwste, slimste dieven:
   • Mensen die de foto inkleuren of verkleinen (vervorming).
   • Mensen die AI gebruiken om de foto te "herdromen" (regeneratie).
   • Mensen die microscopische veranderingen maken die voor het oog onzichtbaar zijn, maar het watermerk vernietigen (adversariaal).
3. Het Resultaat: AdvMark wint op alle fronten. Het is tot 46% beter dan de beste oude methoden en de foto's zien er nog steeds prachtig uit.

Samenvattend

In plaats van te proberen één super-schutsluit te bouwen die alles tegenhoudt (en daardoor faalt), bouwen ze een twee-laags verdediging:

1. Eerst zetten ze het watermerk op een plek waar hackers het niet kunnen bereiken (zonder de foto te beschadigen).
2. Daarna maken ze de foto zelf zo sterk mogelijk tegen vervorming, maar houden ze strikt in de gaten dat ze niet terug naar de kwetsbare plek van stap 1 zakken.

Het is alsof je je huis niet alleen vergrendelt met een onbreekbaar slot, maar het ook bouwt op een eiland waar de dief simpelweg niet kan komen, terwijl je het huis zelf nog steeds comfortabel en mooi bewoonbaar houdt.

Technische samenvatting

Titel: Decoupling Defense Strategies for Robust Image Watermarking

Auteurs: Jiahui Chen et al. (Tsinghua University, Swinburne University of Technology, Australian National University)

---

1. Het Probleem

Diep leernetwerkgebaseerde beeldwatermerking is doorgaans robuust tegen conventionele vervormingen (zoals JPEG-compressie), maar blijft kwetsbaar voor geavanceerde aanvallen, specifiek:

1. Adversariële aanvallen: Minimalisatie van waarneembare wijzigingen om de decoder te misleiden.
2. Regeneratie-aanvallen: Het gebruik van generatieve modellen (zoals Stable Diffusion) om het watermerk te verwijderen door de semantische inhoud te reconstrueren.
3. Vervormingsaanvallen: Traditionele transformaties zoals ruis en blur.

Bestaande methoden gebruiken vaak een gezamenlijke optimalisatie (Joint Adversarial Training - JAT) van zowel de encoder als de decoder via een ruislaag om deze aanvallen te simuleren. Het paper identificeert twee kritieke tekortkomingen in deze aanpak:

• Daling van de "Clean Accuracy": Het trainen van de decoder met adversariële voorbeelden verstoort de besluitvormingsgrens, wat leidt tot een lagere nauwkeurigheid op niet-aangevallen (schone) beelden.
• Beperkte Robuustheid door Gelijktijdige Training: Het proberen om één model te trainen om alle drie de soorten aanvallen (vervorming, regeneratie, adversariële) tegelijkertijd te verdedigen, resulteert in een inefficiënte convergentie en suboptimale prestaties voor elke individuele aanval.

---

2. Methodologie: AdvMark

Om deze problemen op te lossen, stellen de auteurs AdvMark voor, een nieuw twee-staps fijnafstelframework dat de verdedigingsstrategieën ontkoppelt.

Fase 1: Adversariële Encoder Fijnafstelling (Encoder Fine-Tuning)

In deze fase wordt de focus gelegd op het bestrijden van adversariële aanvallen zonder de schoonheid van het watermerk op schone beelden te compromitteren.

• Strategie: In plaats van de decoder agressief aan te passen (wat de clean accuracy verlaagt), wordt voornamelijk de encoder fijnafgesteld.
• Mechanisme: De encoder wordt getraind om afbeeldingen naar een "niet-aanvalbare" regio (het centrum van de watermerk-domein) te verplaatsen, in plaats van de beslissingsgrens uit te breiden.
• Conditionele Decoder Update: De decoder wordt alleen bijgewerkt als de bit-nauwkeurigheid op een vooraf bepaald drempelwaarde daalt. Dit garandeert dat de clean accuracy behouden blijft.
• Verliesfunctie: Een aangepaste loss wordt gebruikt die de encoder dwingt om het gedecodeerde bericht te laten convergeren naar het echte bericht, zelfs onder adversariële perturbatie.

Fase 2: Kwaliteitsbewuste Beeldoptimalisatie (Quality-aware Image Optimization)

In deze fase worden vervormings- en regeneratie-aanvallen aangepakt door de gegenereerde watermerkbild direct te optimaliseren.

• Directe Optimalisatie: In plaats van de netwerken opnieuw te trainen, wordt de gegenereerde afbeelding $x_{w2}$ direct geoptimaliseerd om robuust te zijn tegen JPEG, ruis, en regeneratie.
• Behoud van Adversariële Robuustheid: Om de robuustheid behaald in Fase 1 niet te verliezen, wordt een geconstrueerde beeldloss geïntroduceerd. Deze loss straft afwijkingen van de in Fase 1 gegenereerde afbeelding ($x_{w1}$) af.
  • Theoretische Garantie: Een stelling (Theorem 1) garandeert dat als de afstand tussen de originele en de geoptimaliseerde afbeelding binnen een bepaalde grens blijft, de adversariële robuustheid behouden blijft.
• Kwaliteitsbewuste Vroegtijdige Stop: In plaats van een standaard $\epsilon$-bol projectie, gebruiken de auteurs een kwaliteitsbewuste early-stop gebaseerd op de PSNR (Peak Signal-to-Noise Ratio). De optimalisatie stopt zodra de visuele kwaliteit onder een bepaalde drempel zakt, wat zorgt voor de hoogst mogelijke visuele kwaliteit binnen de robuustheidsgrenzen.

---

3. Belangrijkste Bijdragen

1. Systematische Evaluatie: Het paper is de eerste die bestaande watermerkingssystemen systematisch evalueert tegen een combinatie van vervormings-, regeneratie- en adversariële aanvallen, en de beperkingen van gezamenlijke training blootlegt.
2. AdvMark Framework: Een twee-staps methode die de verdediging ontkoppelt:
   • Fase 1: Encoder-fijnafstelling voor adversariële weerbaarheid met behoud van clean accuracy.
   • Fase 2: Directe beeldoptimalisatie voor vervormings- en regeneratieweerbaarheid.
3. Theoretisch Onderbouwde Loss: Een nieuwe geconstrueerde loss-functie met wiskundige garanties om de adversariële robuustheid te behouden tijdens de beeldoptimalisatie.
4. Verbeterde Optimalisatie: Een kwaliteitsbewuste variant van de PGD (Projected Gradient Descent) optimalisatie die visuele kwaliteit prioriteert.

---

4. Resultaten

De auteurs hebben uitgebreide experimenten uitgevoerd op datasets zoals MS-COCO en DiffusionDB, vergeleken met 9 bestaande methoden (o.a. MBRS, HiDDeN, Stable Signature) tegen 10 verschillende aanvallen.

• Nauwkeurigheidswinst: AdvMark toont aanzienlijke verbeteringen in bit-nauwkeurigheid:
  • Tot 29% verbetering tegen vervormingsaanvallen (zoals JPEG).
  • Tot 33% verbetering tegen regeneratie-aanvallen (Stable Diffusion).
  • Tot 46% verbetering tegen adversariële aanvallen (WEvade).
• Visuele Kwaliteit: AdvMark behaalt de hoogste beeldkwaliteit onder alle methoden, gemeten in PSNR, SSIM en LPIPS. Bijvoorbeeld, een PSNR van 37.0-38.9, wat aanzienlijk hoger is dan concurrenten zoals MBRS (32.1) of HiDDeN (30.3).
• Clean Accuracy: In tegenstelling tot JAT-methoden, behoudt AdvMark een clean accuracy van bijna 1.0 (100%), terwijl concurrenten vaak dalen tot 0.94 of lager.
• Efficiëntie: Hoewel er een optimalisatiefase is, is de inferentie-tijd real-time en is het geheugengebruik (GPU memory) acceptabel in vergelijking met zware diffusion-modellen zoals VINE.

---

5. Betekenis en Impact

Dit werk is significant omdat het een fundamenteel probleem in de diepe leerwatermerking oplost: de afweging tussen robustheid en visuele kwaliteit/clean accuracy.

• Het demonstreert dat "one-size-fits-all" gezamenlijke training suboptimaal is voor complexe, moderne bedreigingen zoals AI-generatie en adversariële voorbeelden.
• Door de strategieën te ontkoppelen, biedt AdvMark een nieuwe richting voor het ontwerpen van watermerkingssystemen die bestand zijn tegen de snel evoluerende landschap van AI-aanvallen, zonder in te leveren op de kwaliteit van de inhoud.
• De methode biedt een praktische oplossing voor het traceerbaar maken van AI-gegenereerde content (AIGC) en het beschermen van intellectueel eigendom in een omgeving waar generatieve modellen (zoals Stable Diffusion en Sora) watermerken kunnen verwijderen.