面向神经辐射场的水印算法

针对隐式表示的3D模型的版权保护问题,提出了一种面向神经辐射场(NeRF)的水印算法。该算法通过嵌入网络对训练集中的图像嵌入水印,再利用NeRF模型进行3D模型建模。版权验证方通过给定一个秘密视角作为神经辐射场的输入,生成新视角下的图像作为后门图像,接着利用神经网络的过参数化方法设计一个水印提取器,获取该视角下嵌入的水印图像。在黑盒场景下,一旦怀疑3D模型被未经授权地使用,验证方则可以通过秘密视角提取水印以验证网络版权。实验结果表明,所提算法提取水印不仅具有良好的视觉效果,而且对不同类型的噪声攻击具有较好的抵抗能力。

一种新型深度分类神经网络黑盒指纹水印算法

提出了一种新型的强鲁棒黑盒指纹水印框架及方法。首先,提出了一种基于数字水印技术的高视觉质量的、具有一定安全性的毒化图像构造方法,将指示用户身份的信息嵌入到毒化图像,实现多用户场景下深度神经网络模型的可追溯性,并降低毒化图像被伪造的概率;其次,提出了毒化特征加强模块来优化模型训练;最后,设计了对抗训练策略,有效地学习到嵌入强度很小的指纹水印。大量的仿真实验表明,所构造的毒化图像中的指纹水印具有非常好的隐蔽性,大幅超越了WaNet等同类最优模型水印方法;以分类性能降低不超过2.4%的代价获得了超过99%的黑盒模型指纹水印验证率;且即便在指纹水印相差1位时亦能准确地进行模型水印版权验证。这些性能总体上优于同类最优的模型水印方法,表明了所提方法的可行性和有效性。

一种基于后门技术的深度强化学习水印框架

深度强化学习(DRL)已经证明了它在各种复杂任务中的有效性,因其出色的性能使其商业化正在急剧加速。生成一个DRL模型需要大量的计算资源和专业知识,使得一个训练有素的DRL模型已经成为人工智能应用程序和产品的核心知识产权。基于对DRL模型的产权保护,防止非法抄袭、未经授权的分发和复制,提出一种后门技术的DRL水印框架DrlWF,并使用一个全新的评价指标水印动作实现比例来衡量水印性能。通过向训练状态中添加水印,并使用带有水印的水印状态训练模型从而实现将水印嵌入至模型中。框架中的水印嵌入操作可以通过将水印嵌入到少量的训练数据中(仅需0.025%的训练数据)和不影响性能的奖励修改来实现。实验结果证明,在标准状态下,DRL模型仍具有良好的性能;在水印状态下,DRL模型性能将急剧下降,不足原有性能的1%,且水印动作执行比例达到了99%。通过急剧下降的性能以及模型对水印状态的动作表现,即可验证模型的所有权。此外,该水印具有良好的鲁棒性,在模型微调和模型压缩下,模型依然能够识别出水印,性能急剧下降且水印动作执行比例依旧达到了99%以上,证明了该DRL水印具有良好的鲁棒性。

深度神经网络模型水印研究进展

随着深度神经网络在诸多领域的成功应用,以神经网络水印为代表的深度模型知识产权保护技术在近年来受到了广泛关注。对现有的深度神经网络模型水印方法进行综述,梳理了目前为了保护模型知识产权而提出的各类水印方案,按照提取水印时所具备的不同条件,将其分为白盒水印、黑盒水印和无盒水印3类方法,并对各类方法按照水印嵌入机制或适用模型对象的不同进行细分,深入分析了各类方法的主要原理、实现手段和发展趋势。然后,对模型水印的攻击方法进行了系统总结和归类,揭示了神经网络水印面对的主要威胁和安全问题。在此基础上,对各类模型水印中的经典方法进行了性能比较和分析,明确了各个方法的优势和不足,帮助研究者根据实际的应用场景选用合适的水印方法,为后续研究提供基础。最后,讨论了当前深度神经网络模型水印面临的挑战,并展望未来可能的研究方向,旨在为相关的研究提供参考。

基于黑盒水印的NLP神经网络版权保护

随着自然语言处理(NLP,natural language processing)技术的快速发展,语言模型在文本分类和情感分析中的应用不断增加。然而,语言模型容易遭到盗版再分发,对模型所有者的知识产权造成严重威胁。因此,研究者着手设计保护机制来识别语言模型的版权信息。现有的适用于文本分类任务的语言模型水印无法与所有者身份相关联,且鲁棒性不足以及无法再生成触发集。为了解决这些问题,提出一种新的适用于文本分类任务模型的黑盒水印方案,可以远程快速验证模型所有权。将模型所有者的版权消息和密钥通过密钥相关的哈希运算消息认证码(HMAC,hash-based message authentication code)得到版权消息摘要,由HMAC得到的消息摘要可以防止被伪造,具有很强的安全性。从原始训练集各个类别中随机挑选一定的文本数据,将摘要与文本数据结合构建触发集,并在训练过程中对语言模型嵌入水印。为了评估水印的性能,在IMDB电影评论、CNEWS中文新闻文本分类数据集上对3种常见的语言模型嵌入水印。实验结果表明,在不影响原始模型测试精度的情况下,所提出的水印验证方案的准确率可以达到100%。即使在模型微调和剪枝等常见攻击下,也能表现出较强的鲁棒性,并且具有抗伪造攻击的能力。同时,水印的嵌入不会影响模型的收敛时间,具有较高的嵌入效率。

深度学习模型的版权保护研究综述

随着深度学习技术的迅猛发展,深度学习模型在图像分类、语音识别等领域得到了广泛应用。训练深度学习模型依赖大量的数据和算力,成本高昂,因此,出售已训练好的模型或者提供特定的服务(如DLaaS)成为一种商业模式。然而,如果模型遭到恶意用户窃取,则可能会对模型训练者的商业利益造成损害。此外,网络拓扑结构设计和参数训练的过程包含着模型训练者的智慧结晶,因此一个训练完备的模型应属于模型开发者的知识产权从而得到保护。近年来,深度神经网络水印成为一个新兴的研究课题,研究者将多媒体内容保护的方法引入深度学习模型保护领域,试图在深度神经网络模型中嵌入水印以验证模型的所有权。目前已有大量方法被提出,但缺乏梳理和概括。对神经网络水印领域已有的方法进行了梳理和总结,并探讨了该领域未来的研究方向。给出神经网络水印的模型框架,并介绍了分类模型、模型后门等基础概念。按照水印嵌入的机制将已有的方法分类为两类:一是嵌入网络内部,以网络内部信息作为载体;二是建立网络后门,将后门特殊映射关系作为水印。分别对基于这两种思想的深度神经网络水印方法进行了全面的阐述和总结,讨论了各方法的特点、优势和局限性,同时介绍并讨论了相应的水印攻击方法。通过分析水印中的白盒与黑盒场景可知,白盒分发的模型难以得到有效保护,而黑盒分发和黑盒验证场景下的神经网络水印防攻值得进一步的研究。

深度神经网络模型版权保护方案综述

深度神经网络(deepneuralnetwork,DNN)等新兴技术以前所未有的性能在工业互联网安全中得到广泛发展和应用.然而,训练DNN模型需要在目标应用程序中捕获大量不同场景的专有数据、广泛的计算资源,以及在专家的协助下调整网络拓扑结构并正确训练参数.因此,DNN模型应当作为有价值的知识产权,从技术上保护其不被非法复制、重新分发或滥用.受经典水印技术被用于保护与多媒体内容相关的知识产权的启发,神经网络水印是目前最受研究者关注的DNN模型版权保护方法.迄今为止,学术界对神经网络水印在DNN模型知识产权保护中的应用尚缺乏完整描述.调研了近5年CCF推荐期刊和会议等关于该领域的相关工作,从水印的嵌入和提取的视角,将神经网络水印在原有的白盒水印和黑盒水印分类的基础上,扩充了灰盒水印和无盒水印2种分类,对白盒水印和黑盒水印方法根据其水印嵌入的不同思路和不同任务模型进行了更详细的分类总结,并对4类水印方法的性能进行了对比.最后,探讨了神经网络水印未来面临的挑战和可研究的方向,旨在为学者进一步推动基于神经网络水印的DNN模型版权保护的发展提供指导。