基于扩散模型的数字水印框架

脆弱水印

模型版权保护与模型完整性保护

鲁棒水印可用于标识深度模型所有者、使用者、版本号、传播路径等，实现版权保护目标；脆弱水印可用于模型攻击篡改检测，实现完整性认证和保护目标；二者合力，可望建立模型全生命周期的秩序保障，具有重要战略意义、科学研究价值和应用前景

如图所示，训练一个成功的模型需要大量的算力、带标注的数据集和模型结构设计以及研究者训练成本，这意味着训练好的模型具有巨大价值，因此为训练好的模型提供版权保护和完整性保护是有必要的。其中为了能够在任何被盗模型中检测出能够检测其所有权的水印信息，重点在于水印的稳健性(Robustness，也被称为鲁棒性)，确保它们不能通过修剪、压缩、微调、蒸馏等方式被抹去，同时在添加水印后不影响模型性能。

深度模型脆弱水印的分类

深度模型脆弱水印的分类与鲁棒模型版权水印的分类方法基本相同，在嵌入和检测过程中分为白盒方法和黑盒方法。白盒方法意味着需要了解模型的内部参数结构，而黑盒方法则不需要了解模型内部细节，仅仅需要获取模型的输入和输出。水印的目的都是建立一种特殊的对应关系，当模型被篡改时，这种对应关系会发生变化。

从整体来看，所有工作可以分为四个维度：白盒嵌入和白盒检测(White-White, W-W)；白盒嵌入和黑盒检测(White-Black, W-B)；黑盒嵌入和白盒检测(Black-White, B-W)；黑盒嵌入和黑盒检测(BlackBlack, B-B)。但目前还没有关于黑盒嵌入和白盒检测(B-W)的相关工作。检测黑盒水印是脆弱模型水印领域研究最多的方向，它可以分为有损-无损两种不同的方式，如图所示。检测白盒需要在模型完整性检测期间查看模型内部结构参数以验证其完整性。

深度模型脆弱水印指标

敏感性：敏感性是深度模型脆弱水印最重要的性能指标，与鲁棒认证水印相反，深度模型脆弱水印目的在于尽可能的检测到模型中最细微的变化。此前的工作常采用微调、剪枝、量化或后门植入等方法来修改模型，并使用脆弱水印来检查模型是否已被更改。

效率：嵌入水印以及检测水印的时间或空间消耗，例如嵌入水印时间开销 嵌入水印后网络推理时间

保真度：保真度是指模型在添加水印后模型原始任务的性能，例如在分类网络中分类任务的准确性。

篡改定位：在篡改模型后利用模型脆弱水印信息定位篡改的权重位置。

篡改恢复：在篡改定位的基础上，恢复被篡改的模型权重以恢复模型性能

以上是对于现有的针对模型的数字水印的基本介绍 本项目的研究的是针对于脑电数据的数字水印框架。

随着扩散模型等生成模型的