一种神经网络水印嵌入方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术涉及一种神经网络水印嵌入方法、装置、电子设备及存储介质。本发明专利技术所述的一种神经网络水印嵌入方法包括：获取密钥K，所述密钥K对应唯一的时间戳T；在原始训练集中随机选择n张图片，其中n大于1，其中，所述原始训练集中包括了多张图片以及每张图片对应的标签；通过密钥K产生的混沌序列对图片进行置乱加密，得到n张触发集的图片，将该n张图片以及其对应的标签放入触发集；将所述原始训练集和所述触发集一同放入待嵌入水印的神经网络进行训练，得到嵌入水印的神经网络。本发明专利技术所述的一种神经网络水印嵌入方法，在保持图像特征不变的前提下产生触发集，并赋予其原始标签，使得在不影响原始分类任务的决策边界的前提下，保护模型所有权。所有权。所有权。

【技术实现步骤摘要】
一种神经网络水印嵌入方法、装置、电子设备及存储介质


[0001]本专利技术涉及信息隐藏领域，特别是涉及一种神经网络水印嵌入方法、装置、电子设备及存储介质。

技术介绍

[0002]随着深度学习模型的应用越来越广泛，许多大公司开始利用他们拥有的大量专有数据和计算资源来训练深度学习模型，然后将其进行部署和商业化，分发给其他用户，作为盈利的一种方式。然而，这可能导致版权纠纷问题，因此需要一个安全、可靠的版权保护方法来保护所有者的利益。
[0003]近年来，研究人员借鉴原始数字水印方法的思想，提出了适用于深度学习模型版权保护的水印方法。基于深度学习版权保护的水印方法大致可分为两种类型：一种称为白盒水印，通过修改模型中的权重来实现水印的嵌入，此方法和原始数字水印原理类似；另一种方法称为黑盒水印，此方法不需要访问网络的内部参数，它通过使用特定的触发集作为神经网络的输入，输出指定的标签来实现嵌入水印信息，最后通过比较指定标签和输出标签的正确性来验证网络的所有权。
[0004]对于白盒水印，Uchida等人借鉴数字水印的思想做出了第一次尝试，通过修改网络中的一些权重参数来实现水印的嵌入，且其嵌入水印信息后不影响网络的原始性能。Wang和Kerschbaum等人发现Uchida的方案修改了模型的统计分布，这将导致攻击者不仅能够检测水印，甚至能够提取出其嵌入长度，并通过覆盖攻击将水印删除。为了提高嵌入水印的稳定性和安全性，Wang和Wu等人以Uchida的方法为基础，筛选出了一些对嵌入模型性能影响相对较小的权重，使用单独的神经网络生成用于嵌入水印信息的矩阵。Wang和Kerschbaum等人提出了一种基于生成对抗网络的白盒水印方法，使得无法区分嵌入水印的神经网络与无水印的神经网络的参数分布，因此难以检测。由于白盒水印的限制，水印嵌入需要访问和提取模型的内部参数和结构，一些学者提出了一种方法，以黑盒的方式在神经网络模型中添加水印，借鉴后门攻击的思路，以便水印验证时可以不提取模型参数等细节。
[0005]对于黑盒水印，Adi等人首次提出将抽象图像作为后门水印嵌入神经网络，从而在不需要访问和模型内部参数和结构的前提下保证模型的所有权；在Adi等人的基础上，Zhang等人提出了一种基于文本、噪声和不相关图片三种不同方式来作为触发集的黑盒方法；为了抵御参数微调和对抗性微调覆盖等水印攻击，Merrer等人提出一种基于决策边界的触发集构造方法，该方法不仅保护了模型而且还提高模型的性能，但是该方法存在容易造成假阳性的问题；由于先前的方法构造的触发集与原始训练集关联不大，很容易通过重新训练和微调来抹除水印，Li等人提出一种自定义的滤波器，在原始训练集上作修改，嵌入过程只能在模型的初始训练中进行，这也使得此方法能够抵御通过微调或增量训练删除水印的攻击方法，但此方法存在嵌入水印需要模型从头开始训练且水印的大小受限等问题；上述黑盒方法中，都是通过设置带有指定标签的触发集来嵌入水印，然而这些行为会影响原始模型在原始任务上的决策边界，Zhong等人提出了一种新的黑盒水印框架，通过在模型
的分类任务中添加新标签实现在模型中嵌入水印，然而这种方法存在容易被检测出水印的隐患，所以需要一种不可见的嵌入/验证水印的协议来抵御欺诈攻击。

技术实现思路

[0006]基于此，本专利技术的目的在于，提供一种神经网络水印嵌入方法、装置、电子设备及存储介质，在保持图像特征不变的前提下产生触发集，并赋予其原始标签，使得在不影响原始分类任务的决策边界的前提下，保护模型所有权，做到保持与原始模型的性能精度几乎相同的同时，维护所有者的知识产权。
[0007]第一方面，本专利技术提供一种神经网络水印嵌入方法，包括以下步骤：
[0008]获取密钥K，所述密钥K对应唯一的时间戳T；
[0009]在原始训练集中随机选择n张图片(P1、P2、
…
、P
n
)，其中n大于1，其中，所述原始训练集中包括了多张图片以及每张图片对应的标签；
[0010]通过密钥K产生的混沌序列对图片(P1、P2、
…
、P
n
)进行置乱加密，得到n张触发集的图片(Pe1、Pe2、
…
、Pe
n
)，将该n张图片(Pe1、Pe2、
…
、Pe
n
)以及其对应的标签(L1、L2、
…
、L
n
)放入触发集；
[0011]将所述原始训练集和所述触发集一同放入待嵌入水印的神经网络进行训练，使得待嵌入水印的神经网络在学习原始分类任务的同时学习触发集与对应标签之间的映射，得到嵌入水印的神经网络。
[0012]进一步地，当验证神经网络的所有权时，所述方法还包括：
[0013]获取所述n张图片(P1、P2、
…
、P
n
)以及其对应的所述标签(L1、L2、
…
、L
n
)和所述密钥K；
[0014]通过密钥K产生的混沌序列对图片(P1、P2、
…
、P
n
)进行置乱加密，得到触发集图片(Pe1、Pe2、
…
、Pe
n
)；
[0015]将所述触发集图片输入待验证的神经网络，得到神经网络输出的标签(R1、R2、
…
、R
n
)；
[0016]通过对比所述神经网络输出的标签(R1、R2、
…
、R
n
)和所述原始标签(L1、L2、
…
、L
n
)，得到所述神经网络的验证结果。
[0017]进一步地，通过密钥K产生的混沌序列对图片(P1、P2、
…
、P
n
)进行置乱加密，得到n张触发集的图片(Pe1、Pe2、
…
、Pe
n
)，包括：
[0018]针对每一张图片P
i
，将P
i
分为多个M
×
M大小的子块{B
(1,1)
，
…
，B
(w/M,h/M)
}；其中，w和h分别表示图像的宽度和高度；M为预设的数值；
[0019]将所述密钥K的前4位除以10000得到k1和后4位除以10000得到k2，分别作为x0输入以下logistic混沌映射公式，生成伪随机序列Q1，Q2：
[0020]x
n+1
＝λ*x
n
*(1
‑
x
n
)
[0021]Q1＝{x0,x1,
…
,x
n
}，其中x0＝k1[0022]Q2＝{x0,x1,
…
,x
n
}，其中x0＝k2[0023]其中，λ∈[0，4]，x
n
∈[0，1]；本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种神经网络水印嵌入方法，其特征在于，包括以下步骤：获取密钥K，所述密钥K对应唯一的时间戳T；在原始训练集中随机选择n张图片(p1、P2、
…
、P
n
)，其中n大于1，其中，所述原始训练集中包括了多张图片以及每张图片对应的标签；通过密钥K产生的混沌序列对图片(P1、p2、
…
、P
n
)进行置乱加密，得到n张触发集的图片(Pe1、Pe2、
…
、Pe
n
)，将该n张图片(Pe1、Pe2、
…
、Pe
n
)以及其对应的标签(L1、L2、
…
、L
n
)放入触发集；将所述原始训练集和所述触发集一同放入待嵌入水印的神经网络进行训练，使得待嵌入水印的神经网络在学习原始分类任务的同时学习触发集与对应标签之间的映射，得到嵌入水印的神经网络。2.根据权利要求1所述的一种神经网络水印嵌入方法，其特征在于，当验证神经网络的所有权时，所述方法还包括：获取所述n张图片(P1、P2、
…
、P
n
)以及其对应的所述标签(L1、L2、
…
、L
n
)和所述密钥K；通过密钥K产生的混沌序列对图片(P1、P2、
…
、P
n
)进行置乱加密，得到触发集图片(Pe1、Pe2、
…
、Pe
n
)；将所述触发集图片输入待验证的神经网络，得到神经网络输出的标签(R1、R2、
…
、R
n
)；通过对比所述神经网络输出的标签(R1、R2、
…
、R
n
)和所述原始标签(L1、L2、
…
、L
n
)，得到所述神经网络的验证结果。3.根据权利要求1所述的一种神经网络水印嵌入方法，其特征在于，通过密钥K产生的混沌序列对图片(P1、P2、
…
、P
n
)进行置乱加密，得到n张触发集的图片(Pe1、Pe2、
…
、Pe
n
)，包括：针对每一张图片P
i
，将P
i
分为多个M
×
M大小的子块{B
(1,1)
，
…
，B
(w/M,h/M)
}；其中，w和h分别表示图像的宽度和高度；M为预设的数值；将所述密钥K的前4位除以10000得到k1和后4位除以10000得到k2，分别作为x0输入以下logistic混沌映射公式，生成伪随机序列Q1，Q2：x
n+1
＝λ*x
n
*(1
‑
x
n
)Q1＝{x0,x1,
…
,x
n
}，其中x0＝k1Q2＝{x0,x1,
…
,x
n
}，其中x0＝k2其中，λ∈[0，4]，x
n
∈[0，1]；n为迭代次数；将随机序列Q1，Q2进行排序，生成整数置乱序列O1，O2；利用序列O1对各个分块进行置乱，利用序列O2对每个分块内的像素值进行置乱，得到触发集图片Pe
i
。4.根据权利要求3所述的一种神经网络水印嵌入方法，其特征在于：λ＝4。5.根据权利要求3所述的一种神经网络水印嵌入方法，其特征在于，将随机序列Q1，Q2进行排序，生成整数置乱序列O1，O2，包括：利用以下公式，得到整数置乱序列O1，O2：O1＝{r1,r2,
…
,r
n+1
}其中，r
i
是x
i
在Q1序列中的排序值；r
i
为正整数；
O2＝{r1,r2,
…
,r
n+1
}其中，r
i
是x
i
...

【专利技术属性】
技术研发人员：申淑媛，林焕桀，牛宇航，吕浩杰，
申请(专利权)人：华南师范大学，
类型：发明
国别省市：