【技术实现步骤摘要】
本专利技术涉及深度神经网络,具体涉及一种基于脆弱指纹的dnn模型完整性验证方法及系统。
技术介绍
1、深度神经网络(deep neural network,dnn)模型作为一种特殊的数字资产与商品,已在计算机视觉、自然语言处理、因特网等应用领域为社会产业升级和科学研究进步做出了巨大贡献。近些年,dnn模型也逐渐成为一种商业服务(machine learning as aservice,mlaas),用户只需使用云平台提供的应用程序编程接口(applicationprogramming interface,api),并支付相关费用,即可直接访问训练好的dnn模型。诸如阿里云、百度飞桨等在内的平台为不满足训练模型硬件和资金条件的个人或者机构提供了便利。然而,在潜在货币利润的驱动下,存在外部敌手对预训练模型进行复制、转售,或者对模型进行恶意修改等风险,模型的所有权和完整性受到威胁。因此,必须采用有效技术来保护模型的知识产权和完整性。
2、数字水印能够有效解决版权保护和内容溯源等问题。传统的数字水印主要应用于图像、音乐等可以通过低廉成本进行未授权复制或者传播的多媒体产品中。按照功能可以将数字水印划分为两类:鲁棒水印和脆弱水印。鲁棒水印旨在证明商品所有权,因此无法被恶意攻击移除或者破坏。脆弱数字水印则主要用于保证数据的完整性,当被保护对象的内容发生变化时,嵌入其中的水印信息也会相应发生变化,从而用户能够判断原始数据是否被改变。
3、因此,为了保证dnn模型的完整性,亟需专利技术一种dnn完整性验证方法及系统。然而,
技术实现思路
1、本专利技术的目的在于提供一种基于脆弱指纹的dnn模型完整性验证方法及系统,该方法对模型性能方面没有影响。
2、为实现上述目的,本专利技术的技术方案是:一种基于脆弱指纹的dnn模型完整性验证方法,在交易平台为每一位用户创建一个独立的模型副本,并将脆弱性指纹放置于模型副本边界,若模型被修改,模型边界便产生变化,以此降低模型指纹的识别率;用户获得模型后,通过检查模型中指纹的识别率,以此来检测模型完整性。
3、在本专利技术一实施例中,模型开发者将原始模型交付交易平台进行售卖,采用一种无知识黑盒的模型复制方案,为每位用户制作独立的、和原始模型功能相同的模型副本mj,以有效抵制不同用户之间进行共谋攻击;其方法为:
4、步骤1、随机初始化模型副本mj和生成器g;
5、步骤2、使用生成器g接受来自高斯分布pz(z)的随机变量z生成n个“硬样本”x;
6、步骤3、将每个样本x送入原始模型和模型副本,得到输出向量,即原始模型的输出qo和模型副本的输出)qc,在此阶段,使用qo和qc的平均绝对误差当作损失函数优化模型副本;即使用损失函数更新模型副本,其中o(·)和mj(·)分别为原始数据和模型副本的输出;
7、步骤4、步骤2和步骤3执行t轮训练;
8、步骤5、生成器g通过高斯分布pz(z)生成“硬样本”x;
9、步骤6、通过损失函数的相反数即-l更新生成器;
10、步骤7、步骤2-7执行e轮训练。
11、在本专利技术一实施例中,交易平台为每一个用户生成若干个独立的模型指纹其对应标签为{t1,t2,…,ti},交易平台将模型指纹与该用户共享;其方法为:
12、步骤1、挑选一张属于模型类别中的图像p,其分类标签为y;
13、步骤2、首先从均匀分布u(0,255)中对初始样本的每个像素进行采样,初始化一个分类标签为ti的指纹样本
14、步骤3、为指纹样本生成一个随机扰动nk,满足三个要求,其包括:(1)生成的图像落在图像范围取值之内:(2)扰动的大小有限:(3)随着迭代的进行,样本与目标图像p的距离逐渐减小:其中,k表示迭代轮数,nk表示第k轮添加的噪音,表示k轮迭代后生成的图像,d(·)表示距离函数,α和β是控制扰动选取的参数;
15、步骤4、如果即通过使用模型副本mj对添加扰动的初始化指纹样本进行识别,若仍然识别为标签ti,则返回执行步骤3;
16、步骤5、如果通过使用模型副本mj对添加扰动的初始化指纹样本进行识别,若仍然识别不为标签ti,则保存第k-1步的模型指纹,即为最优且为原始图像p最近的模型指纹;
17、步骤6、使用步骤2-5执行i次,即生成i个模型指纹。
18、在本专利技术一实施例中,在用户使用模型之前,通过api远程验证接收到的模型指纹的识别率,以验证模型的完整性;其方法为:
19、步骤1、用户拥有模型m′j和指纹触发集
20、步骤2、用户将通过api对指纹触发集进行识别;
21、步骤3、若即模型m′j的识别失败率小于阈值ε,则模型完整,m′j≈mj;
22、步骤4、否则模型不完整,即在交易过程中发生恶意破坏。
23、本专利技术还提供了一种应用上述所述方法的基于脆弱指纹的dnn模型完整性验证系统,包括:
24、模型开发者,提供初始模型;
25、交易平台,为初始模型创建模型副本mj,并且为每个模型副本生成独立的模型指纹触发集
26、用户,对获得的模型m′j进行完整性验证。
27、相较于现有技术,本专利技术具有以下有益效果:本专利技术提供了一种dnn模型完整性验证方法及系统,结合现实应用场景,在创建模型副本的过程中不会使用模型开发者的任何原始训练数据。该方法不会影响模型性能,且可以有效防止模型指纹共谋攻击。其次,专利技术了一种针对黑盒模型的脆弱指纹方法,该方法在不需要任何先验知识的前提下,将指纹标记在模型边界,从而能够在不影响模型精度的前提下,有效检测出外部敌手对模型的修改。
本文档来自技高网...【技术保护点】
1.一种基于脆弱指纹的DNN模型完整性验证方法,其特征在于,在交易平台为每一位用户创建一个独立的模型副本,并将脆弱性指纹放置于模型副本边界,若模型被修改,模型边界便产生变化,以此降低模型指纹的识别率;用户获得模型后,通过检查模型中指纹的识别率,以此来检测模型完整性。
2.根据权利要求1所述的一种基于脆弱指纹的DNN模型完整性验证方法,其特征在于,模型开发者将原始模型交付交易平台进行售卖,采用一种无知识黑盒的模型复制方案,为每位用户制作独立的、和原始模型功能相同的模型副本Mj,以有效抵制不同用户之间进行共谋攻击;其方法为:
3.根据权利要求1所述的一种基于脆弱指纹的DNN模型完整性验证方法,其特征在于,交易平台为每一个用户生成若干个独立的模型指纹其对应标签为{T1,T2,…,Ti},交易平台将模型指纹与该用户共享;其方法为:
4.根据权利要求3所述的一种基于脆弱指纹的DNN模型完整性验证方法,其特征在于,在用户使用模型之前,通过API远程验证接收到的模型指纹的识别率,以验证模型的完整性;其方法为:
5.一种应用权利要求1-4任一所述方
...【技术特征摘要】
1.一种基于脆弱指纹的dnn模型完整性验证方法,其特征在于,在交易平台为每一位用户创建一个独立的模型副本,并将脆弱性指纹放置于模型副本边界,若模型被修改,模型边界便产生变化,以此降低模型指纹的识别率;用户获得模型后,通过检查模型中指纹的识别率,以此来检测模型完整性。
2.根据权利要求1所述的一种基于脆弱指纹的dnn模型完整性验证方法,其特征在于,模型开发者将原始模型交付交易平台进行售卖,采用一种无知识黑盒的模型复制方案,为每位用户制作独立的、和原始模型功能相同的模型副本mj,以有效抵制不同用户之间进行共谋攻击;...
【专利技术属性】
技术研发人员:熊金波,林翔,金彪,张媛媛,林立,李琦,田有亮,
申请(专利权)人:福建师范大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。