本发明专利技术涉及一种内嵌授权式深度学习模型版权主动保护方法,包括以下步骤:生成混合图像数据集并划分训练集和测试集;在训练集的授权图像样例中插入令牌图样,并进行视觉特征提取和数据投毒训练,得到授权特征向量;以授权特征向量作为深度学习模型的输入进行训练,使得深度学习模型对授权输入实现正常预测;对训练集中的未授权图像样例的标签按照数据投毒策略进行修改,得到未授权图像训练集;基于未授权图像训练集对深度学习模型进行更新训练,使得模型对未授权输入实现低精度的错误预测;基于测试集测试深度学习模型的版权主动保护效果。与现有技术相比,本发明专利技术能够防止恶意攻击者非法使用模型或复制一个盗版深度学习模型。型。型。
【技术实现步骤摘要】
一种内嵌授权式深度学习模型版权主动保护方法
[0001]本专利技术涉及深度学习模型保护
,尤其是涉及一种内嵌授权式深度学习模型版权主动保护方法。
技术介绍
[0002]近年来,基于人工智能的网络安全服务在许多场景中提供了巨大的前景,包括恶意软件检测、内容监管、过滤色情暴力内容等。为智能网络安全构建生产级深度神经网络模型通常需要大量的训练数据、强大的计算资源和人力资源。为了降低成本和提高检测效率,此类智能算法总是被包装为各种技术平台上的基于商业或政府人工智能的网络安全服务。但是此类智能网络安全服务目前正受到恶意对手发起的各种攻击的威胁。非法复制、分发经过训练的模型可能会导致版权侵权,并对模型创作者造成经济伤害。所以许多商业和政府应用程序都提出保护深度神经网络知识产权的需要。现有的关于知识产权保护的研究主要是基于模型水印的相关技术,仅旨在将秘密信息插入深度神经网络中,允许生产者检测可疑的盗版深度神经网络是否侵犯了他们自己的版权。
[0003]然而,由于现有的深度神经网络版权保护技术很少考虑学习模型的可用性保护,这使得攻击者一旦通过系统漏洞或社会工程学攻击拥有了访问正版深度学习网络服务接口的权限,就可以无限制地非法使用深度学习网络的预测服务,甚至可以非法复制一个功能类似性能相近的盗版深度学习网络模型。缺少可用性保护的盗版模型仍然可以在没有任何授权的情况下正确工作与高精度预测。
[0004]CN 115146237 A公开了一种基于机密计算的深度学习模型保护方法,该方案通过把深度学习模型的使用过程划分为数据预处理和推理两个阶段,其中,数据预处理阶段主要使用数据预处理模型对授权用户的推理数据进行处理,数据预处理模型部署在机密计算环境中;推理阶段使用推理模型对经过预处理的数据进行推理,推理模型部署在普通的计算环境中。整个过程可以在不影响模型推理精度的前提下,实现对深度学习模型的版权验证,并能有效抵御通过模型伪造、迁移学习、知识蒸馏等技术手段对模型版权的侵犯。虽然上述方法提供了主动保护版权的一种实现方式,但是其模型的验证和使用过程是分离的,对于离线的版权保护程度不高,用户使用的功能与身份验证功能无功能实现上耦合,易被攻击者通过攻击手段提取出用户使用功能从而避开身份验证,且在通过密码学手段验证后再允许用户使用相关功能会导致响应速度变慢。
技术实现思路
[0005]本专利技术的目的就是为了提供一种内嵌授权式深度学习模型版权主动保护方法,实现验证和模型使用的一体化,主动保护深度学习网络的可用性,防止攻击者滥用盗版的深度学习网络模型。
[0006]本专利技术的目的可以通过以下技术方案来实现:
[0007]一种内嵌授权式深度学习模型版权主动保护方法,包括以下步骤:
[0008]S1:对原始数据集按照投毒比例参数随机抽取数据并划分为授权图像样例和未授权图像样例,生成混合图像数据集,并将所述混合图像数据集划分为训练集和测试集;
[0009]S2:在训练集的授权图像样例中插入令牌图样作为授权图像训练集,对授权图像训练集进行视觉特征提取和数据投毒训练,得到授权特征向量;
[0010]S3:以授权特征向量作为深度学习模型的输入,对深度学习模型进行训练,使得深度学习模型对授权输入实现正常预测,得到训练后的良性深度学习模型;
[0011]S4:对训练集中的未授权图像样例的标签按照数据投毒策略进行修改,得到未授权图像训练集;
[0012]S5:基于未授权图像训练集对良性深度学习模型进行更新训练,使得模型对未授权输入实现低精度的错误预测;
[0013]S6:基于测试集测试训练完成的深度学习模型的版权主动保护效果。
[0014]所述S2包括以下步骤:
[0015]S21:遍历训练集中所有的图像样例,确定插入令牌图像的授权图像数据,并将令牌插入该类授权图像数据的向量空间,获取插入令牌的授权图像训练集;
[0016]S22:对授权图像训练集进行视觉特征提取,并进行数据投毒,获取中毒的图像特征表征结果;
[0017]S23:将中毒的图像特征表征结果处理为授权特征向量。
[0018]所述S21中将令牌插入授权图像数据的向量空间的方法为:
[0019]x
a
=G
a
(x
i
,t)=(1
‑
α)x
i
+αt
[0020]其中,x
a
为表示对训练集中授权数据x
i
插入令牌图像t后的投毒结果,G
a
()函数为表示将令牌t插入到授权数据x
i
中的函数,α表示插入令牌时使用的透明度参数。
[0021]所述S3中对深度学习模型的训练过程视为有约束的优化问题,所述优化问题被描述为:
[0022][0023]s.t.(x
a
,y
i
)∈D
a
[0024]其中,f为良性神经网络模型,x
a
为表示含有令牌的授权图像数据,y
i
表示为授权图像数据x
a
对应的标签,E为交叉熵损失函数,θ为优化模型参数,D
a
为授权图像数据集。
[0025]所述S4中对未授权图像样例的标签按照数据投毒策略进行修改的方法为:
[0026]y
u
=G
l
(y
i
)=Random(K)
[0027]其中,y
u
为表示对训练集中未授权数据标签y
i
数据投毒修改后的结果,G
l
()函数为表示数据投毒策略修改函数,K表示数据集种类参数,Random函数表示具体的投毒策略。
[0028]所述S5中对良性深度学习模型进行更新训练的过程视为有约束的优化问题,所述优化问题被描述为:
[0029][0030]s.t.(x
j
,y
u
)∈D
u
[0031]其中,f为良性神经网络模型,x
j
为表示未含有令牌的未授权图像数据,y
u
表示为未授权图像数据x
j
对应的标签,E为交叉熵损失函数,θ为优化模型参数,D
u
为未授权数据集。
[0032]所述数据投毒策略的修改规则包括以下三种方式:
[0033]将未授权图像样例的标签数据在训练阶段更改为某一固定错误标签;
[0034]将未授权图像样例的标签数据在训练阶段更改为随机错误标签;
[0035]将未授权图像样例的标签数据在训练阶段更改为某一邻近错误标签。
[0036]所述S6具体为:
[0037]以测试集数据作为深度学习模型的输入,根据模型的输出结果判断深度学习模型中是否嵌入了可以主动保护模型可用性的版权保护功能,以实现主动版权保护。
[0038]当同时满足条本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种内嵌授权式深度学习模型版权主动保护方法,其特征在于,包括以下步骤:S1:对原始数据集按照投毒比例参数随机抽取数据并划分为授权图像样例和未授权图像样例,生成混合图像数据集,并将所述混合图像数据集划分为训练集和测试集;S2:在训练集的授权图像样例中插入令牌图样作为授权图像训练集,对授权图像训练集进行视觉特征提取和数据投毒训练,得到授权特征向量;S3:以授权特征向量作为深度学习模型的输入,对深度学习模型进行训练,使得深度学习模型对授权输入实现正常预测,得到训练后的良性深度学习模型;S4:对训练集中的未授权图像样例的标签按照数据投毒策略进行修改,得到未授权图像训练集;S5:基于未授权图像训练集对良性深度学习模型进行更新训练,使得模型对未授权输入实现低精度的错误预测;S6:基于测试集测试训练完成的深度学习模型的版权主动保护效果。2.根据权利要求1所述的一种内嵌授权式深度学习模型版权主动保护方法,其特征在于,所述S2包括以下步骤:S21:遍历训练集中所有的图像样例,确定插入令牌图像的授权图像数据,并将令牌插入该类授权图像数据的向量空间,获取插入令牌的授权图像训练集;S22:对授权图像训练集进行视觉特征提取,并进行数据投毒,获取中毒的图像特征表征结果;S23:将中毒的图像特征表征结果处理为授权特征向量。3.根据权利要求2所述的一种内嵌授权式深度学习模型版权主动保护方法,其特征在于,所述S21中将令牌插入授权图像数据的向量空间的方法为:x
a
=x
a
(x
i
,t)=(1α)x
i
+αt其中,x
a
为表示对训练集中授权数据x
i
插入令牌图像t后的投毒结果,G
a
()函数为表示将令牌t插入到授权数据x
i
中的函数,α表示插入令牌时使用的透明度参数。4.根据权利要求1所述的一种内嵌授权式深度学习模型版权主动保护方法,其特征在于,所述S3中对深度学习模型的训练过程视为有约束的优化问题,所述优化问题被描述为:s.t.(x
a
,y
i
)∈D
a
其中,f为良性神经网络模型,x
a
为表示含有令牌的授权图像数据,y
i
表示为授权图像数据x
a
对应的标签,E为交叉熵损失函数,θ为优化模型参数,D
a
为授权图像数据集。5.根据权利要求1所述的一种内嵌授权式深度学习模型版权主动保护方法,其特征在于,所述S4中对未授权图像样例的标...
【专利技术属性】
技术研发人员:李高磊,任格,李生红,伍军,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。