基于盲水印的深度神经网络模型知识产权保护框架
发布时间:2021-04-05 04:35
在过去的十年中,深度学习技术在计算机视觉、机器翻译和自动驾驶等各种具有挑战性的任务中均取得了巨大的进展。深度神经网络(DNN)作为深度学习技术的关键组成部分,在其发展的过程中起着至关重要的作用,大多数主要的科技公司都将深度神经网络作为关键组件来构建其人工智能产品和服务。虽然深度神经网络的应用极大地促进了该领域的发展,但构建深度神经网络模型却需要我们付出巨大的代价:大规模带标签的数据集、大量的计算资源以及高度专业的领域知识。因此我们认为模型所有者拥有模型的知识产权,设计一种保护深度神经网络模型的知识产权并允许所有者对其版权进行外部验证的技术至关重要。为了保护模型版权,研究者们将已被广泛用于保护多媒体知识产权的数字水印引入到深度学习领域。然而,这些水印与正常样本的特征分布存在显著差异,导致这些研究要么未能抵御逃逸攻击,要么没有明确处理敌手的欺诈性所有权主张。此外,他们不能在模型和所有者的身份之间建立明确的联系。为了解决这些问题,本文提出了一种基于盲水印的深度神经网络模型知识产权保护框架。该框架以正常样本和专属标志(LOGO)作为输入,生成关键样本作为水印,再通过分配特定标签将这些水印注入到...
【文章来源】:山东大学山东省 211工程院校 985工程院校 教育部直属院校
【文章页数】:70 页
【学位级别】:硕士
【部分图文】:
图1-丨深度学习技术无处不在??
山东大学硕士学位论文??版权保护框架。尽管,当前学术界存在许多先进的知识产权保护机制和框架,??但是这些方法在安全和法律层面上的应用和体现却是薄弱的。换句话说,将数??字水印保护技术扩展到深度学习领域仍处于初期发展时期。??1.2研究现状??图1-2展示了当前研究工作中的水印效果。Uchida等人[27]第一次提出了在??深度神经网络模型中嵌入水印的通用框架,保护经过训练后所获得的模型的版??权。研宄者们首先为在模型中嵌入水印定义了需求、嵌入情况和攻击类型。其??次,研究者们提出了使用参数正则化的方法将水印嵌入模型参数中的通用框架。??这种通用框架能够在不会损害嵌入水印的模型的性能前提下,实现水印的有效??嵌入,揭示了向深度神经网络嵌入水印存在巨大的潜力。尽管这项工作是对深??度神经网络模型嵌入水印的首次尝试,可以说是一种巨大的飞跃,但是存在一??个明显的限制是:将水印嵌入到神经网络模型的权重当中,即是白盒方式。他??们假设模型所有者能够直接访问远程可疑模型以提取所有网络权重,然后通过??对所提取的网络权重进行一系列的转换和操作,来验证最终的结果是否和预先??定义的参数一致。如果验证结果一致,则说明远端可疑模型属于模型所有者。??然而这却是不符合实际的一一模型盗取者通常把非法的深度神经网络模型部署??在远端来提供线上服务,模型所有者只能够发送图像到远端的模型来获得模型??的预测标签,模型所有者根本无法直接访问到模型的内部权重,也就是说,??Uchida等人提出的通用框架在实际中并不能使用,无法实现保护模型版权的目??标。??——IF?MM?V??(a)基础?(b)字符?(c)图形?<d)心形?(e)数宇?(
建立明确的关联,包括上述方法??[1][23][27】都存在这样的问题。??主要挑战:为了保持模型所有者在商业竞争中的经济优势,如何设计一种??可靠的技术来验证部署在远端的深度学习模型的知识产权所属,己经成为一个??迫切需要解决的问题。通过我们对数字水印在深度学习领域的初步应用的阐述,??可以发现当前,尽管己经存在一些保护模型版权的方法和技术,但是这些版权??保护方法并不能很好地保护深度神经网络模型的知识产权。为了更好地说明需??要提出一个新型的深度神经网络模型知识产权保护机制,如图1-3,本小节将对??数字水印在深度学习领域的应用所遇到的主要挑战进行详细的介绍一一逃逸攻??击和欺诈性所有权攻击。同时,克服这些挑战也是我们这项工作的主要研究动??机。????^?出售?'??所有者??:^?购买者??J?V???>??1??二次出售/盗取??i|??伪造者’?盗取者??」?V?」??图1-3安全性和合法性的威胁??模型盗取者发起的逃逸攻击:假设存在一个模型所有者,一个模型盗取者??和一个模型购买者。两种可能的情形可能会导致逃逸攻击的发生:(1)模型盗??取者以某种方式盗取了模型;(2)模型购买者未经模型所有者的许可将购买的??模型转售给了盗取者。这两种行为均会对模型所有者的商业利益构成损害。如??果模型能够被成功地嵌入水印,则模型所有者则可以通过向远端可疑模型发送??数字水印的预测标签查询,如果远端可疑模型的预测标签以较高的准确率符合??所有者针对这些水印预先定义的特定标签,则可说明模型所有者成功地验证了??远端可疑模型的所有权。??为了逃避所有者的版权验证,模型盗取者将会尝试构建
本文编号:3119148
【文章来源】:山东大学山东省 211工程院校 985工程院校 教育部直属院校
【文章页数】:70 页
【学位级别】:硕士
【部分图文】:
图1-丨深度学习技术无处不在??
山东大学硕士学位论文??版权保护框架。尽管,当前学术界存在许多先进的知识产权保护机制和框架,??但是这些方法在安全和法律层面上的应用和体现却是薄弱的。换句话说,将数??字水印保护技术扩展到深度学习领域仍处于初期发展时期。??1.2研究现状??图1-2展示了当前研究工作中的水印效果。Uchida等人[27]第一次提出了在??深度神经网络模型中嵌入水印的通用框架,保护经过训练后所获得的模型的版??权。研宄者们首先为在模型中嵌入水印定义了需求、嵌入情况和攻击类型。其??次,研究者们提出了使用参数正则化的方法将水印嵌入模型参数中的通用框架。??这种通用框架能够在不会损害嵌入水印的模型的性能前提下,实现水印的有效??嵌入,揭示了向深度神经网络嵌入水印存在巨大的潜力。尽管这项工作是对深??度神经网络模型嵌入水印的首次尝试,可以说是一种巨大的飞跃,但是存在一??个明显的限制是:将水印嵌入到神经网络模型的权重当中,即是白盒方式。他??们假设模型所有者能够直接访问远程可疑模型以提取所有网络权重,然后通过??对所提取的网络权重进行一系列的转换和操作,来验证最终的结果是否和预先??定义的参数一致。如果验证结果一致,则说明远端可疑模型属于模型所有者。??然而这却是不符合实际的一一模型盗取者通常把非法的深度神经网络模型部署??在远端来提供线上服务,模型所有者只能够发送图像到远端的模型来获得模型??的预测标签,模型所有者根本无法直接访问到模型的内部权重,也就是说,??Uchida等人提出的通用框架在实际中并不能使用,无法实现保护模型版权的目??标。??——IF?MM?V??(a)基础?(b)字符?(c)图形?<d)心形?(e)数宇?(
建立明确的关联,包括上述方法??[1][23][27】都存在这样的问题。??主要挑战:为了保持模型所有者在商业竞争中的经济优势,如何设计一种??可靠的技术来验证部署在远端的深度学习模型的知识产权所属,己经成为一个??迫切需要解决的问题。通过我们对数字水印在深度学习领域的初步应用的阐述,??可以发现当前,尽管己经存在一些保护模型版权的方法和技术,但是这些版权??保护方法并不能很好地保护深度神经网络模型的知识产权。为了更好地说明需??要提出一个新型的深度神经网络模型知识产权保护机制,如图1-3,本小节将对??数字水印在深度学习领域的应用所遇到的主要挑战进行详细的介绍一一逃逸攻??击和欺诈性所有权攻击。同时,克服这些挑战也是我们这项工作的主要研究动??机。????^?出售?'??所有者??:^?购买者??J?V???>??1??二次出售/盗取??i|??伪造者’?盗取者??」?V?」??图1-3安全性和合法性的威胁??模型盗取者发起的逃逸攻击:假设存在一个模型所有者,一个模型盗取者??和一个模型购买者。两种可能的情形可能会导致逃逸攻击的发生:(1)模型盗??取者以某种方式盗取了模型;(2)模型购买者未经模型所有者的许可将购买的??模型转售给了盗取者。这两种行为均会对模型所有者的商业利益构成损害。如??果模型能够被成功地嵌入水印,则模型所有者则可以通过向远端可疑模型发送??数字水印的预测标签查询,如果远端可疑模型的预测标签以较高的准确率符合??所有者针对这些水印预先定义的特定标签,则可说明模型所有者成功地验证了??远端可疑模型的所有权。??为了逃避所有者的版权验证,模型盗取者将会尝试构建
本文编号:3119148
本文链接:https://www.wllwen.com/falvlunwen/zhishichanquanfa/3119148.html
教材专著
