高精度联邦学习模型的训练需要消耗大量的用户本地资源,参与训练的用户能够通过私自出售联合训练的模型获得非法收益.为实现联邦学习模型的产权保护,利用深度学习后门技术不影响主任务精度而仅对少量触发集样本造成误分类的特征,构建一...高精度联邦学习模型的训练需要消耗大量的用户本地资源,参与训练的用户能够通过私自出售联合训练的模型获得非法收益.为实现联邦学习模型的产权保护,利用深度学习后门技术不影响主任务精度而仅对少量触发集样本造成误分类的特征,构建一种基于模型后门的联邦学习水印(federated learning watermark based on backdoor,FLWB)方案,能够允许各参与训练的用户在其本地模型中分别嵌入私有水印,再通过云端的模型聚合操作将私有后门水印映射到全局模型作为联邦学习的全局水印.之后提出分步训练方法增强各私有后门水印在全局模型的表达效果,使得FLWB方案能够在不影响全局模型精度的前提下容纳各参与用户的私有水印.理论分析证明了FLWB方案的安全性,实验验证分步训练方法能够让全局模型在仅造成1%主任务精度损失的情况下有效容纳参与训练用户的私有水印.最后,采用模型压缩攻击和模型微调攻击对FLWB方案进行攻击测试,其结果表明FLWB方案在模型压缩到30%时仍能保留80%以上的水印,在4种不同的微调攻击下能保留90%以上的水印,具有很好的鲁棒性.展开更多
预训练模型容易受到外部敌手实施的模型微调和模型剪枝等攻击,导致它的完整性被破坏。针对这一问题,提出一种针对黑盒模型的脆弱指纹框架FFWAS(Fragile Fingerprint With Adversarial Samples)。首先,提出一种无先验知识的模型复制框架,...预训练模型容易受到外部敌手实施的模型微调和模型剪枝等攻击,导致它的完整性被破坏。针对这一问题,提出一种针对黑盒模型的脆弱指纹框架FFWAS(Fragile Fingerprint With Adversarial Samples)。首先,提出一种无先验知识的模型复制框架,而FFWAS为每一位用户创建独立的模型副本;其次,利用黑盒方法在模型边界放置脆弱指纹触发集,若模型发生修改,边界发生变化,触发集将被错误分类;最后,用户借助模型副本上的脆弱指纹触发集对模型的完整性进行验证,若触发集的识别率低于预设阈值,则意味着模型完整性已被破坏。基于2种公开数据集MNIST和CIFAR-10对FFWAS的有效性和脆弱性进行实验分析,结果表明,在模型微调和剪枝攻击下,FFWAS的指纹识别率相较于完整模型均明显下降并低于设定阈值;与基于模型唯一性和脆弱签名的深度神经网络认证框架(DeepAuth)相比,FFWAS的触发集与原始样本在2个数据集上的相似性分别提高了约22%和16%,表明FFWAS具有更好的隐蔽性。展开更多
目的:评估多层螺旋CT在房颤导管射频消融术前的应用价值。方法:收集52例[男27例,女25例,平均年龄(68±11)岁]经导管射频消融术治疗的房颤病人的术前多层螺旋CT资料,进行回顾性分析,观察肺静脉的变异程度、开口形状及开口直径。结果...目的:评估多层螺旋CT在房颤导管射频消融术前的应用价值。方法:收集52例[男27例,女25例,平均年龄(68±11)岁]经导管射频消融术治疗的房颤病人的术前多层螺旋CT资料,进行回顾性分析,观察肺静脉的变异程度、开口形状及开口直径。结果:39例(75%)左心房右侧有两个开口,9例(17%)右侧有3~4个开口(由于有右中叶肺静脉)。4例(8%)右侧有一个开口(共干)。44例(85%)左心房左侧有两个开口,8例(15%)有一个开口(共干)。各肺静脉开口平均直径不同:右上肺静脉(12.5±2.4)mm;左上肺静脉(11.6±2.1)mm;右下肺静脉(13.2±2.0)mm;左下肺静脉(10.6±2.1)mm。左下肺静脉在汇入左房时通常变细。右侧肺静脉开口比左侧圆(肺静脉开口指数0.89±0.20 vs 0.74±0.16,P<0.05)。结论:多层螺旋CT可在导管射频消融术治疗房颤前提供有价值的肺静脉解剖路线图。肺静脉的引流方式、开口形状和直径存在不同。展开更多
文摘高精度联邦学习模型的训练需要消耗大量的用户本地资源,参与训练的用户能够通过私自出售联合训练的模型获得非法收益.为实现联邦学习模型的产权保护,利用深度学习后门技术不影响主任务精度而仅对少量触发集样本造成误分类的特征,构建一种基于模型后门的联邦学习水印(federated learning watermark based on backdoor,FLWB)方案,能够允许各参与训练的用户在其本地模型中分别嵌入私有水印,再通过云端的模型聚合操作将私有后门水印映射到全局模型作为联邦学习的全局水印.之后提出分步训练方法增强各私有后门水印在全局模型的表达效果,使得FLWB方案能够在不影响全局模型精度的前提下容纳各参与用户的私有水印.理论分析证明了FLWB方案的安全性,实验验证分步训练方法能够让全局模型在仅造成1%主任务精度损失的情况下有效容纳参与训练用户的私有水印.最后,采用模型压缩攻击和模型微调攻击对FLWB方案进行攻击测试,其结果表明FLWB方案在模型压缩到30%时仍能保留80%以上的水印,在4种不同的微调攻击下能保留90%以上的水印,具有很好的鲁棒性.
文摘预训练模型容易受到外部敌手实施的模型微调和模型剪枝等攻击,导致它的完整性被破坏。针对这一问题,提出一种针对黑盒模型的脆弱指纹框架FFWAS(Fragile Fingerprint With Adversarial Samples)。首先,提出一种无先验知识的模型复制框架,而FFWAS为每一位用户创建独立的模型副本;其次,利用黑盒方法在模型边界放置脆弱指纹触发集,若模型发生修改,边界发生变化,触发集将被错误分类;最后,用户借助模型副本上的脆弱指纹触发集对模型的完整性进行验证,若触发集的识别率低于预设阈值,则意味着模型完整性已被破坏。基于2种公开数据集MNIST和CIFAR-10对FFWAS的有效性和脆弱性进行实验分析,结果表明,在模型微调和剪枝攻击下,FFWAS的指纹识别率相较于完整模型均明显下降并低于设定阈值;与基于模型唯一性和脆弱签名的深度神经网络认证框架(DeepAuth)相比,FFWAS的触发集与原始样本在2个数据集上的相似性分别提高了约22%和16%,表明FFWAS具有更好的隐蔽性。
文摘目的:评估多层螺旋CT在房颤导管射频消融术前的应用价值。方法:收集52例[男27例,女25例,平均年龄(68±11)岁]经导管射频消融术治疗的房颤病人的术前多层螺旋CT资料,进行回顾性分析,观察肺静脉的变异程度、开口形状及开口直径。结果:39例(75%)左心房右侧有两个开口,9例(17%)右侧有3~4个开口(由于有右中叶肺静脉)。4例(8%)右侧有一个开口(共干)。44例(85%)左心房左侧有两个开口,8例(15%)有一个开口(共干)。各肺静脉开口平均直径不同:右上肺静脉(12.5±2.4)mm;左上肺静脉(11.6±2.1)mm;右下肺静脉(13.2±2.0)mm;左下肺静脉(10.6±2.1)mm。左下肺静脉在汇入左房时通常变细。右侧肺静脉开口比左侧圆(肺静脉开口指数0.89±0.20 vs 0.74±0.16,P<0.05)。结论:多层螺旋CT可在导管射频消融术治疗房颤前提供有价值的肺静脉解剖路线图。肺静脉的引流方式、开口形状和直径存在不同。