神经网络水印技术研究进展

随着深度神经网络的推广应用,训练后的神经网络模型已经成为一种重要的资产并为用户提供服务.服务商在提供服务的同时,也更多地关注其模型的版权保护,神经网络水印技术应运而生.首先,分析水印及其基本需求,并对神经网络水印涉及的相关技术进行介绍;对深度神经网络水印技术进行对比,并重点对白盒和黑盒水印进行详细分析;对神经网络水印攻击技术展开对比,并按照水印攻击目标的不同,对水印鲁棒性攻击、隐蔽性攻击、安全性攻击等技术进行分类介绍;最后对未来方向与挑战进行探讨.

基于水印神经网络的可溯源DNN模型保护方法

针对深度神经网络(deep neural networks,DNN)模型安全与版权认证的问题,提出了一种多用户溯源的水印神经网络模型,通过密钥驱动生成水印图像,将其不可见地嵌入待保护目标模型的输出图像中,实现DNN模型的知识产权保护和版权追踪。在待保护的DNN模型中添加一种编解码器网络实现水印的嵌入,并使用双流篡改检测网络作为判别器,解决了模型的输出图像中可能出现的水印残留问题,提升了水印嵌入过程的不可感知性,减少了对DNN模型性能的影响,增强了安全性。此外,通过本文设计的双阶段训练法针对不同用户分发不同的含水印模型,当发生版权纠纷时,使用另一个残差网络可以从输出图像中提取水印图像。实验证明,本方法分发含水印的模型效率较高,并且即使对多个用户分发了嵌入相似水印图像的DNN模型,水印神经网络依然可以成功对模型进行溯源。

一种基于后门技术的深度强化学习水印框架

深度强化学习(DRL)已经证明了它在各种复杂任务中的有效性,因其出色的性能使其商业化正在急剧加速。生成一个DRL模型需要大量的计算资源和专业知识,使得一个训练有素的DRL模型已经成为人工智能应用程序和产品的核心知识产权。基于对DRL模型的产权保护,防止非法抄袭、未经授权的分发和复制,提出一种后门技术的DRL水印框架DrlWF,并使用一个全新的评价指标水印动作实现比例来衡量水印性能。通过向训练状态中添加水印,并使用带有水印的水印状态训练模型从而实现将水印嵌入至模型中。框架中的水印嵌入操作可以通过将水印嵌入到少量的训练数据中(仅需0.025%的训练数据)和不影响性能的奖励修改来实现。实验结果证明,在标准状态下,DRL模型仍具有良好的性能;在水印状态下,DRL模型性能将急剧下降,不足原有性能的1%,且水印动作执行比例达到了99%。通过急剧下降的性能以及模型对水印状态的动作表现,即可验证模型的所有权。此外,该水印具有良好的鲁棒性,在模型微调和模型压缩下,模型依然能够识别出水印,性能急剧下降且水印动作执行比例依旧达到了99%以上,证明了该DRL水印具有良好的鲁棒性。