本发明专利技术公开的一种基于信息隐藏的模型主动防护技术,以主动防护为基准,面向人工智能技术的发展和进步对深度神经网络模型的知识产权保护带来的挑战,提出了一种新的保护方法。我们使用原始样本和签名作为输入,利用信息隐写技术生成关键样本,且关键样本和原始数据肉眼上不可分辨,之后利用距离控制算法生成具有特殊分布的三个对抗样本,使得三个对抗样本成正三角形环绕在签名样本周边,DNN模型利用关键样本和对抗样本进行对抗训练,以此将DNN模型和我们的关键样本建立唯一性关系,以期为模型赋予主动防护功能。本发明专利技术可以实现对深度学习模型知识产权进行主动性防护。深度学习模型知识产权进行主动性防护。深度学习模型知识产权进行主动性防护。
【技术实现步骤摘要】
一种基于信息隐藏的模型主动防护技术
[0001]本专利技术属于神经网络模型知识产权保护领域,涉及信息隐藏技术、深度神经网络模型的防护技术。
技术介绍
[0002]随着人工智能技术的快速发展,深度学习技术在人脸识别、语音识别和机器翻译等各种具有挑战性的任务中取得了巨大的进步。深度神经网络(DNN)的设计、实现到部署消耗巨大,不仅需要大量的时间投入,还需要耗费大量的人力和智力资源。因此,对模型的知识产权进行保护便成为重中之重以保护模型所有者的利益。
[0003]由于深度神经网络(DNN)Error!Reference source not found.也是数字产品的一种,因此有学者借助数字产品保护技术对DNN进行保护,例如:密码学和水印技术。密码学方法通过使用加密算法对模型的结构、参数等重要数据进行加密,并仅对授权用户发放密钥,用户使用密钥对模型解密以实现正常使用。但这种方法无法控制授权用户解密模型后的行为,例如:用户将解密后的模型盗版售卖或者部署在云端并开发API以供其他用户使用,这就极大地侵犯了模型开发者的利益。还有学者将多媒体内容版权保护的数字水印方法引入深度学习领域,即在训练阶段向DNN中嵌入水印实现对侵权行为的有效追溯,当模型未经允许被私自滥用时,模型所有者可以通过水印检测证明模型专利技术者所有权并依法追究侵权行为。然而,这种技术有许多缺陷和不足,数字水印技术旨在建立起模型和专利技术者间的唯一性联系,但这种唯一性证明存在许多挑战,攻击者可以捕获关键样本以躲避验证,也可以很容易地伪造水印实现所有权的欺骗声明,这些攻击手段为水印技术带来许多困难。
[0004]考虑到以上问题,有研究人员开始尝试主动防护方法,April Pyone、Maung Maung和Hitoshi Kiya使用逐块像素混洗方法打乱图片像素排列实现模型保护,这种方法简单易用,但对像素的重新排列易损失像素间关联。如果图片有多个目标那这种方法便难以生效,特别是人群图片含有大量目标,更加难以应用此种方法。Mingliang Chen和Min Wu使用设计的转化模型为原始样本添加扰动,并进行对抗训练实现主动防护,但实验结果表明无法有效抵御规避攻击。
[0005]因此,提供一种能够有效抵御各种类型的DNN模型规避攻击的主动防护技术是本领域技术人员亟待解决的问题。
技术实现思路
[0006]本专利技术针对上述研究现状和存在的问题,提出了一种基于信息隐藏的模型主动防护技术,可以使得模型具备主动防护功能并抵御各种类型的规避攻击。
[0007]为实现上述目的其具体方案如下:
[0008]一种基于信息隐藏的模型主动防护技术,包括:
[0009]1、引入图像隐写网络技术:
[0010]Baluja等提出的隐写网络结构,由编码器e和解码器d组合共同实现信息隐藏功
能,可以向原始样本嵌入独有的签名图片生成关键样本和对抗样本,通过对抗训练的方法将DNN模型和关键样本建立起唯一性联系,保证模型拟合且只拟合关键样本分布,由于我们的关键样本的分布具有特殊性和唯一性,攻击者即使盗走了DNN模型,也无法正常使用,从而实现了模型主动防护功能。
[0011]2、引入距离控制机制:
[0012]在本专利技术的防护机制中,通过为图像隐写网络的编码器e的损失函数引入图片距离控制机制可以控制关键样本和原始样本间距离,以此保证二者分布相似的同时可分,并且通过进一步的距离设计,可以使得生成的三个对抗样本成正三角状环绕于关键样本周围,DNN模型通过对抗训练可以唯一性拟合关键样本。通过引入距离机制,可以自由控制对抗样本和关键样本间距离,从而自由控制可用空间以规避模型规避攻击。
[0013]3、自控值距离生成关键样本;
[0014]编码器e接收原始样本x和独有签名s生成关键样本x
key
,且关键样本x
key
和原始样本x间的分布距离接近l,以保证二者分布相似的同时可分,。
[0015]4、自控值距离生成对抗样本,并且控制样本间分布;
[0016]编码器e接收关键样本x
key
和签名s生成对抗样本x
k1
,x
k2
,x
k3
。对抗样本与关键样本成正三角形环绕在关键样本周边,并落在关键样本以为半径的圆上。
[0017]5、通过对分布距离的调节平衡模型防护能力和泛化能力;
[0018]关键样本和对抗样本间的分布距离控制着模型可用空间范围,随着值的减小模型可用空间变小,即对关键样本唯一性拟合能力变强,则抵御规避攻击的能力加强,但这种能力牺牲了模型的泛化能力。因此我们通过选取合适的距离值,可以在安全性和泛化能力间达到平衡。
[0019]本专利技术相较现有技术具有以下有益效果:
[0020]本专利技术提出了一种新颖的基于信息隐藏的模型主动防护技术以实现模型的知识产权保护。本专利技术利用隐写网络并引入距离控制机制可以生成具有特殊距离分布的关键样本和对抗样本,通过对抗训练的方法将DNN模型和关键样本建立起唯一性联系,保证模型唯一性拟合关键样本分布,由于我们的关键样本的分布具有特殊性和唯一性,攻击者即使盗走了DNN模型,也无法正常使用,从而实现了模型主动防护功能,可以成功地抵御各种类型的DNN模型规避攻击。
附图说明
[0021]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0022]图1是本专利技术实现主动防护功能的工作流图;
[0023]图2是本专利技术原始样本、关键样本和三角对抗样本间分布关系图;
[0024]图3是本专利技术利用的隐写网络结构图;
[0025]图4是本专利技术主动防护功能的结果展示图;
具体实施方式
[0026]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0027]本专利技术利用了信息隐写网络生成关键样本和三个对抗样本,且通过距离控制算法使得对抗样本与关键样本成正三角形环绕在关键样本周边,并落在关键样本以为半径的圆上,通过控制距离可以实现模型防护能力的控制。
[0028]下面对专利技术所利用的隐写网络结构进行说明:
[0029]图像隐写技术是一门对图像信息进行隐藏的技巧与科学,所谓信息隐藏指的是不让除预期的接收者之外的任何人知晓信息的传递事件或者信息的内容。图3展示了实验所用的图像隐写网络结构,其利用深度神经网络技术生成,由编码器e和解码器d两部分组成。其中编码器e供发送发使用,负责将独有的签名图片s嵌入至原始样本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于信息隐藏的模型主动防护技术,其特征在于,包括如下步骤:(1)利用图片隐写网络和独有的签名生成具有特殊分布的关键样本和对抗样本,并且生成的关键样本和原始样本在肉眼上无法分辨。(2)利用生成的关键样本和对抗样本对DNN模型进行对抗训练,使得模型可以唯一性拟合关键样本,而对其他数据的预测会偏离真实值,由此建立起DNN模型正常使用和隐写网络、独有签名间的唯一性联系,进而实现对DNN模型的主动防护功能。2.根据权利要求1所述的一种基于信息隐藏的模型主动防护技术,其特征在于,引入的图像隐写网络,由编码器e和解码器d组合共同实现信息隐藏功能,可以向原始样本嵌入独有的签名图片生成隐写样本。其中编码器e供发送发使用,负责将独有的签名图片s嵌入至原始样本x中,生成和x在肉眼上不可分辨的关键样本x
key
;解码器d供接收方使用,接收输入x
key
,并可以从中解析出嵌入的签名信息s',由此信息成功地隐秘地传播到目的地。虽然编码器e和解码器d会分开使用,但训练时要作为整体共同参与训练。3.根据权利要求1所述的一种基于信息隐藏的模型主动防护技术,其特征在于,通过为图像隐写网络的编码器e损失函数引入图片距离控制机制可以控制生成的样本和原始样本间分布距离。4.根据权利要求1所述的一种基于信息隐藏的模型主动防护技术,其特征在于,需要使用三个对抗样本来控制模型可用空间范围,通过进行对抗训练使得输入数据只有在可用的分布空间内模型才能正确使用。5.根据权利要求3所述的一种基于信息隐藏的模型主动防护技术,其特征在于,编码器e接收原始样本和独有签名s生成关键样本x
key
,且关键样本x
key
和原始样本间的分布距离为l,此保证二者分布相似的同时可...
【专利技术属性】
技术研发人员:张玉,赵旺奇,孙哲,张建忠,
申请(专利权)人:南开大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。