【技术实现步骤摘要】
通过可逆水印实现卷积神经网络完整性认证的方法
本专利技术涉及神经网络完整性认证
,尤其涉及一种通过可逆水印实现卷积神经网络完整性认证的方法。
技术介绍
深度卷积神经网络(CNN)在计算机视觉领域取得了显著成就,例如图像分类、自动驾驶等。但是,随着模型性能的提高,这些模型的结构越来越复杂,训练也越来越困难。针对这些问题,很多学者将自己的预训练的模型公开,供其他人下载并研究。然而,这些预训练模型在传播期间,很容易遭到攻击者的非法篡改,如后门攻击、重放攻击等。这些攻击会给模型留下致命的漏洞,降低其准确性,威胁模型的安全。因此,确保模型不被非法篡改,对模型进行完整性认证,是模型安全性研究的一项重要内容。模型的安全性保护,目前有两种主流方法:被动防御和主动验证。被动防御侧重于对篡改的检测和擦除,但这种方法很容易导致漏检与虚警;主动验证是通过人工嵌入一些有意义的信息(例如模型水印)来实现的。根据模型的内部细节是否为公众所知,模型水印可以被大致分为两类:白盒水印和黑盒水印。白盒水印方法中水印信息是直接被嵌入到模型内部的权重和...
【技术保护点】
1.一种通过可逆水印实现卷积神经网络完整性认证的方法,其特征在于,包括:/n卷积神经网络模型的可逆水印嵌入阶段:操作对象是原始卷积神经网络模型单层或者多层,各层独立进行,每一层的操作过程包括:获取原始卷积神经网络模型第i层对于输入图像产生的特征图,根据特征图的熵值计算结果,选出若干通道的参数作为水印嵌入的载体序列;对载体序列进行预处理后,采用图像可逆隐藏方法将水印信息可逆地嵌入至载体序列,得到载密序列,利用载密序列更新卷积神经网络模型第i层的参数,并将加密后的保证水印可逆提取的参数信息,采用替换的方式嵌入到第i层的相关参数中;最终,得到嵌入水印模型;其中,水印信息包含原始卷...
【技术特征摘要】
1.一种通过可逆水印实现卷积神经网络完整性认证的方法,其特征在于,包括:
卷积神经网络模型的可逆水印嵌入阶段:操作对象是原始卷积神经网络模型单层或者多层,各层独立进行,每一层的操作过程包括:获取原始卷积神经网络模型第i层对于输入图像产生的特征图,根据特征图的熵值计算结果,选出若干通道的参数作为水印嵌入的载体序列;对载体序列进行预处理后,采用图像可逆隐藏方法将水印信息可逆地嵌入至载体序列,得到载密序列,利用载密序列更新卷积神经网络模型第i层的参数,并将加密后的保证水印可逆提取的参数信息,采用替换的方式嵌入到第i层的相关参数中;最终,得到嵌入水印模型;其中,水印信息包含原始卷积神经网络模型的特征信息以及保证水印可逆提取的参数信息;
卷积神经网络模型完整性认证阶段:应用者获取嵌入水印模型,采用与可逆水印嵌入阶段相反的方式提取出水印信息,并重构原始卷积神经网络模型;提取重构的原始卷积神经网络模型的特征信息,并与提取出的水印信息进行比较,从而判断嵌入水印模型是否被篡改。
2.根据权利要求1所述的一种通过可逆水印实现卷积神经网络完整性认证的方法,其特征在于,所述获取原始卷积神经网络模型第i层对于输入图像产生的特征图,根据特征图的熵值计算结果,选出若干通道的参数作为水印嵌入的载体序列包括:
从数据集中选取μ张图像作为原始卷积神经网络模型的输入,并获取第i层输出的特征张量T;
对特征张量T的若干维度进行平均池化操作,获得特征矩阵F;
将特征矩阵F按列重排,得到序列F={F1,F2,…,Fd},对每一个列向量Fl等分区间,然后计算落入区间r的概率pr,用来计算熵值Hl:
其中,Fl∈F,d为通道数目,pr是落入r区间的概率;
对于得到的熵值序列H={H1,H2,…,Hd},按照从小到大的顺序排列得到熵值升序序列H={Hj1,Hj2,…,Hjd},其中J={j1,j2,…,jd}是{1,2,…,d}的一个排列;选取熵值升序序列中对应的前N个通道作为载体序列构造的备选参数,按照升序顺序依次排列,得到:
其中,N<d;K表示对应索引通道的卷积核,大小为k×(k×c),这里c表示该通道的卷积核数目;
将Wi重写为:
其中,a=k×N,b=k×c;w为卷积核参数。
3.根据权利要求1或2所述的一种通过可逆水印实现卷积神经网络完整性认证的方法,其特征在于,对载体序列进行预处理包括:将载体序列Wi中的有符号浮点数进行处理,生成无符号整数载体序列,步骤如下...
【专利技术属性】
技术研发人员:俞能海,张卫明,管玺权,周航,
申请(专利权)人:中国科学技术大学,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。