论文研读|Protecting Intellectual Property of Deep Neural Networks with Watermarking

最新推荐文章于 2024-07-13 21:34:41 发布
最新推荐文章于 2024-07-13 21:34:41 发布
阅读量932 收藏 6
点赞数 3
分类专栏: 神经网络水印 论文研读 文章标签: 人工智能 深度学习 机器学习 AI安全 神经网络水印 黑盒水印 后门攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36332660/article/details/133688057
版权

在这里插入图片描述

目录

论文信息

论文名称:Protecting Intellectual Property of Deep Neural Networks with Watermarking
作者:IBM Research 团队
发表年份:2018年
发表会议:ASIACCS

文章简介

本文是第一篇提出「黑盒模型水印」的文章,文章借鉴模型后门攻击的思想,通过构造触发集的方式,将水印嵌入到模型中;在版权验证阶段,验证者通过输入触发集中的图片,验证水印的存在与否。

研究动机

基于白盒水印的版权认证需要验证者掌握模型的结构和参数,而在现实生活中,模型往往以 API 接口的形式被调用,于是基于白盒水印的应用场景受限。基于此,本文便提出「黑盒水印」的思想,确保验证者在模型结构和参数未知的情况下,验证水印的存在与否。
在这里插入图片描述

研究方法

考虑到在验证阶段无法获取模型结构和参数信息,本文提出利用输入与输出的映射关系嵌入水印,即给定特定的水印图像,模型若能够输出预设的水印标签,则认为该模型含有水印。其中,水印图像水印标签构成触发集。
在这里插入图片描述

本文提出的完整水印框架如上图,分为「(1)水印生成(2)水印嵌入和(3)版权验证」三个阶段。

水印生成

本文借鉴AI安全中后门攻击的思想,将水印嵌入过程看作模型对另一功能的学习,因此,水印嵌入之前要构造触发集,触发集是基于训练集中的部分训练样本改造以后的样本,图像分类任务的训练样本即为图像和它对应的标签。所以,在水印生成阶段,要分别对图像和标签进行改造,将图像变换为水印图像,并修改对应的标签为水印标签

本文将水印标签预设为airplane。关于图像变换方法,本文提出如下三种,分别是(b) W M c o n t e n t WM_{content} WMcontent:在原始图像上添加有意义的内容(本文中使用灰色固定位置的TEST字样)(c) W M u n r e l a t e d WM_{unrelated} WMunrelated:将原始图像替换为训练集外的图像(本文中使用手写体图像1)(d) W M n o i s e WM_{noise} WMnoise:在原始图像上添加预设的噪声(本文中使用的高斯噪声)
在这里插入图片描述
之所以选择不同方式对图像进行变换,是为了测试DNN对于所要嵌入水印的学习能力。

水印嵌入

构造触发集之后,将它与其余训练数据混合,共同作为模型的训练样本,模型在训练过程中完成水印的嵌入,完整流程如下:
在这里插入图片描述

版权验证

D w m D_{wm} Dwm中的 x w m x_{wm} xwm输入可疑模型中,若模型的预测标签为 y w m y_{wm} ywm,说明该模型含有水印,证实了模型被窃取的事实。

实验结果

应用场景:图像分类任务
数据集:MNIST & CIFAR-10

有效性(Effectiveness)

在这里插入图片描述

高效性(Converge Speed)

在训练期间,添加水印的模型收敛速度与不添加水印的模型持平,说明水印的添加对训练代价的影响程度较低。
在这里插入图片描述

保真度(Functionality)

添加水印的模型对原始任务的性能影响较低,说明水印具有较好的保真度。
在这里插入图片描述

鲁棒性(Robustness)

本文主要对水印的抗剪枝攻击和抗微调攻击两个角度进行鲁棒性评估。

Anti-剪枝攻击(Pruning)

结合Table2观察发现,在保证模型可用的情况下,剪枝攻击对水印的影响程度较小。
在这里插入图片描述

Anti-微调攻击(Fine-tuning)

在这里插入图片描述

安全性(Security)

安全性的目标是衡量嵌入的水印是否易于被未经授权的各方识别或修改。这里通过水印的抗模型逆向攻击能力对水印的安全性进行评估。

Anti-模型逆向攻击(Model Inversion)

模型逆向攻击旨在通过模型的输出逆推出训练数据,从而暴露水印。在本文的场景中,模型逆向攻击的目标就是在攻击者已知水印标签的情况下,逆推出对输入图像的变换,即重构出水印图像,从下图可以看出,此种水印方法能够很好地抵御该攻击方式。
在这里插入图片描述
在这里插入图片描述

方法评估

(1)该方法需要掌握模型的API调用接口,若模型为非公开服务状态,此方法失效。
(2)模型窃取攻击:攻击者可以利用查询访问和结果机密性之间的关系来窃取机器学习模型的参数。使用本文方法添加水印的模型仍有被窃取的风险。 [ 53 ] ^{[53]} [53]
(3)逃逸攻击:由于该方法是基于API查询的方式验证水印的存在与否,因此,若攻击者识别出验证者的异常查询并中断查询,该水印框架就会失效。 [ 39 ] ^{[39]} [39]

相关文献

[39] Meng et al. MagNet: a Two-Pronged Defense against Adversarial Examples. CCS, 2017.
[53] Florian Tramer et al. Stealing Machine Learning Models via Prediction APIs. USENIX, 2016.

_Meilinger_
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
AI 可靠性论文整理
wallace_www的博客
09-25 5019
AI 可靠性论文整理鲁棒性 Robustness相关文献高优先级对抗样本设计与抵御鲁棒性评估其他鲁棒性研究次要优先级公平性 Fairness相关文献高优先级次要优先级可解释性 Explainability相关文献高优先级次要优先级可追溯性 Lineage相关文献名词解释 鲁棒性 Robustness 通过暴露和修复漏洞来确保AI系统的安全性和可靠性 识别并防御新的攻击 设计新的对抗性训练方...
论文笔记08】Model inversion attacks that exploit confidence information and basic countermeasures 模型反转攻击
weixin_45632492的博客
04-02 4896
目录导引系列传送Model inversion attacks that exploit confidence information and basic countermeasures1 Abstract2 Background2.1 ML basis2.2 ML APIs2.3 Threat models3 The Fredrikson et al. attack4 Map inverters for trees4.1 Decision Tree4.2 DT APIs5 Facial recogniti
Protecting Intellectual Property of Deep NeuralNetworks with Watermarking
weixin_63967970的博客
01-14 1025
保护深度神经网络的知识产权与数字水印技术ABSTRACT深度学习是当今人工智能服务的关键组成部分,在视觉分析、语音识别、自然语言处理等多个任务方面表现出色,为人类提供了接近人类水平的能力。构建一个生产级别的深度学习模型是一项非常复杂的任务,需要大量的训练数据、强大的计算资源和专业的人才。因此,非法复制、分发和派生专有的深度学习模型可能导致版权侵权,并对模型创建者造成经济损害。因此,有必要设计一种技术来保护深度学习模型的知识产权,并实现对模型所有权的外部验证。在本文中,我们将“数字水印”概念从多媒体所有权验证
Protecting Intellectual Property of Deep Neural Networks with Watermarking研读报告
LWT9836的博客
09-01 1173
摘要:作为最先进的人工智能服务的关键组成部分,深度学习技术已经在为各种技术提供人类水平的能力方面取得了巨大的成功。例如,视觉分析、语音识别和自然语言处理等等。构建一个生产级别的深度学习模型并不是一件易事,其需要大量的训练数据、强大的计算资源以及专家经验。因此,非法复制、传播和衍生专有深度学习模型会对造成模型创建者的版权侵犯和经济损失。因此,设计一种技术来保护深度学习模型的知识产权,并使模型所有权能够得到外部验证是非常必要的。   在本文中,我们将多媒体所有权验证所采用的“数字水印”概念引入到深度神经网络模型
论文阅读:Protecting Intellectual Property of Deep Neural Networks with Watermarking
小西瓜的博客
11-13 609
论文阅读:Protecting Intellectual Property of Deep Neural Networks with Watermarking
神经网络上的IP验证
weixin_44928295的博客
12-30 2549
这篇是18年发在ASIACCS上的,Protecting Intellectual Property of Deep Neural Networks with Watermarking。方法是传统的用trigger set做水印的那种,创新性一般(当然不知道是不是因为时间的原因),发的还是比较早的。当然现在看来就还是比较一般。 文章大概思路是这样的: 在神经网络的输入里面挑选一组images,并且在这组images上面“generate watermark”,也就是所谓的加上“噪声”。这种“噪声”作者给了三
深度学习在信息隐藏中的应用(上)
热门推荐
Marcovaldong的博客
11-07 1万+
博客首发至Marcovaldo’s blog (http://marcovaldong.github.io/) 之前都是在实验室做项目,写代码,没有系统集中的看过paper,最近要准备开题,集中看了十几篇,全是深度学习在信息隐藏领域的应用与研究。这里主要是对十几篇论文做一个总结,以后会不间断更新最新读的论文。 大家都学过密码学,但是可能很少有人了解信息隐藏。信息隐藏是我所在实验室的一个方向,指...
Protecting location privacy in vehicular networks against location-based attacks
02-10
Protecting location privacy in vehicular networks against location-based attacks
Protecting Data Privacy in Publicly Verifiable Delegation of Matrix and Polynomial Functions
02-08
Protecting Data Privacy in Publicly Verifiable Delegation of Matrix and Polynomial Functions
Protecting source–location privacy based on multirings in wireless sensor networks
02-09
Protecting source–location privacy based on multirings in wireless sensor networks
Protecting User Privacy Based on Secret Sharing with Fault Tolerance for Big Data in Smart Grid
02-22
Protecting User Privacy Based on Secret Sharing with Fault Tolerance for Big Data in Smart Grid
Machine Learning and Security Protecting Systems with Data and Algorithms
06-06
18年新书《Machine Learning and Security Protecting Systems with Data and Algorithms》
AGI 之 【Hugging Face】 的【问答系统】的 [构建问答系统] / [ 构建基于评论的问答系统 ] 的简单整理
仙魁XAN
07-12 817
AGI,即通用人工智能(Artificial General Intelligence),是一种具备人类智能水平的人工智能系统。它不仅能够执行特定的任务,而且能够理解、学习和应用知识于广泛的问题解决中,具有较高的自主性和适应性。AGI的能力包括但不限于自我学习、自我改进、自我调整,并能在没有人为干预的情况下解决各种复杂问题。AGI能做的事情非常广泛:跨领域任务执行:AGI能够处理多领域的任务,不受限于特定应用场景。自主学习与适应:AGI能够从经验中学习,并适应新环境和新情境。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 823
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
阿里发布大模型发布图结构长文本处理智能体,超越GPT-4-128k
夕小瑶科技说
07-09 908
随着大语言模型的发展,处理长文本的能力成为了一个重要挑战。虽然有许多方法试图解决这个问题,但都存在不同程度的局限性。最近,阿里巴巴的研究团队提出了一个名为GraphReader的新方法,通过将长文本组织成图结构,并利用智能体来探索这个图,成功提升了模型处理长文本的能力。GraphReader的核心思想是将长文本分解成关键元素和原子事实,构建成一个图,然后让智能体在这个图中探索和推理。这种方法不仅能有效处理超长文本,还在多跳问答等复杂任务上取得了优异表现。
CV06_Canny边缘检测算法和python实现
https://github.com/foxpup11?tab=repositories
07-11 845
https://www.bilibili.com/video/BV1qU4y1U7aK/?spm_id_from=333.337.search-card.all.click&vd_source=7dace3632125a1ef7fd32c285eb2fbac
人力资源人工智能依赖于良好的数据
yongyoudayee的博客
07-12 733
人力资源不断发展(HR)人工智能在技术领域(AI)它已经成为改变游戏规则的力量。人工智能驱动的工具有望简化人力资源流程,提高管理能力,彻底改变员工体验。然而,这些人工智能解决方案的有效性仅取决于算法的复杂性或计算硬件的能力。事实上,这种模式的很大一部分取决于一个基本的——良好的数据。
sklearn基础教程:掌握机器学习入门的钥匙
最新发布
AIGC绘图领域探索者,热衷于将创意与技术融合,致力于分享前沿AI绘图技巧与心得,让我们一起开启视觉艺术的新篇章。
07-13 743
是基于Python的一个开源机器学习库,它建立在NumPy、SciPy和matplotlib之上,提供了大量的算法和工具,用于数据挖掘和数据分析。无论是简单的线性回归,还是复杂的神经网络,sklearn都能提供直观易用的接口。作为Python中最为流行的机器学习库之一,以其简洁的API、丰富的算法和强大的功能赢得了广大用户的青睐。通过本文的介绍,相信你已经对sklearn有了初步的了解,并能够开始进行一些基础的机器学习任务。
7.深度学习概述
MechMaster
07-10 960
1. 线性回归 1.1 线性回归一般表达式 1.2 线性回归内积表达方式: 1.3 多个样本时,线性回归的进一步表达: 1.4 线性回归方程的解析 1.5 线性回归就是求loss函数的最小值 2. 如何求函数最小值 2.1 一个例子 2.2 求导法——求最小值 2.3 求导法存在的问题 2.4 迭代法——求最小值 3. 代码实现 3.1 手动求函数最小值 3.2 使用pytorch求函数最小值
Watermarking Deep Neural Networks
05-18
Watermarking deep neural networks is a technique used to protect the intellectual property of the model creator. It involves embedding a unique watermark into the model during the training process, which can later be used to verify ownership of the model. There are different methods for watermarking deep neural networks, including adding noise to the weights of the model, modifying the learning rate, or introducing specific patterns into the training data. The goal is to make the watermark difficult to remove without significantly affecting the performance of the model. One of the main challenges in watermarking deep neural networks is finding a balance between protecting the model and maintaining its accuracy. Additionally, there is a risk of attackers intentionally removing or altering the watermark to claim ownership of the model. Overall, watermarking can be a useful tool for protecting intellectual property, but it should be combined with other security measures to ensure the model's safety.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_Meilinger_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值