【技术实现步骤摘要】
一种图像处理模型与图像处理算法的产权保护方法
本专利技术涉及深度学习模型产权保护
,尤其涉及一种图像处理模型与图像处理算法的产权保护方法。
技术介绍
深度学习已经在各个领域取得了巨大的成功,诸如图像分类、语音识别、自然语言处理等。训练一个性能好的深度学习模型往往需要大量的高质量的数据和昂贵的计算资源。然而,这些模型存在着严重的被侵权的风险。例如,已知包括目标网络的详细网络结构和参数在内的全部信息(白盒攻击场景),攻击者可以根据目标模型在新的特定数据集上进行微调或剪枝从而达到有效的攻击目的。即使只能通过API访问目标模型的输出(黑盒攻击场景),攻击者仍然可以通过使用一个替代模型来模仿目标模型从而窃取目标模型的知识产权。这种攻击方法具体来说就是:攻击者首先可以根据目标模型生成大量的输入输出训练对,然后直接通过将目标模型的输出视为真实标签,以有监督方式训练,便可以得到一个和目标模型性能相近的替代模型。我们需要设计出一种版权标识,使其在经过攻击者的模型窃取攻击后,该标识仍能够得以保存。数字水印是保护多媒体版权的最重要方...
【技术保护点】
1.一种图像处理模型与图像处理算法的产权保护方法,利用了空域不可见水印机制,其特征在于,包括:/n给定图像域A,输入至对要保护的基于深度学习的图像处理模型M或者图像处理算法,得到对应的图像域B;/n设置模型水印网络,训练阶段包含两部分:初始训练部分,对图像域B中的图像通过水印嵌入子网络进行水印嵌入,得到图像域B',训练目标为水印嵌入前后图像的视觉一致性;将图像域A、图像域B与图像域B'中的图像通过水印提取子网络进行水印提取,训练目标为不同含水印图像中提取到的水印图像一致,以及能从不含水印的图像中提取一张空白图像;对抗训练部分,通过设置替代网络SM来模拟攻击者,替代网络SM的...
【技术特征摘要】
1.一种图像处理模型与图像处理算法的产权保护方法,利用了空域不可见水印机制,其特征在于,包括:
给定图像域A,输入至对要保护的基于深度学习的图像处理模型M或者图像处理算法,得到对应的图像域B;
设置模型水印网络,训练阶段包含两部分:初始训练部分,对图像域B中的图像通过水印嵌入子网络进行水印嵌入,得到图像域B',训练目标为水印嵌入前后图像的视觉一致性;将图像域A、图像域B与图像域B'中的图像通过水印提取子网络进行水印提取,训练目标为不同含水印图像中提取到的水印图像一致,以及能从不含水印的图像中提取一张空白图像;对抗训练部分,通过设置替代网络SM来模拟攻击者,替代网络SM的输入为图像域A,输出构成图像域B”,将图像域B、图像域B'与图像域B”通过水印提取子网络进行水印提取,从而优化水印提取子网络;
训练完毕后,通过水印嵌入子网络对图像域B中的图像进行水印嵌入后输出;版权验证时,对于待检测的图像,通过水印提取子网络进行水印提取,从而实现版权验证。
2.根据权利要求1所述的一种图像处理模型与图像处理算法的产权保护方法,其特征在于,初始训练部分的损失函数包含水印嵌入损失函数和水印提取损失函数两部分:
其中,λ为超参数。
3.根据权利要求1或2所述的一种图像处理模型与图像处理算法的产权保护方法,其特征在于,所述训练目标为水印嵌入前后图像的视觉一致性表示为:
其中,λ1、λ2、λ3均为超参数;
l基础以L2损失函数作为误差衡量标准,表示为:
其中,Nc表示图像像素值总数,b′i表示图像域B'中的图像,bi表示图像域B中的图像;
l感知是水印嵌入前后的图像在特征层的误差损失,通过外部的VGG网络来实现,即将图像bi与b′i输入至VGG网络,将VGG网络第k层输出作为特征层,获得对应的特征VGGk(bi)与VGGk(b′i),从而计算...
【专利技术属性】
技术研发人员:张卫明,俞能海,张杰,
申请(专利权)人:中国科学技术大学,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。