加利福尼亚大学(尔湾)等提出 Nasty Teacher,避免模型“被蒸馏”,加强知识产权保护(ICLR 2021)...

最新推荐文章于 2022-12-31 18:14:08 发布
最新推荐文章于 2022-12-31 18:14:08 发布
阅读量1k 收藏 3
点赞数
文章标签: 机器学习 人工智能 深度学习 计算机视觉 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moxibingdao/article/details/122593165
版权

关注公众号,发现CV技术之美

本文分享ICLR 2021论文『Undistillable: Making A Nasty Teacher That CANNOT teach students』,提出一种防止模型被蒸馏窃取的Nasty Teacher,为知识产权的保护提供了一种新思路。

详细信息如下:

a77f930b6506647ff1b0d1996ecf8ac7.png

  • 论文链接:https://openreview.net/forum?id=0zvfm-nZqQs

  • 项目链接:https://github.com/VITA-Group/Nasty-Teacher

      01      

Introduction

知识蒸馏是一种模型压缩的常用手段,其通过将预训练好的教师模型的知识迁移到更轻量级的学生模型上,使学生模型能达到甚至超越老师模型的性能,从而达到无损模型压缩的效果。

然而该技术一旦被居心不良者使用,可以轻易盗取研究者花很多时间、精力和设备训练好的模型被轻易复刻,从而导致知识产权(Intellectual Properties)被侵犯。

因此本文设计了一种Nasty Teacher,使其正常使用时性能保持不变,而在被知识蒸馏时得到的学生模型性能很差,从而做到保护模型所有者知识产权的作用。


      02      

Contributions

  • 引入了Nasty Teacher,在不牺牲性能的情况下,防止通过知识蒸馏的方式导致的知识泄漏和未经授权的模型克隆。作者认为这是迈向机器学习知识产权和隐私保护的第一步。

  • 作者提出了一个简单而高效的算法,叫做self-undermining knowledge distillation,模型通过最大化Nasty Teacher和正常训练的对手之间的差异来优化。 

  • 我们在标准的知识蒸馏和 data-free的知识蒸馏方法上进行了广泛的实验,证明Nasty Teacher可以达到几乎相同的准确性(不到1%的准确性差距),而从Nasty Teacher学习的学生模型将降低准确度高达10%以上,甚至在训练过程中出现分歧。

      03      

Methodology


Revisiting Knowledge Distillation

Knowledge Distillation是由Hinhon等人提出的,被广泛应用的一种模型压缩手段。其训练的优化目标如下:

其中和分别是KL散度和交叉熵损失,和分别表示老师和学生模型,该式旨在让学生模型学习老师模型的logit和ground true labels。并使用了softmax temperature 。logit是老师模型输出的对于各个类别的概率预测值。

学习logit的一个非常感性的认知是:除了正例GroundTruth之外,负例也携带了很多有价值的信息。比如说:我们针对MNIST分类中,0~9的数字中,7和1写起来很像,但是7和5就很不像,GroundTruth只告诉了我们,这个图片是7,但是logit还告诉了我们:这个图片大概率是7,小概率是1,几乎不太像其他数字。这其中携带了的信息量,也就是我们希望学生模型通过知识蒸馏学到的。 

Nasty Teacher 

这里将介绍Nasty Teacher的优化函数设计,其旨在保证模型精度的条件下最大化对抗网络(攻击者使用的学生模型)和Nasty Teacher的KL散度,那么下式就很容易理解了:


      04      

Experiments


281350e6ff23a3a799093b232d6ba5c1.png

上表展示了正常老师模型和Nasty Teacher在CIFAR10上的性能比较,可以发现老师模型精度相差较少而根据Nasty Teacher得到的学生模型精度明显比正常老师模型蒸馏出来的精度低。

e429367d1c4b1cc9f5bd8771be7433ed.png

相同的现象也出现在CIFAR100数据集上,在MobilenetV2上模仿Nasty Teacher的学生模型甚至不能训练。

a6f3641b24c564a28f6558994c6dd910.png

相同的现象也出现在Tiny-ImageNet数据集上,可以发现在MobilenetV2上模仿Nasty Teacher的学生模型也不能训练。

8fb17d768498cce919f4ea9e03813d41.png

上图展示了在CIFAR10数据集上,正常老师和Nasty Teacher得到的概率分布的差异,可以看出Nasty Teacher的预测分布有了很大的改变。

ad0af72a4563f353a4f8e78141e6fa8a.png

上图显示了用ResNet18在CIFAR10数据集上的t-SNE可视化结果,可以看出正常老师和Nasty Teacher的可视化效果差不多,这也说明了为什么Nasty Teacher的精度和正常的差不多。

a8ee6abcabcf27f1d9e76fa6d6175f1d.png

上表展示了攻击者和Nasty Teacher采用不同的模型结构的性能。

906a37e603efef4d4f6c6b20ae7282ca.png

由于攻击者可能无法拥有老师模型的结构信息,所以有学生模型结构比老师模型复杂的情况出现,上表就针对这种情况进行了对应实验。

875fd603bce14abb8ffb72c854dba142.png

上图展示了Nasty Teacher优化目标中对模型精度的影响曲线。

618acde8de3d06347807415b88a0625b.png

上图展示了温度对模型精度的影响。

900f38d1640b87085e4483468f74bab8.png

上图a探索了攻击者训练学生模型使用不同的效果,可以发现不管如何选择,Nasty Teacher都能有效的防止攻击者蒸馏,相较于较大的,较小的可以相对好的实现对Nasty Teacher的蒸馏窃取。上图b则模拟真实情况下攻击者无法获取全部的训练数据,在此情况下,Nasty Teacher也能有效的防蒸馏窃取。

ae53e692c2036e3c11f8780067611da0.png

上表反映了data-free的知识蒸馏的结果,可以发现Nasty Teacher同样有较好的抵御蒸馏的效果。

88a5143a7ca6494dd191abbb26f5153d.png

最后作者还可视化了基于DeepInversion(一种data-free的知识蒸馏)逆向工程还原出的图片,可以普通ResNet-34生成的图像具有高的视觉保真度,而从Nasty ResNet-34生成的图片中包含了扭曲的噪音,甚至虚假的分类特征。


      05      

Conclusion


本文提出了一种防止模型被蒸馏窃取的Nasty Teacher,为模型部署中知识产权的保护提供了一种新思路。

7ae5ed834c216406baf4c9f035483efc.png

END

欢迎加入「知识蒸馏交流群👇备注:KD

4838a155f94fe3fc60bae6073f8bc8e4.png

我爱计算机视觉
关注
Nasty-Teacher:[ICLR 2021 Spotlight Oral]“不可蒸馏
05-01
坚不可摧:打造一个不能教学生的讨厌的老师 马皓宇,陈天龙,胡婷奎,尤晨宇,谢晓辉,王章阳在ICLR 2021聚光灯下口服 概述 我们提出Nasty Teacher的概念,这是一种防御方法,可防止在不牺牲性能的情况下通过KD防止知识泄漏和未经授权的模型克隆。 我们提出了一种简单而有效的算法,称为自我破坏知识提炼,可以通过自我训练直接构建一个讨厌的老师,不需要额外的数据集或辅助网络。 先决条件 我们使用Pytorch 1.4.0和CUDA 10.1。 您可以使用安装它们 conda install pytorch=1.4.0 torchvision=0.5.0 cudatoolkit=10.1 -c pytorch 它也应该适用于其他Pytorch和CUDA版本。 然后通过安装其他软件包 pip install -r requirements.txt 用法 教师网络 第1步:训练正常的
MIT指出公开预训练模型不能乱用.pdf
最新发布
08-12
但是,最近的一些研究表明,基于大模型的Transfer Learning可能会导致模型失效,例如nasty teacher和badnets等方法。这些方法都是往大模型里添加一些有毒的Bias,从而导致模型崩溃。 MIT的研究员最近发布了一篇论文...
基于继承的知识蒸馏(学生可以优于老师模型),整理中,,,
weixin_45347379的博客
04-24 397
这个是阿里达摩院默照老师的一个分享截图,如有侵权,联系立删 在这里插入图片描述
模型压缩-方案(四):模型蒸馏【先用完整复杂模型基于训练集训练出来一个老师模型,然后设计一个小的学生模型,再固定老师模型的权重参数,然后设计一系列Loss,让学生在蒸馏中的预测精度逐渐逼近老师】
u013250861的博客
03-05 5930
名词解释其中,专门针对Bert模型蒸馏方法有很多,如tinybert,distillBert,pkd-bert等等。下面我就从上述几个角度分别总结一下。主要关注的是将蒸馏方法仅作用在Finetune阶段。经过实验,发现仅在对Finetune后的原始模型进行蒸馏,很难保持原始的精度,或多或少都会有一定程度的精度损失。我们能做的就是在inference性能和inference精度两边做一定的平衡。...
MIT指出公开预训练模型不能乱用
夕小瑶科技说
07-28 964
文 | 林锐众所周知,用 Imagenet 预训练模型做 backbone,再接个下游任务的头去微调,是个简单有效的迁移学习方法。基本上,炼丹师用这种方法就能成功获得一个优秀的模型(水一个实验室的项目)。但是近些年一些论文也论证了基于大模型的迁徙学习能导致模型失效。例如 nasty teacher 在预训练模型里面加点玄学,让别人没法蒸馏你的模型, badnets 往源数...
【学习】evasion attack训练生成器(自动编码器)生成对抗样本、defense、检测对手、Gumbel-Softmax、模仿攻击imitation attack
Raphael9900的博客
12-31 1033
李宏毅机器学习
新视野大学英语读写PPT课件.pptx
10-12
新视野大学英语读写PPT课件.pptx 通过分析给定的PPT课件,我们可以总结出以下几点知识点: 一、语言知识点: * lean vi. 倚靠、倾斜、偏向 * balance n./vt. 镇静、平衡、权衡、比较 * severe a. 严重的、严厉的 ...
英语学习新编大学英语重点词句PPT课件.pptx
10-14
这篇PPT课件是针对新编大学英语的重点词句进行讲解的,主要涵盖了词汇的深层含义、句型结构以及表达方式。以下是对其中关键知识点的详细解析: 1. "more than" 的否定含义:在例句 "More than I realized, Dad has ...
新世纪大学英语综合教程4完整+中文版课后习题答案借鉴.pdf
03-13
语言知识方面,本资源涵盖了词汇的学习和应用,如 monitor、phenomenon、isolation、gradual、opponent、advent、genetic、consciously、extreme、nasty、boom、formal、soar、survey、Similarly、modify、rough 等...
模型蒸馏1
qq_34514046的博客
06-21 3600
两种蒸馏形式:模型蒸馏模型压缩,模型不同,特征相同) 优势特征蒸馏(大模型使用全量特征,适用于模型相同,特征不同)俩种训练方式:pre-train是预先训练teacher网络,然后再训练student网络;co-train则是通过上述介绍的损失对teacher网络和student网络进行联合训练,co-train方式往往训练速度更快,但所需的GPU资源也会更多。蒸馏时的softmax比之前的softmax多了一个参数T(temperature),T越大产生的概率分布越平滑 两种蒸馏的目标函数:1:只使用
关于知识蒸馏,这三篇论文详解不可错过
AI科技大本营
07-28 5511
作者 | 孟让转载自知乎导语:继《从Hinton开山之作开始,谈知识蒸馏的最新进展》之后,作者对知识蒸馏相关重要进行了更加全面的总结。在上一篇文章中主要介绍了attent...
生态学经典:捕食者和被捕食者模型
weixin_45386909的博客
08-02 1万+
Predator-Prey Model 捕食者和被捕食者模型 这是生态学中非常经典的一个模型 假设一个生态系统中有两个物种,其中一个为食草动物,两者分别构成了捕食者和被捕食者。 以兔子和狐狸为例: 引入变量: x(t)x(t)x(t) : 狐狸的数量 y(t)y(t)y(t):兔子的数量 如果没有兔子,狐狸的数量会因为缺少食物而减少 dxdt=−ax,a>0\frac{\mathrm{d}x}{\mathrm{d}t}=-ax,a>0dtdx​=−ax,a>0 事实上,生态系统.
如何破坏双亲委派模型
热门推荐
tinysakura的博客
08-21 1万+
起源来自于网易面试官的一个问题,一个类的静态块是否可能被执行两次。众所周知类加载的初始化阶段会自动收集类中所有类变量的赋值动作与静态语句块中的语句生成一个()方法,这个方法只会被执行一次。因此通常的理解类的静态语句块只会被执行一次。但感觉事情应该不会那么简单,在虚拟机中区分类是由类本身与加载类的类加载器决定的,猜想,同一个类被不同的类加载器加载,会执行两次静态块吗.? 失败的尝试 由于...
LADRC的学习——寻找物理模型被控对象(验证调参效果)
墨心
08-11 5399
LADRC的学习——寻找物理模型被控对象传函 一、前文总结   这篇文章主要寻找英文论文,然后提取里面实际被控对象的物理模型,用LADRC控制器进行控制,然后用三种方法验证其中的控制效果。 这里引用的参考文献为: [1] Bingwei Gao,Junpeng Shao,Xiaodong Yang. A compound control strategy combining velocity co...
模型压缩之知识蒸馏
m0_63642362的博客
12-12 1097
你想让你小模型在满足部署的前提下,进一步提升精度嘛,走过路过不要错过,手把手教你实现模型压缩中的知识蒸馏操作。
特征模型和特征-这是什么?
经纬恒润的官方博客
01-06 2113
“ 大家好,这是【产品线工程(PLE)专题】更新的第四篇,上一篇我们介绍了‘版本、变体和其他的基础定义’,这一篇我们介绍特征模型和特征-这是什么” 非正式地谈论可变性是很有趣的一件事,但最终还是需要以一种“标准”的方式来捕获可变性的信息。在研究和工业界中有很多方法来捕获可变性信息,其中较流行的方法被称为特征建模。本文将对特征模型的基本概念进行解释,并且对于回答“什么是特征?”这个有趣的问题给出一些提示。 © pure-systems GmbH 问题空间的特征 简而言之,特征模型是简单的、分层的模型
控制系统中被控对象建模
hungry_yld的博客
05-21 7516
控制系统中被控对象建模 杨亮东 2020年3月26日 被控对象的模型是控制器设计的基础,对象模型越准确,越有利于设计出最优的控制律。 被控对象建模,即建立对象输入xxx与输出yyy之间的映射关系f(⋅)f(\cdot)f(⋅)。 y=f(x)y=f(x)y=f(x) 1. 机理建模 在控制理论发展的早期,被控对象模型是通过分析对象的组成结构,结合相关的物理与数学知识,建立起系统输出与输入之间的解析关系式(这种建模方法又称为机理建模)。由于这种方法具有很强的物理意义,因此可以较为可靠地描述系统的模型,并且取
torch文件保存与加载——【torch学习笔记】
诗酒趁年华。
04-21 4020
模型文件保存与加载 引用翻译:《动手学深度学习》 到目前为止,我们讨论了如何处理数据,如何建立、训练和测试深度学习模型。然而,在某些时候,我们很可能对我们获得的结果感到满意,我们希望保存结果以便以后使用和分发。同样,当运行一个漫长的训练过程时,保存中间结果(检查点)是最好的做法,以确保我们不会在被服务器的电源线绊倒时失去几天的计算量。同时,我们可能想加载一个预训练的模型(例如,我们可能有英语的词嵌入,并将其用于我们花哨的垃圾邮件分类器)。对于所有这些情况,我们都需要加载和存储单个权重向量和整个模型。本节讨论
2023/07/12 09:02:46| WARNING: Netmasks are deprecated. Please use CIDR masks instead. 2023/07/12 09:02:46| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges. 2023/07/12 09:02:46| WARNING: For now we will assume you meant to write /24
07-13
这是一个警告信息,提示使用 CIDR 掩码代替网络掩码。CIDR(无类别域间路由)是一种用于表示 IP 地址范围的标准方法,而网络掩码是一种传统的表示方法,不适用于比较 IPv6 和 IPv4 范围。警告中提到的 "/24" 是一个 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值