Цифровой водяной знак – скрытая метка, внедряемая в видеозапись, аудиосигнал, изображение, документ или файл. Такие метки обычно применяются для защиты от копирования, обеспечения целостности (deepfake detection), определения источника распространения (fingerprinting). Алгоритмы нанесения водяных знаков оценивают по следующим характеристикам:
- Надежность – устойчивость алгоритма к естественным или злонамеренным искажениям водяного знака;
- Незаметность – различимость водяного знака посредством органов чувств человека (например, визуальная заметность) или методами стегоанализа;
- Емкость – количество информации, содержащейся в водяном знаке.
В каждом случае конкретном случае алгоритм маркирования (внедрение и извлечение водяного знака) – это баланс между перечисленными свойствами: повышение надежности сопровождается уменьшением незаметности, повышение незаметности как правило уменьшает надежность и т.д. Помимо решения уже классических задач по защите документов от анонимных утечек при выводе на экран или при печати наша команда развивает новые направления по внедрению водяных знаков в наборы данных, нейросетевые модели, синтезируемый контент:
| Защита обучающих наборов данных | Обучающие наборы данных для современных нейросетей имеют высокую ценность для составителей. Подобные датасеты могут содержать приватные данные или являться конкурентным преимуществом при обучении ИИ-системы. Утечка обучающего набора данных может повлечь значительные потери для разработчика. Один из методов защиты обучающих наборов данных – внедрение водяных знаков или адаптированных методов, которые используют полезные свойства backdoor-атак. |
| Защита нейросетевых моделей | Обучение глубоких нейронных сетей требует значительного количество человеко-часов, вычислительных и денежных ресурсов. Защита прав собственности таких моделей является важной задачей. Непосредственными угрозами являются: несанкционированное использование обученной модели для обучения другой модели (дистилляция) или использование модели с целью получения выгоды. Разрабатываются методы защиты нейронных сетей – посредством внедрения цифрового водяного знака непосредственно в веса глубокой нейронной сети или методов, основанных на backdoor-атаках. |
| Маркировка синтезируемого контента | В последние годы наблюдается лавинообразный всплеск интереса к генеративным нейросетям ( Stable Diffusion, Midjourney, ChatGPT и другие). Возможность генерировать реалистичный контент создает новые социальные угрозы: синтез правдоподобных ненастоящих новостей; создание реалистичных deepfake изображений, видео, аудио. Одной из возможных мер по защите или уменьшению урона от подобного рода контента является внедрение водяных знаков в контент, производимый ИИ-системами. |
| Защита документов на экране монитора | Для противодействия утечкам в крупных организациях традиционно применяются DLP-системы. Однако системы данного типа беспомощны перед утечками, если данные покинули защищаемый контур. Одна из наиболее серьезных угроз – фотографирование экрана монитора с отображенным конфиденциальным документом. В разработанном продукте данная проблема решается при помощи наложения поверх всех окон полупрозрачного окна неравномерной яркости. Метка уникальна для каждого пользователя и позволяет по фотографии определить монитор пользователя, что был сфотографирован. |
| Защита документов при печати | Другой канал утечек, не защищаемый классическими DLP-системами, это физические копии документов. Инсайдер может сфотографировать распечатанный документ на мобильный телефон или отсканировать его. Разработанный продукт включает технологию защиты выводимых на печать документов при помощи структурных водяных знаков. |