杭电新闻

近日，我校网络空间安全学院乔通老师团队以杭州电子科技大学为第一单位的论文《Scalable Universal Adversarial Watermark Defending against Facial Forgery》被《IEEE Transactions on Information Forensics and Security》（IEEE TIFS）录用发表。IEEE TIFS是网络安全领域的国际顶级期刊，中国计算机学会（CCF）推荐A类期刊，中国密码学会（CACR）推荐A类期刊，中国科学院SCI一区TOP期刊。该项研究依托浙江省国际科技合作载体“浙江-法国数字媒体取证联合实验室”，由杭州电子科技大学、法国特鲁瓦科技大学和数学工程与先进计算国家重点实验室等国内外高校合作完成。

近年来，随着生成式人工智能的迅速发展，人脸伪造技术取得了显著进步。凭借其强大的编辑能力和逼真的生成效果，人脸伪造技术在社交网络中引发了广泛关注。与此同时，深度人脸伪造所带来的安全威胁也逐渐凸显。为此，针对人脸伪造的“事后鉴别”（即被动取证）方法大量涌现，其原理如图1(a)所示。但随着网络的普及、移动终端的广泛使用以及伪造技术的不断迭代创新，被动取证技术由于其“被动”属性，难以及时、有效地遏制伪造人脸图像的传播。为此，主动防御方法应运而生，由于其“事前防御”的属性（如图1(b)所示），得到越来越多的学者关注。然而，目前大多数主动防御方法只能针对单一或特定的几种伪造模型进行防御（如图2(a)(b)所示），缺乏防御的可扩展性，面对日益多样化和推陈出新的人脸伪造技术，无法高效扩展防御能力。

为了解决上述问题，团队提出了一种可扩展通用对抗性（Scalable Universal Adversarial , SUA）水印，通过有效继承预水印并且根据新伪造模型对水印进行微调，完成水印防御范围的高效扩展。具体来说，如图2(c)(d)所示，引入了一种水印扩展流程，包括继承、防御和约束步骤，考虑了已知和未知预水印两种实际应用场景。具体来说，在继承步骤，所提方法可以完美继承预水印的防御能力，即使先前的伪造模型未知，继承步骤也可以保证对先前伪造模型的防御能力；在防御步骤中，无需基于所有伪造模型进行重新训练，扩展了预水印的防御范围，能够防御新的伪造模型；在约束步骤中，缓解了由于多重防御带来的冲突，达到了针对先前伪造模型和新伪造模型防御能力之间的平衡。最后，在各种基准数据集上的大量实验验证了SUA水印的优越性能。实验结果表明，在消耗更少计算开销的前提下，SUA水印不仅有效扩展了主动防御范围，还显著提高了主动防御效果。

“浙江-法国数字媒体取证联合实验室”主任为乔通副教授，该实验室依托我校网络空间安全学院，联合法国著名工程师大学特鲁瓦科技大学，共同开展国际合作研究。联合实验室研究团队长期专注于媒体内容鉴伪、数据追踪溯源、数字版权保护、隐蔽通信与检测等前沿问题，已在IEEE TPAMI、IEEE TIFS、IEEE TDSC、IEEE TMM、IEEE TCSVT 、IEEE TCDS、ACM TOMM、电子学报等国内外高质量学术期刊和会议上发表70余篇相关学术论文。