基于隐形后门水印的开源数据集版权保护

针对图像分类领域开源数据集的版权保护问题,提出了一种基于后门水印的可溯源方法IBWOD,其能够保证水印在具有较强隐蔽性的同时保持良好的可用性和有效性。首先,利用一个编码器-解码器网络将后门水印嵌入到所选取的部分样本中,生成水印样本。接着,修改这些水印样本的标签为指定标签,然后将水印样本与未修改的样本合并为水印数据集。使用该水印数据集训练的模型会留下特定后门,即从后门水印到指定标签的一种映射关系。最后,提出了一种相应的模型验证算法,基于这种特殊的映射关系来验证一个可疑模型是否使用了水印数据集。实验结果表明,IBWOD能够很好地验证模型是否使用了水印数据集,并具有较强的隐蔽性。

基于后门水印的联邦模型授权方案

随着分布式机器学习技术在众多领域的深入应用,其模型安全性问题日益凸显。联邦学习作为一种创新的分布式机器学习方法,在保护数据隐私的同时,允许多方参与者共同训练模型。然而,训练得到的模型存在被滥用和难以实现版权保护等方面的问题,导致恶意用户可能在未经允许的情况下使用模型并谋取经济利益,侵犯参与方的模型版权和知识产权。对于分布式机器学习中存在的模型滥用及版权难以保护的问题,针对联邦学习场景,提出了一种基于后门水印的联邦模型授权方案。该方案在模型训练完成后,通过中心服务器端嵌入后门水印和发放访问令牌,实现对模型使用权的管理。在这一方案下,仅当收集到多数参与方的访问令牌,即获得他们的授权时,用户才能恢复出后门信息,获得模型的使用权;否则,用户在缺乏后门信息的情况下,不能通过模型的验证,无法正常使用模型。在多种数据集上的实验表明,嵌入后门水印的模型与原联邦学习模型相比仅存在可以忽略的精度损失,且能准确验证授权信息,高效识别用户。该方案不仅有效地解决了联邦学习模型的版权保护问题,也大幅提升了联邦学习模型应用的安全性和可靠性。

深度学习模型的版权保护研究综述

随着深度学习技术的迅猛发展,深度学习模型在图像分类、语音识别等领域得到了广泛应用。训练深度学习模型依赖大量的数据和算力,成本高昂,因此,出售已训练好的模型或者提供特定的服务(如DLaaS)成为一种商业模式。然而,如果模型遭到恶意用户窃取,则可能会对模型训练者的商业利益造成损害。此外,网络拓扑结构设计和参数训练的过程包含着模型训练者的智慧结晶,因此一个训练完备的模型应属于模型开发者的知识产权从而得到保护。近年来,深度神经网络水印成为一个新兴的研究课题,研究者将多媒体内容保护的方法引入深度学习模型保护领域,试图在深度神经网络模型中嵌入水印以验证模型的所有权。目前已有大量方法被提出,但缺乏梳理和概括。对神经网络水印领域已有的方法进行了梳理和总结,并探讨了该领域未来的研究方向。给出神经网络水印的模型框架,并介绍了分类模型、模型后门等基础概念。按照水印嵌入的机制将已有的方法分类为两类:一是嵌入网络内部,以网络内部信息作为载体;二是建立网络后门,将后门特殊映射关系作为水印。分别对基于这两种思想的深度神经网络水印方法进行了全面的阐述和总结,讨论了各方法的特点、优势和局限性,同时介绍并讨论了相应的水印攻击方法。通过分析水印中的白盒与黑盒场景可知,白盒分发的模型难以得到有效保护,而黑盒分发和黑盒验证场景下的神经网络水印防攻值得进一步的研究。