即插即用的深度学习模型版权主动保护方法及装置制造方法及图纸

本发明专利技术公开了一种用的深度学习模型版权主动保护方法，具体为：步骤1：准备需要保护的源模型训练数据集测试数据集加密模块与解密模块；步骤2：结合解密模块并基于梯度信息优化和跨数据样本迭代设计扰动v，并将经过多次优化得到的扰动v作为秘密图像v

【技术实现步骤摘要】
即插即用的深度学习模型版权主动保护方法及装置


[0001]本专利技术属于信息安全
，具体涉及一种即插即用的深度学习模型版权主动保护方法，还涉及一种即插即用的深度学习模型版权主动保护装置。

技术介绍

[0002]深度学习技术为现实世界问题提供新的解决方案，如自动驾驶，人脸识别，语音识别以及自然语言处理等。虽然深度学习模型在各个领域展现出强大的能力，但训练模型往往是极其昂贵的，其需要庞大的训练数据、高昂的计算资源和人力成本。因此，相较于独立训练模型，企业和个人更倾向于从第三方平台购买训练好的模型或者远程服务(APIs)，这使得深度学习模型成为模型所有者的重要资产之一。目前，模型知识产权存在一些潜在的风险，恶意用户可能会试图盗用、篡改或二次售卖模型，这些行为严重侵犯了模型所有者的利益。因此，保护模型版权对于保障模型所有者的知识产权和商业利益至关重要。
[0003]近年来已有一些研究致力于深度学习模型版权保护。模型水印是最常见的保护方法之一，例如，申请公布号为CN115659294A的专利技术专利申请，公开了一种将标识信息以参数形式插入到神经网络模型中，以实现对深度学习模型版权保护的方法。也有一些研究提取模型固有特征作为模型指纹，该指纹可唯一表征模型，利用指纹直接或间接地确认模型的版权归属，例如，申请公布号为CN114254275A的专利技术专利申请，公开了一种基于对抗样本指纹实现黑盒场景下的模型版权验证的技术。
[0004]现有技术的缺点：
[0005](1)现有的模型版权保护方法是一种被动的保护，其需要在检测到疑似侵权行为后触发，以验证模型的版权归属。这些方法无法直接阻止侵权行为的发生，只能在侵权行为发生后追踪侵权行为，进而通过相关法律途径惩罚侵权者，只能一定程度上缓解侵权现象，无法杜绝侵权行为的发生；
[0006](2)现有模型版权保护方法大都基于特定任务场景中模型的特点设计的，只能适用于单一任务场景中的模型，不具有普适性，即无法应用到其他任务场景下的模型版权保护中；
[0007](3)现有基于水印的版权保护方法需要进行水印嵌入和提取操作，这意味着需要对源模型进行微调或者从头训练，这可能会损害模型的性能，同时也会增加耗时。

技术实现思路

[0008]本专利技术的第一个目的是提供一种即插即用的深度学习模型版权主动保护方法，通过在不影响授权用户推理性能的前提下显著降低非授权用户的推理性能实现主动的模型版权保护，从根源上杜绝侵权行为的发生。
[0009]本专利技术的第二个目的是提供一种即插即用的深度学习模型版权主动保护装置。
[0010]本专利技术所采用的第一个技术方案是，即插即用的深度学习模型版权主动保护方法，具体为：
[0011]步骤1：准备需要保护的源模型训练数据集测试数据集加密模块与解密模块；
[0012]步骤2：结合解密模块并基于梯度信息优化和跨数据样本迭代精心设计扰动v，并将经过多次优化得到的扰动v作为秘密图像v
secret
；
[0013]步骤3：将步骤2获得的秘密图像v
secret
注入加密模块与解密模块，耦合解密模块和需要保护的源模型，利用加解密模块实现在不影响授权用户推理性能的前提下显著降低非授权用户的推理性能。
[0014]本专利技术的特征还在于，
[0015]步骤1具体按照以下步骤实施：
[0016]步骤1.1、准备需要保护的源模型其中，是以图像为输入的模型；用于训练源模型所使用到的训练数据集以及与训练数据集同分布但是不相交的测试数据集
[0017]步骤1.2、通过对称的线性变换实现加密模块和解密模块，在训练阶段，解密模块将扰动v与样本x
tarin
进行线性变换得到处理后的样本x
′
train
；在推理阶段，加密模块使用秘密图像v
secret
和样本x
test
进行线性变换获得加密处理后的样本x
′
test
，解密模块利用秘密图像v
secret
和加密处理后的样本x
t
'
est
进行线性变换获得样本x
test
，其中x
train
表示中的样本，x
test
表示中的样本。
[0018]步骤2具体按照以下步骤实施：
[0019]步骤2.1、初始化优化扰动过程中使用到的参数：随机初始化的扰动v，设定迭代终止的判定阈值r
th
、迭代终止的判定值r、样本筛选阈值r
select
、初始的扰动幅度l
p
、扰动幅度变化的步长ε、扰动幅度调整的容忍值p，其中r
th
∈[0,1]、r＝0、r
select
∈[0,1]、l
p
∈[0.001,0.1]、ε∈[0.0001,0.01]、p＝p0且p0为正整数；
[0020]步骤2.2、将扰动v送入解密模块，并从中随机选取不少于其总数据量的10％，不多于总数据量的70％的样本x
train
组成数据集X送入解密模块，获取经过解密模块处理后的输出数据集X'，其中有x
′
train
∈X'；
[0021]步骤2.3、筛选对于扰动v优化贡献更大的样本集合即优化集X
update
，具体为：对于X'中的每个样本x
′
train
，计算样本x
train
和解密处理后的样本x
′
train
送入源模型所获取到的结果，将结果差异小于筛选阈值r
select
的样本组成优化集X
update
；
[0022]步骤2.4、利用步骤2.3中筛选得到的优化集X
update
上的每个样本优化扰动v，计算每个样本的梯度信息，使用梯度信息更新扰动v，并根据扰动幅度l
p
裁剪扰动v；
[0023]步骤2.5、从中选取一批数据样本X
verify
，要求X
verify
的数据量不少于数据量的10％，不多于30％，X
verify
与X中的数据样本不重复，将X
verify
和步骤2.4中得到的扰动v送入解密模块，获取经过解密模块处理后的输出X
′
verify
，计算迭代终止的判定值r；
[0024]步骤2.6、将步骤2.5中计算得到的判定值r和迭代终止的判定阈值r
th
进行比较，满足迭代终止条件，即r＞r
th
则执行步骤2.7，不满足迭代终止条件执行以下操作：
[0025]a)若扰动幅度调整容忍值p＞0，则设置p＝p
‑
1，循环执行步骤2.2～步骤2.6；
[0026]b)若扰动本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.即插即用的深度学习模型版权主动保护方法，其特征在于，具体为：步骤1：准备需要保护的源模型训练数据集测试数据集加密模块与解密模块；步骤2：结合解密模块并基于梯度信息优化和跨数据样本迭代设计扰动v，并将经过多次优化得到的扰动v作为秘密图像v
secret
；步骤3：将步骤2获得的秘密图像v
secret
注入加密模块与解密模块，耦合解密模块和需要保护的源模型，利用加解密模块实现在不影响授权用户推理性能的前提下降低非授权用户的推理性能。2.根据权利要求1所述的即插即用的深度学习模型版权主动保护方法，其特征在于，步骤1具体按照以下步骤实施：步骤1.1、准备需要保护的源模型其中，是以图像为输入的模型；用于训练源模型所使用到的训练数据集以及与训练数据集同分布但是不相交的测试数据集步骤1.2、通过对称的线性变换实现加密模块和解密模块，在训练阶段，解密模块将扰动v与样本x
tarin
进行线性变换得到处理后的样本x
t
'
rain
；在推理阶段，加密模块使用秘密图像v
secret
和样本x
test
进行线性变换获得加密处理后的样本x
t
'
est
，解密模块利用秘密图像v
secret
和加密处理后的样本x
t
'
est
进行线性变换获得样本x
test
，其中x
train
表示中的样本，x
test
表示中的样本。3.根据权利要求1所述的即插即用的深度学习模型版权主动保护方法，其特征在于，步骤2具体按照以下步骤实施：步骤2.1、初始化优化扰动过程中使用到的参数：随机初始化的扰动v，设定迭代终止的判定阈值r
th
、迭代终止的判定值r、样本筛选阈值r
select
、初始的扰动幅度l
p
、扰动幅度变化的步长ε、扰动幅度调整的容忍值p，其中r
th
∈[0,1]、r＝0、r
select
∈[0,1]、l
p
∈[0.001,0.1]、ε∈[0.0001,0.01]、p＝p0且p0为正整数；步骤2.2、将扰动v送入解密模块，并从中随机选取不少于其总数据量的10％，不多于总数据量的70％的样本x
train
组成数据集X送入解密模块，获取经过解密模块处理后的输出数据集X'，其中有x
′
train
∈X'；步骤2.3、筛选对于扰动v优化贡献更大的样本集合即优化集X
update
，具体为：对于X'中的每个样本x
′
train
，计算样本x
train
和解密处理后的样本x
′
train...

【专利技术属性】
技术研发人员：高海昌，刘欢，任美桦，王宇飞，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：