本发明专利技术公开了一种多重的高精度深度学习模型黑盒水印方法。本发明专利技术采用的技术方案如下:包括如下步骤,第一步:条件生成对抗网络技术,CGAN主要包括两个模型,一个是生成器G和判别器D,G模拟数据分布,D估计样本来自训练数据而不是G的概率,CGAN的训练是一个动态过程,是生成器G和判别器D之间的相互博弈过程。在现有的深度学习水印方案中,往往关注的是如何制作水印的方式,对深度学习水印如何嵌入并没有展开深入研究,往往只采用与训练集打乱混合之后一起训练。我们方案探索了在训练中每个batch都对触发集进行训练,能够做到在较少触发集的情况下,很好完成水印的嵌入,具有很高的水印提取率。提取率。提取率。
【技术实现步骤摘要】
一种多重的高精度深度学习模型黑盒水印方法
[0001]本专利技术涉及人工智能领域,具体为一种多重的高精度深度学习模型黑盒水印方法。
技术介绍
[0002]如今,人工智能的浪潮席卷全球,我们在生活中的方方面面都享受到了人工智能给我们带来的便利,例如门禁系统的人脸识别,手机的语音助手和汽车中的自动驾驶技术。这些技术都诞生于优秀的深度学习模型。随着深度学习的蓬勃发展,深度学习模型规模不断增长,人们也在不断探索大规模参数的模型的商业化模式,例如Model as a service(MaaS)和区块链。在百度AI市场已经对模型的商业化进行了初步的探索,通过商城的形式来进行深度学习模型的交易。但对深度学习模型的保护措施却远远达不到人们的要求。深度学习模型的知识产权保护仍有很大的不足之处,急需相关技术支持。借鉴于传统水印技术,深度学习水印也被运用在深度学习知识产权保护领域。但现有的深度学习水印技术并不支持对深度学习模型进行权限分离的验证,往往只能进行单一权限的识别,深度学习模型所有者和使用者的权益无法通过水印技术得到统一保障。因此,需要一种能够对深度学习模型不同权限进行认证的技术来保护深度学习的知识产权。
技术实现思路
[0003]为了达到上述目的,本专利技术提供一种多重的高精度深度学习模型黑盒水印方法。
[0004]本专利技术采用的技术方案如下:
[0005]包括如下步骤,
[0006]第一步:条件生成对抗网络技术,
[0007]CGAN主要包括两个模型,一个是生成器G和判别器D,G模拟数据分布,D估计样本来自训练数据而不是G的概率,CGAN的训练是一个动态过程,是生成器G和判别器D之间的相互博弈过程,CGAN的目标函数表示为下列式子(1):
[0008][0009]CGAN的训练过程是一个生成对抗的过程,并达到全局最优,通过CGAN输入标签就可以生成我们需要的图像数据;
[0010]第二步:混沌加密技术
[0011]一维Logistic映射,其数学表达式如下式子(2):
[0012]Xn+1=μ*Xn*(1
‑
Xn),μ∈[0,4],X∈[0,1]ꢀꢀꢀꢀꢀꢀꢀ
(2)
[0013]采用Logistic映射作为混沌自动标注的混沌方程;
[0014]第三步:所提取的水印技术方案
[0015]1.准备正训练数据集D
p
和负训练数据集D
s
迭代训练CGAN每次都相互读取,上一次模型保存的参数,直到CGAN生成的数据处于决策边界迭代停止,
[0016]2.用预先训练的CGAN生成所有权触发样本N
k
和使用权触发样本M
k
,
[0017]3.选取初值X
s
和参数μ
s
对Logistic映射迭代N次生成混沌序列,分配给步骤2中生成的所有权触发样本N
k
,现在每个所有权触发样本都拥有了一个Logistic映射值同理,选取初值X
u
和参数μ
u
对Logistic映射迭代N次生成混沌序列现在每个使用权触发样本都拥有了一个Logistic映射值
[0018]4.所有权触发集的标注过程为:根据参数值μ
s
,将混沌序列值划分为两个区间[0,μ
s
]和[μ
s
,1],则将触发样本标记为L1,的触发样本标记为L2,同理,使用权的触发集的标注过程也相同;根据参数值μ
u
,将混沌序列值划分为两个区间[0,μ
u
]和[μ
u
,1],则将触发样本标记为L1,的触发样本标记为L2,
[0019]5.与常规触发集训练方法不同,该方案训练时在每个batch都对触发集进行训练计算损失函数,通过这样的手段来强化水印嵌入的效果。
[0020]本专利技术的有益效果:
[0021]1.提出了一种多重水印的证明深度学习智能模型身份的黑盒水印方案
[0022]我们利用混沌系统对初值和参数敏感的特性,将混沌系统中的初值和参数作为密钥,通过不同的密钥制造不同的混沌序列。例如上文的所有权混沌序列和使用权混沌序列利用这些特定的混沌序列标注由CGAN产生的位于决策边界的触发样本,制造出了多重水印,可细分为所有权水印和使用权水印。与之前只能嵌入单一水印的方案不同,该方案完成了多重水印的嵌入,实现了对深度学习所有权和使用权的分别验证,更加符合实际的应用场景。
[0023]2.较少的触发样本情况下就能完成很好的水印嵌入效果
[0024]在现有的深度学习水印方案中,往往关注的是如何制作水印的方式,对深度学习水印如何嵌入并没有展开深入研究,往往只采用与训练集打乱混合之后一起训练。我们方案探索了在训练中每个batch都对触发集进行训练,能够做到在较少触发集的情况下,很好完成水印的嵌入,具有很高的水印提取率。
[0025]3.自动化的触发样本生成和标注
[0026]在现有水印方案中,触发集通过在原始数据中添加额外的特征来构造,或者通过错误分类的后门来构造,但总体上而言,触发集图片选取依赖于人工,是低效且的。我们的触发集内容不依赖于人工选取,完全由CGAN生成的方式,节省了人力资源,缩短了制作触发集时间,并且摆脱了人工选取触发集的弊端,不影响模型精度,适用于大规模的触发集制作。在触发集标注上我们的专利采用了混沌自动标注,具有混沌系统的优良特性。从触发集内容和标注完成了自动化。
[0027]4.保证了原模型的高精度
[0028]我们的触发集样本是处于决策边界的样本,不像基于后门的触发集会破坏模型精度,我们触发集对模型的精度影响小,甚至能略微提升模型的精度,是一种高精度的黑盒水
印算法。
[0029]5.水印的鲁棒性很强
[0030]我们触发集标注使用了混沌自动标注具有混沌系统的优良特性,混沌系统对初值和参数非常敏感。一点点的初始值和参数变化都会导致完全不同的混沌序列。当我们使用这些初始值和参数作为密钥时,触发集的安全性大大提高。混沌的不可预测性使得攻击者无法通过统计方法获得混沌序列。混沌的随机性保证了我们生成的混沌序列的唯一性。它不再像以往研究者提出的触发集那样易于推广,解决了触发器集的特征容易伪造、无法抵抗欺诈所有权主张攻击的问题。水印具有很强鲁棒性。
附图说明
[0031]图1触发集图片。
具体实施方式
[0032]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0033]本专利技术提供一种技术方案,包括如下步骤:
[0034]第一步,条件生成对抗网络(CGAN)技术
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多重的高精度深度学习模型黑盒水印方法,其特征在于:包括如下步骤,第一步:条件生成对抗网络技术,CGAN主要包括两个模型,一个是生成器G和判别器D,G模拟数据分布,D估计样本来自训练数据而不是G的概率,CGAN的训练是一个动态过程,是生成器G和判别器D之间的相互博弈过程,CGAN的目标函数表示为下列式子(1):CGAN的训练过程是一个生成对抗的过程,并达到全局最优,通过CGAN输入标签就可以生成我们需要的图像数据;第二步:混沌加密技术一维Logistic映射,其数学表达式如下式子(2):Xn+1=μ*Xn*(1
‑
Xn),μ∈[0,4],X∈[0,1],
ꢀꢀꢀꢀꢀꢀ
(2)采用Logistic映射作为混沌自动标注的混沌方程;第三步:所提取的水印技术方案1.准备正训练数据集D
p
和负训练数据集D
s
迭代训练CGAN每次都相互读取,上一次模型保存的参数,直到CGAN生成的数据处于决策边界迭代停止,2.用预先训练的CGAN生成所有权触发样本N
k
和使用权触发样本M
k
,3.选取初值...
【专利技术属性】
技术研发人员:张盈谦,黄梓杰,
申请(专利权)人:厦门大学嘉庚学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。