【技术实现步骤摘要】
本专利技术属于目标检测模型版权保护,尤其涉及一种基于频域水印的目标检测模型版权保护方法及系统。
技术介绍
1、深度神经网络(dnn)在各种计算机视觉任务中取得了显著的突破,例如图像分类目标检测和语义分割。许多科技公司正在投资于ai产品和服务的开发,其中dnn作为核心组件。然而,训练高质量dnn的过程是复杂且资源密集的,这提高了目标检测器的价值;同时,也使它们面临知识产权(ip)被盗和未经授权使用的风险,相关的安全问题变得日益突出。特别是,未经授权的访问、窃取、重新分发或滥用这些训练成熟的dnn对合法所有者的知识产权构成重大威胁,导致模型所有者巨大损失。因此,保护神经网络模型的版权和模型所有者的合法利益至关重要。
2、模型指纹技术是一种非侵入式的深度知识产权保护方法。它从深度神经网络模型的固有特性中提取ip信息,如决策边界和对抗性鲁棒性,用于比较模型的相似性。模型水印技术是一种侵入式的深度知识产权保护方法,它嵌入了一个唯一的ip标识符。现有的水印方法分为白盒水印和黑盒水印两种。uchida等人首次提出通过参数正则化将水印嵌入中间层的权重分布中。随后的研究改进了嵌入权重分布的方法,但将水印嵌入模型内部权重仍然容易被攻击者移除和检测到。为解决这一问题,研究人员提出了一种基于修改模型内部结构的白盒水印方法。建议添加一个护照层,比如在卷积层后面添加一个新层作为数字签名。
3、然而,在实际应用中,获取模型的内部结构和权重进行水印验证是困难的。adi等人首次提出了使用深度模型的后门触发器进行版权保护的黑盒水印技术,密钥
4、为此,研究人员已经开发了神经网络水印技术来保护dnn的知识产权。现有的方法主要包括白盒水印技术,它通过修改模型的权重或内部结构来嵌入水印;以及黑盒水印技术,它利用具有特定输入-输出对的神经网络后门来在模型训练过程中验证版权。目前,大多数水印技术都集中在图像分类上,只有少数扩展到生成对抗网络和自然语言处理等任务上。据我们所知,还没有针对广泛应用于实际场景中的目标检测模型的水印技术。
5、作为一种黑盒验证技术,触发水印已因其实用性而被广泛研究。这些方法通常通过在图像的空间域中嵌入标记、图案、噪声和其他元素来创建密钥图像。通过输入密钥图像并获得特定输出来验证水印。然而,当这些水印技术应用于目标检测模型时,它们对识别和定位任务至关重要的局部特征产生重大改变。这种对目标检测模型中不自然特征的过度依赖会削弱其对未触发图像的泛化能力,导致对象识别和定位错误,最终影响模型的正常功能。此外,空间局部触发器不足以引导像目标检测这样的密集预测模型产生特定输出,导致水印准确度下降。而且,空间触发的密钥图像隐蔽性低,在所有权验证阶段被识别,影响验证过程。因此,传统的模型水印方法不适用于目标检测模型。
技术实现思路
1、针对现有技术存在的问题,本专利技术提供了一种基于频域水印的目标检测模型版权保护方法及系统。
2、本专利技术是这样实现的,一种基于频域水印的目标检测模型版权保护方法,包括以下步骤:
3、步骤一,生成密钥图像:通过离散傅里叶变换(dft)获取振幅频谱和相位频谱,将水印图像振幅谱的高频分量与正常图像的低频分量结合来生成密钥图像;
4、步骤二,嵌入水印:为生成的密钥图像中的目标分配预定的类别标签,将带有预设标签的密钥图像整合到模型的训练过程中,训练完成后,得到了包含水印的模型;
5、步骤三,验证模型所有权:通过应用程序接口(api)远程验证可疑的目标检测模型,当输入密钥图像时,被水印保护的模型会根据预设标签返回特定的类别。
6、进一步,步骤一中获取振幅频谱和相位频谱具体包括:
7、给定一个包含n张训练图像的训练集其中yi表示第i张图像的真实标签;选择训练集中的一张原始图像xi∈dtrain和一张不在训练集中的水印图像然后对这两张图像分通道进行离散傅里叶变换(dft),以获得它们的频率表示:
8、
9、其中u=0,1,2,…,h-1和v=0,1,2,…,w-1表示变换到频域后的坐标。c表示图像的通道索引;
10、计算振幅和相位谱:对于图像x,其在频域中的表示由振幅ax和相位px组成,表示为:
11、
12、其中表示两个矩阵的哈达玛积,表示相位信息的复数表示形式;
13、用函数a(·)和p(·)分别表示获得图像的幅值和相位的函数,由此获取xi和x'的每个通道的幅值和相位:
14、
15、进一步,步骤一中生成密钥图像具体包括:
16、使用水印图像的振幅谱作为要注入的水印信息,通过拼接的低频部分和的高频部分来合成一个新的振幅谱设计一个掩码:
17、
18、r1和r2的大小决定了正常图像幅度谱中要保留的低频信息的位置和范围,其中掩膜值在补丁内为1,在其他地方为0;r1和r2的大小调节了正常图像幅度谱中保留的低频信息与注入水印图像幅度谱中高频信息之间的相对比例;
19、合成的幅度谱通过以下公式获得:
20、
21、在获得合成的幅度谱后,称之为密钥幅度谱;在频域中将密钥幅度谱与正常图像的相位谱结合;合成的频域按如下方式计算:
22、
23、然后,通过idft将合成的频域恢复到空间域,以获得最终的密钥图像xk,其计算如下:
24、
25、其中是的逆变换,xk(h,w)是在位置(h,w)处恢复到空间域的密钥图像xk的像素值,xi保留了xi的原始空间布局和高层语义,同时吸收了来自水印图像x'的幅度谱中的高频信息。
26、进一步,步骤二中将密钥样本的标签修改为特殊的标签形式,具体为:
27、保持密钥图像中每个目标的目标框(简称“bbox”)坐标不变,只将所有框的类别标签更改为预设类别,密钥图像的标签变为:
28、yk=[o1,o2,o3,…,on],
29、其中ck代表预设的类别标签,表示将密钥图像中所有目标的类别设置为本文档来自技高网...
【技术保护点】
1.一种基于频域水印的目标检测模型版权保护方法,其特征在于,包括以下步骤:
2.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤一中获取振幅频谱和相位频谱具体包括:
3.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤一中生成密钥图像具体包括:
4.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤二中将密钥样本的标签修改为特殊的标签形式,具体为:
5.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤二中在训练过程中嵌入水印信息的具体过程为:
6.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤三中验证模型所有权具体包括:
7.一种如权利要求1~6任意一项所述的基于频域水印的目标检测模型版权保护方法的基于频域水印的目标检测模型版权保护系统,其特征在于,包括:
8.一种计算机设备,其特征在于,计算机设备包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使
9.一种计算机可读存储介质,其特征在于,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行权利要求1~6任意一项所述的基于频域水印的目标检测模型版权保护方法的步骤。
10.一种信息数据处理终端,其特征在于,信息数据处理终端包括权利要求7所述的基于频域水印的目标检测模型版权保护系统。
...【技术特征摘要】
1.一种基于频域水印的目标检测模型版权保护方法,其特征在于,包括以下步骤:
2.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤一中获取振幅频谱和相位频谱具体包括:
3.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤一中生成密钥图像具体包括:
4.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤二中将密钥样本的标签修改为特殊的标签形式,具体为:
5.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤二中在训练过程中嵌入水印信息的具体过程为:
6.如权利要求1所述的基于频域水印的目标检测模型版权保护方法,其特征在于,步骤三中验证模...
【专利技术属性】
技术研发人员:钱亚冠,陶仁辉,张宇来,王海江,王滨,
申请(专利权)人:浙江科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。