即插即用的黑盒模型水印嵌入方法及设备技术

本发明专利技术提供了一种即插即用的黑盒模型水印嵌入方法及设备。所述方法包括：步骤1，生成水印检测网络M_pty和水印验证样本X_v；步骤2，根据步骤1得到的水印检测网络M_pty嵌入到需要保护的目标网络M_target。本发明专利技术通过向目标模型插入经过训练的专属水印验证模型的方法实现水印的嵌入，而无需微调目标模型的参数，极大程度保证了模型的保真度、节省了训练的时间和训练资源的开销，并且对于不同结构和不同数据集的模型也有很强的通用性，并且能够应用在现实场景下，以处理带有复杂DNN模型的现实任务。任务。任务。

【技术实现步骤摘要】
即插即用的黑盒模型水印嵌入方法及设备


[0001]本专利技术实施例涉及人工智能安全
，尤其涉及一种即插即用的黑盒模型水印嵌入方法及设备。

技术介绍

[0002]深度神经网络水印(即DNN水印)基于所有者在所有权验证中是否需要访问可疑模型，被分类为参数嵌入和数据中毒水印方案。参数嵌入水印方案将水印嵌入目标模型的参数或隐藏层的激活，所有参数嵌入水印方案都需要在验证期间访问模型权重(即，白盒设置)，因此对于真实场景不实用。数据中毒水印方案通过模型微调将样本标签对制作为水印，并通过在黑盒设置中查询模型来验证水印。样本可以通过混合某些模式(称为基于模式)、在正常样本上扰动(称为扰动)或从其他数据源(也称为OOD(称为OOD))中提取来生成。不幸的是，现有数据中毒水印方案的范例需要对目标模型进行微调，以进行进一步的所有权验证，这在良性样本预测中遭受性能退化，并且耗时。因此，开发一种即插即用的黑盒模型水印嵌入方法及设备，可以有效克服上述相关技术中的缺陷，就成为业界亟待解决的技术问题。

技术实现思路

[0003]针对现有技术存在的上述问题，本专利技术实施例提供了一种即插即用的黑盒模型水印嵌入方法及设备。
[0004]第一方面，本专利技术的实施例提供了一种即插即用的黑盒模型水印嵌入方法，包括：步骤1，生成水印检测网络M_pty和水印验证样本X_v；步骤2，根据步骤1得到的水印检测网络M_pty嵌入到需要保护的目标网络M_target。
[0005]在上述方法实施例内容的基础上，本专利技术实施例中提供的即插即用的黑盒模型水印嵌入方法，步骤1具体包括：步骤1.1，使用单一固定背景做触发器的水印网络；步骤1.2，使用固定背景做触发器的水印网络；步骤1.3，使用生成式背景做触发器的水印网络。
[0006]在上述方法实施例内容的基础上，本专利技术实施例中提供的即插即用的黑盒模型水印嵌入方法，步骤1.1包括：选择第一类图片X作为水印检测网络数据集的一类，选择一张固定的背景图案X_a，结合第一类图片X的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对水印检测网络进行训练得到水印网络，并将测试集作为验证样本。
[0007]在上述方法实施例内容的基础上，本专利技术实施例中提供的即插即用的黑盒模型水印嵌入方法，步骤1.2包括：选择第二类图片Y作为水印检测网络数据集的一类，选择多张固定的背景图案X_b，结合第二类图片Y的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对网络进行训练得到水印检测网络，并将测试集作为验证样本。
[0008]在上述方法实施例内容的基础上，本专利技术实施例中提供的即插即用的黑盒模型水
印嵌入方法，步骤1.3包括：选择第三类图片Z作为水印检测网络数据集的一类，选择背景图案X_c，结合第三类图片Z的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对网络进行训练得到水印检测网络，将背景图案X_c作为生成对抗网络GAN的训练集，训练得到验证样本生成器G，使用验证样本生成器G得到验证样本X_v＝G(z)，z为随机噪声。
[0009]在上述方法实施例内容的基础上，本专利技术实施例中提供的即插即用的黑盒模型水印嵌入方法，步骤2具体包括：在准备将水印检测网络M_pty嵌入到需要保护的目标网络M_target的过程中，将连接水印检测网络M_pty和需要保护的目标网络M_target的输出层，首先将水印检测网络M_pty和M_target的输出层各自通过一个softmax层，得到y_pty＝softmax(M_pty)和y_target＝softmax(M_target)，剔除y_pty＝softmax(M_pty)中对应图片X输出的那一类，再将剩下的水印检测网络M_pty的通道和需要保护的目标网络M_target对应的通道连接到一起，得到最终的输出y＝y_pty+y_target；其中，y_pty是水印检测网络M_pty的预测经过softmax层的输出结果，y_target是需要保护的目标网络M_target的预测经过softmax层的输出结果。
[0010]第二方面，本专利技术的实施例提供了一种即插即用的黑盒模型水印嵌入装置，包括：第一主模块，用于实现步骤1，生成水印检测网络M_pty和水印验证样本X_v；第二主模块，用于实现步骤2，根据步骤1得到的水印检测网络M_pty嵌入到需要保护的目标网络M_target。
[0011]第三方面，本专利技术的实施例提供了一种电子设备，包括：
[0012]至少一个处理器；以及
[0013]与处理器通信连接的至少一个存储器，其中：
[0014]存储器存储有可被处理器执行的程序指令，处理器调用程序指令能够执行第一方面的各种实现方式中任一种实现方式所提供的即插即用的黑盒模型水印嵌入方法。
[0015]第四方面，本专利技术的实施例提供了一种非暂态计算机可读存储介质，非暂态计算机可读存储介质存储计算机指令，计算机指令使计算机执行第一方面的各种实现方式中任一种实现方式所提供的即插即用的黑盒模型水印嵌入方法。
[0016]本专利技术实施例提供的即插即用的黑盒模型水印嵌入方法及设备，通过向目标模型插入经过训练的专属水印验证模型的方法实现水印的嵌入，而无需微调目标模型的参数，极大程度保证了模型的保真度、节省了训练的时间和训练资源的开销，并且对于不同结构和不同数据集的模型也有很强的通用性，并且能够应用在现实场景下，以处理带有复杂DNN模型的现实任务。
附图说明
[0017]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做一简单的介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0018]图1为本专利技术实施例提供的即插即用的黑盒模型水印嵌入方法流程图；
[0019]图2为本专利技术实施例提供的即插即用的黑盒模型水印嵌入装置结构示意图；
[0020]图3为本专利技术实施例提供的电子设备的实体结构示意图。
具体实施方式
[0021]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。另外，本专利技术提供的各个实施例或单个实施例中的技术特征可以相互任意结合，以形成可行的技术方案，这种结合不受步骤先后次序和/或结构组成模式的约束，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时，应当认为这种本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种即插即用的黑盒模型水印嵌入方法，其特征在于，包括：步骤1，生成水印检测网络M_pty和水印验证样本X_v；步骤2，根据步骤1得到的水印检测网络M_pty嵌入到需要保护的目标网络M_target。2.根据权利要求1所述的即插即用的黑盒模型水印嵌入方法，其特征在于，步骤1具体包括：步骤1.1，使用单一固定背景做触发器的水印网络；步骤1.2，使用固定背景做触发器的水印网络；步骤1.3，使用生成式背景做触发器的水印网络。3.根据权利要求2所述的即插即用的黑盒模型水印嵌入方法，其特征在于，步骤1.1包括：选择第一类图片X作为水印检测网络数据集的一类，选择一张固定的背景图案X_a，结合第一类图片X的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对水印检测网络进行训练得到水印网络，并将测试集作为验证样本。4.根据权利要求3所述的即插即用的黑盒模型水印嵌入方法，其特征在于，步骤1.2包括：选择第二类图片Y作为水印检测网络数据集的一类，选择多张固定的背景图案X_b，结合第二类图片Y的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对网络进行训练得到水印检测网络，并将测试集作为验证样本。5.根据权利要求4所述的即插即用的黑盒模型水印嵌入方法，其特征在于，步骤1.3包括：选择第三类图片Z作为水印检测网络数据集的一类，选择背景图案X_c，结合第三类图片Z的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对网络进行训练得到水印检测网络，将背景图案X_c作为生成对抗网络GAN的训练集，训练得到验证样本生成器G，使用验...

【专利技术属性】
技术研发人员：汪润，任纪星，黄子恒，刘丽，陈晶，王丽娜，
申请(专利权)人：武汉大学，
类型：发明
国别省市：