本发明专利技术涉及计算机应用技术领域,具体为一种快速的高精度深度学习模型黑盒水印方法。在现有水印方案中,触发集通过在原始数据中添加额外的特征来构造,或者通过错误分类的后门来构造,但总体上而言,触发集图片选取依赖于人工,是低效且的。我们的触发集内容不依赖于人工选取,完全由CGAN生成的方式,节省了人力资源,缩短了制作触发集时间,并且摆脱了人工选取触发集的弊端,不影响模型精度,适用于大规模的触发集制作。在触发集标注上我们的专利采用了混沌自动标注,具有混沌系统的优良特性。从触发集内容和标注完成了自动化。从触发集内容和标注完成了自动化。从触发集内容和标注完成了自动化。
【技术实现步骤摘要】
一种快速的高精度深度学习模型黑盒水印方法
[0001]本专利技术涉及计算机应用
,具体为一种快速的高精度深度学习模型黑盒水印方法。
技术介绍
[0002]这些年我们见证了人工智能技术的发展。在生活的各个领域,我们都可以见到以深度学习为代表的新一轮人工智能技术与无人驾驶、人脸识别、医学大数据处理等产业已经深度融合,取得了良好的经济效果。这些应用提高了我们的生活质量,便利了我们生活的方方面面。但在人工智能发挥重要作用的同时,我们也看到了一些潜在的危险因素,那就是人工智能的保护技术与人工智能发展水平并不匹配。360人工智能研究院院长邓亚峰就指出:“坏人会对人工智能加以利用,安全问题刻不容缓”。在无人驾驶领域,人工智能模型的可靠性与人的性命息息相关,不法之徒利用利用漏洞窃取模型并篡改模型的话,会带来重大的安全隐患。在人脸识别领域同样如此,在如今这个摄像头泛滥的时代,也将造成人脸隐私泄漏,带来安全的威胁。现有模型的安全性往往得不到保证,黑客可以轻易窃取模型来达成自己的目的。总而言之,目前如何给人工智能智能体标识身份进行管理,防止智能模型的盗用和滥用已经成为一个重要问题。
技术实现思路
[0003]为了实现上述目的,本专利技术提供一种快速的高精度深度学习模型黑盒水印方法。
[0004]一种快速的高精度深度学习模型黑盒水印方法,包括如下步骤:
[0005]第一步:准备正训练数据集和反向标记的负训练数据假设存在一个二分类问题,数据的标签用L1和L2表示,正训练数据就是正确标注的数据集,而负训练数据用L1标注属于L2的数据,用L2标注属于L1的数据;
[0006]第二步:用D
p
训练CGAN1使其能够按照标签生成指定图片,然后用CGAN2读取CGAN1的模型参数,并且用D
s
训练CGAN2,由于CGAN2读取了CGAN1的参数,生成的图片是正确的标注的数据,但D
s
交换了正确标注数据的标签,因此CGAN2的判别器和生成器将会学习到错误的特征,再继续用CGAN1读取CGAN2的模型参数,用D
p
训练,依次迭代;直到深度学习模型对CGAN1或CGAN2生成的图片在两个分类上的概率相同,都为0.5时就认为CGAN生成的触发集处于决策边界;
[0007]第三步:用预先训练的CGAN生成我们的触发样本N
k
,1≤k≤n;
[0008]第四步:对Logistic映射迭代N次,选择最后n次结果分配给第二步中生成的n个触发集,现在每个触发样本都拥有了一个Logistic映射值1≤k≤n:
[0009]第五步:将Logistic映射值y划分为两个区间[0,1/μ]和[1/μ,1],则将触发样本标记为L1,的触发样本标记为L2;
[0010]第六步:触发集和训练集一起训练手写数字识别模型完成水印的嵌入。
[0011]本专利技术的有益效果:
[0012]1.提出了一种有效的证明深度学习智能模型身份的黑盒水印方案。
[0013]利用CGAN和混沌系统提出的黑盒水印方案是一种行之有效的方案,弥补了现有黑盒水印触发集制作依赖人工的不足,并且可以通过远程API查询水印,不像白盒水印假设模型参数和其他内部细节是公开的。这种情况往往难以实现,白盒模型的应用场景受到限制,因为模型往往是部署于服务器上,我们无法直接得到模型,就算得到模型也必须懂得阅读源码,对水印的提取和检测困难。
[0014]2.实现了触发集制作从内容数据到标注的自动化。
[0015]在现有水印方案中,触发集通过在原始数据中添加额外的特征来构造,或者通过错误分类的后门来构造,但总体上而言,触发集图片选取依赖于人工,是低效且的。我们的触发集内容不依赖于人工选取,完全由CGAN生成的方式,节省了人力资源,缩短了制作触发集时间,并且摆脱了人工选取触发集的弊端,不影响模型精度,适用于大规模的触发集制作。在触发集标注上我们的专利采用了混沌自动标注,具有混沌系统的优良特性。从触发集内容和标注完成了自动化。
[0016]3.保证了原模型的高精度。
[0017]触发集样本是处于决策边界的样本,不像基于后门的触发集会破坏模型精度,我们触发集对模型的精度影响小,甚至能略微提升模型的精度,是一种高精度的黑盒水印算法。
[0018]4.水印的鲁棒性很强。
[0019]触发集标注使用了混沌自动标注具有混沌系统的优良特性,混沌系统对初值和参数非常敏感。一点点的初始值和参数变化都会导致完全不同的混沌序列。当我们使用这些初始值和参数作为密钥时,触发集的安全性大大提高。混沌的不可预测性使得攻击者无法通过统计方法获得混沌序列。混沌的随机性保证了我们生成的混沌序列的唯一性。它不再像以往研究者提出的触发集那样易于推广,解决了触发器集的特征容易伪造、无法抵抗欺诈所有权主张攻击的问题。水印具有很强鲁棒性。
附图说明
[0020]图1是本专利技术的流程图。
具体实施方式
[0021]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0022]请参阅图1,本专利技术提供一种技术方案:
[0023]以手写数字识别模型的水印为例:
[0024]它的分类结果包括0
‑
9十类。在该模型的构建中,用MNIST数据集训练了手写数字识别模型。水印嵌入和提取流程图如图1所示,为了将水印嵌入模型中,首先生成触发图片,用分别用CGAN生成不同长度的触发集,观察不同长度触发集对水印算法的影响,包括16张
图片的触发集,32张图片的触发集和64张图片的触发集。接下来,需要对不同长度触发集图片进行混沌自动标注,将它们放到图1所示的混沌标注器中进行自动标注。
[0025]利用混沌自动标注器标注的图像可以被看作触发集,训练集则是触发图片之外的所有训练数据。数据集是训练集与触发集的集合。我们将数据集放到模型中进行训练,最后会产生十个分类结果:0,1,2,3,4,5,6,7,8,9。最后,在水印提取阶段,无需获取到完整的智能模型(包括代码和模型文件),只需要通过API将触发集放到模型中提取水印。通过输出结果与混沌自动标注标签的对比,可以简单地验证模型的所有权。未嵌入水印的模型精度未0.9936,在嵌入16张触发集后模型的精度上升到0.9938,模型精度略有上升。而在嵌入32张触发集和64张触发集后模型的精度都为0.9935。这证明触发集不会影响原有模型的高精度。值得一提的是在这三种长度的触发集下,所有嵌入水印模型的水印提取率都为1.0,完整的水印方案如下:
[0026]综上,我们的水印方案步骤如下:
[0027]1)为了生成处于决策边界的触发样本,我们需要准备正训练数据集D
p<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种快速的高精度深度学习模型黑盒水印方法,包括如下步骤:第一步:准备正训练数据集和反向标记的负训练数据假设存在一个二分类问题,数据的标签用L1和L2表示,正训练数据就是正确标注的数据集,而负训练数据用L1标注属于L2的数据,用L2标注属于L1的数据;第二步:用D
p
训练CGAN1使其能够按照标签生成指定图片,然后用CGAN2读取CGAN1的模型参数,并且用D
s
训练CGAN2,由于CGAN2读取了CGAN1的参数,生成的图片是正确的标注的数据,但D
s
交换了正确标注数据的标签,因此CGAN2的判别器和生成器将会学习到错误的特征,再继续用CGAN1读取C...
【专利技术属性】
技术研发人员:张盈谦,
申请(专利权)人:张盈谦,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。