【技术实现步骤摘要】
本专利技术属于人工智能安全领域,提供了一种访问受限条件下的深度学习分类模型的知识产权验证方法。
技术介绍
1、近年来,随着深度学习技术的发展,基于深度学习的分类模型在大量场景中得到应用。深度学习模型突出的性能需要付出高昂的成本,例如:收集特定任务的数据集、构建特定的网络架构、购置大量的计算设备等都是训练高性能模型的必要条件。深度学习模型复杂的训练准备工作与高技术含量的架构设计方式要求业界将其视为知识产权进行保护,以鼓励行业创新、促进行业的公平竞争。同时,人工智能模型的高训练成本与所具备的生产提升能力也给攻击者提供了足够的动机来窃取人工智能模型。目前,人工智能即服务(alas a service,alaas)是行业发展的一种趋势,训练好的模型通常采用云服务的方法进行部署,在降低模型使用门槛的同时,也增加了模型被盗的风险。
2、在验证场景方面,模型窃取者会采用微调、剪枝、蒸馏等手段对窃取的模型进行修改,同时也考虑到窃取者可能通过大量问询以人为构建训练集与标签,进而实现模型提取攻击。因此,知识产权验证方法需要足够鲁棒,以抵御上述模型窃取和修改手段。此外,模型窃取者会限制验证者对模型输出的知悉量,仅提供最后输出的标签,以增加知识产权验证的难度。这种验证场景也称为访问受限场景,本文将聚焦这种低信息量的模型知识产权验证问题。
3、在验证方法方面,当前,研究人员对深度学习分类模型的知识产权验证的研究主要通过生成能体现模型特点的测试用例,进而实现对知识产权的区分。技术路线分为基于水印的有损方法与基于指纹的无损方法。基于水
技术实现思路
1、本专利技术的目的在于主要针对现有技术中存在的两个问题:
2、1、基于水印的有损方法会降低模型分类正确率;
3、2、基于指纹的无损方法生成的测试用例泛化能力差,生成可靠测试用例需要本地大量模型参与计算,难以平衡验证准确率与测试用例生成的计算复杂度。
4、为了实现上述目的,本专利技术采用以下技术手段:
5、本专利技术提供了一种访问受限条件下的深度学习分类模型的知识产权验证方法,包括以下步骤:
6、步骤1:对本地模型进行训练,得到替代模型和参考模型;
7、步骤2:设计测试用例生成方案,利用对抗样本实现迁移攻击,以生成鲁棒的测试用例;
8、步骤3:设计测试用例的置信度计算方式,评估测试用例的质量,并将置信度作为权重系数参与模型所有权判决;
9、步骤4:在访问受限条件下,将嫌疑模型输出的类别与权重系数结合,进行阈值计算和知识产权验证。
10、上述技术方案中,步骤1具体包括以下子步骤:
11、子步骤1.1:训练测试用例生成阶段的替代模型
12、对源模型实施模型提取攻击,以构建替代模型训练集;
13、对替代模型训练集进行训练处理,得到与源模型结构相同的替代模型;
14、子步骤1.2:训练测试用例生成阶段的参考模型
15、使用与源模型相同的模型结构、训练数据及标签进行训练;
16、子步骤1.3:训练阈值确定阶段的替代模型
17、对源模型进行微调、剪枝、蒸馏处理,得到不同架构的替代模型;
18、对不同架构的替代模型进行训练,得到性能损失10%的替代模型;
19、子步骤1.4:训练阈值确定阶段的参考模型
20、使用与源模型相同的训练集和标签进行训练,得到包含源模型架构的多种深度学习模型架构的参考模型。
21、上述技术方案中,步骤2具体包括以下步骤:
22、步骤21:对源模型、测试用例生成阶段的替代模型与参考模型,实施集成攻击(根据所有权定义,源模型是一种特殊的替代模型),定义目标函数以提升测试用例的鲁棒性,将原始数据(训练数据、测试数据、任何输入模型的分布内数据均可作为原始数据)输入对源模型、测试用例生成阶段的替代模型与参考模型,经过目标函数优化添加扰动后,得到能够区分模型知识产权的测试用例;
23、步骤2.1.1:定义目标函数,包含用于控制替代模型和参考模型与分类边界的距离的参数k,以及两项relu函数的和,分别针对替代模型与参考模型输出进行优化,以生成能够在替代模型上实现高迁移成功率的对抗样本,同时在参考模型上迁移成功率较低;
24、步骤2.1.2:将任意一批分布内数据(训练数据或测试数据)输入选取的替代模型与参考模型,使用步骤2.1.1定义的目标函数对输入数据进行优化;
25、步骤2.1.3:定义输入的范围为[0,1],最大添加扰动为0.1,单步添加的扰动大小为0.01,经过50步迭代后,
26、若生成的数据满足测试用例生成阶段的替代模型输出为动态类别,测试用例生成阶段的参考模型输出为原始类别,
27、则将该生成的数据添加为测试用例,测试用例数量为100个。
28、上述技术方案中,测试用例生成的目标函数如下所示:
29、
30、其中,k为常量用于控制替代模型、参考模型与边界的距离,i为替代模型编号,j为参考模型编号,gt为正确的类别,dt为动态类别,为替代模型除了正确类别外输出概率最大的类别,zsur(x)为测试用例生成阶段替代模型输出,zref(x)为测试用例生成阶段参考模型输出,为第i个测试用例生成阶段替代模型的正确类别的输出概率,relu()的含义是线性整流函数,的含义是第i个测试用例生成阶段替代模型的动态类别的输出概率,的含义是第j个测试用例生成阶段参考模型的动态类别的输出概率,的含义是第j个测试用例生成阶段参考模型的正确类别的输出概率;
31、上述技术方案中,步骤3具体包括以下子步骤:
32、子步骤3.1:计算根据测试用例生成阶段替本文档来自技高网...
【技术保护点】
1.一种访问受限条件下的深度学习分类模型的知识产权验证方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种访问受限条件下的深度学习分类模型的知识产权验证方法,其特征在于,步骤1具体包括以下子步骤:
3.根据权利要求1所述的一种访问受限条件下的深度学习分类模型的知识产权验证方法,其特征在于,步骤2具体包括以下步骤:
4.根据权利要求3所述的一种访问受限条件下的深度学习分类模型的知识产权验证方法,其特征在于,测试用例生成的目标函数如下所示:
5.根据权利要求1所述的一种访问受限条件下的深度学习分类模型的知识产权验证方法,其特征在于,步骤3具体包括以下子步骤:
6.根据权利要求1所述的一种访问受限条件下的深度学习分类模型的知识产权验证方法,其特征在于,步骤4具体包括以下子步骤:
【技术特征摘要】
1.一种访问受限条件下的深度学习分类模型的知识产权验证方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种访问受限条件下的深度学习分类模型的知识产权验证方法,其特征在于,步骤1具体包括以下子步骤:
3.根据权利要求1所述的一种访问受限条件下的深度学习分类模型的知识产权验证方法,其特征在于,步骤2具体包括以下步骤:
4.根据权利要...
【专利技术属性】
技术研发人员:丁康一,刘小垒,纪守领,辛邦洲,蒲誉文,
申请(专利权)人:中国工程物理研究院计算机应用研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。