黑盒场景下抗合谋攻击的模型安全分发框架_资讯推荐

深度模型是模型拥有者的重要资产，任何针对深度模型的非法复制、发行和滥用都将会导致侵权并对模型所有者造成重大经济损失。目前，将多媒体数字水印技术应用到深度神经网络已经成为深度模型所有权保护的一个热点研究方向。但现有大多数方案工作在比较理想的白盒场景下，需要获取目标模型的网络结构和参数权重等细节才可以进行产权验证，在实际应用中受到很大限制。同时，在多模型的场景下，现有水印方案易受合谋攻击威胁，攻击者可以通过聚合多个含水印模型来抹去嵌入的水印信息，并仍能保证合谋模型在原始任务上的性能。基于以上问题，本文提出一种黑盒场景下可抗合谋攻击的深度模型安全分发方案，为深度模型知识产权保护提供一种新思路。

(资料图片)

图1所提方案框架图

所提方案的优越性在于：

(1) 设计了一种基于用户级和模型级的双重指纹机制，可提供粗粒度和细粒度的产权验证，并实现黑盒下的所有权朔源和验证。

(2) 基于深度神经网络的内部结构和前向传播过程，设计了两种模型等价变换算法，可确保在不影响目标模型性能的前提下实现对合谋攻击的主动防御，即严重破坏合谋后模型的性能，使其无法正常使用，从根本上抵御合谋攻击。

(3) 设计了一个相似性损失项来抵御针对等价变换算法的逆向攻击，可进一步提高所提等价变换算法的安全性。

图2给出实验效果对比，可以看到，本文提出的方法能够同时抵御平均合谋攻击和加权合谋攻击，并且可以将合谋模型的原始任务上的准确率分别降低到10%（十分类）和1%（百分类），即合谋模型的性能降到近乎随机猜测。

图2 本文实验效果

论文信息

相关论文已被IEEE Transactions on Circuits and Systems for Video Technology录用，作者为福州大学的程航、李溪滨、刘西蒙、王美清，新加坡南洋理工大学的王华雄，复旦大学的张新鹏和上海电力大学的栗风永。

Hang Cheng, Xibin Li, Huaxiong Wang, Xinpeng Zhang, Ximeng Liu, Meiqing Wang, Fengyong Li, (2023). DeepDIST: A Black-box Anti-collusion Framework for Secure Distribution of Deep Models.（点击下方阅读原文查看论文全文）

供稿：程航，福州大学数学与统计学院教授，博导，副院长。

标签：