本发明专利技术公开了一种基于鲁棒水印的个性化联邦学习模型所有权保护方法,本发明专利技术方法包括水印初始化步骤:S1.服务器将初始化模型和每个客户端的公共水印信息发送给对应客户端,客户端生成自己的私有水印;水印解耦嵌入步骤:S2.客户端通过训练将私有水印嵌入到个性化层,将公共水印信息嵌入到对应的表示层位置。然后上传表示层参数到服务器;恶意客户端检测步骤:S3.服务器对客户端上传的表示层参数进行检测,将诚实客户端的参数聚合作为下一轮表示层参数,同时标记恶意客户端。进一步地,服务器循环抽取客户端进行多轮训练,直到模型符合标准。本发明专利技术具有客户端容量大,水印鲁棒性强等优点。
【技术实现步骤摘要】
本专利技术涉及联邦学习领域,尤其涉及一种基于鲁棒水印的个性化联邦学习模型所有权保护方法。
技术介绍
1、人工智能模型由于其强大的能力和高昂的训练成本,已成为许多公司的重要资产。然而,这些模型面临着严重的知识产权侵权风险。先前的研究揭示,模型在分发和使用过程中可能被非法泄露,甚至通过模型模仿攻击被盗。因此,确保模型所有权已成为迫在眉睫的任务。
2、现有的方案引入了模型水印技术来确认模型的所有权并追踪模型的泄露。具体而言,它们运用基于特征或后门的方法在模型中嵌入可识别或者独特的水印。当所有权纠纷发生时,模型所有者可以通过提取模型中的水印来证明所有权。最初的尝试主要集中在保护传统机器学习场景下的所有权。最近,随着联邦学习(fl)的兴起,保护分布式机器学习场景下的模型所有权方面引起了相当大的关注。联邦学习作为一种保护隐私的机器学习方法,可以在不共享客户数据的情况下进行模型的协作训练。然而,由于联邦学习的过程需要大量客户端参与,这对水印的容量有更高的要求。同时,联邦学习允许参与训练的客户端访问模型,这使得它面临着更高的模型泄露风险。为了保护联邦学习模型的本文档来自技高网...
【技术保护点】
1.一种基于鲁棒水印的个性化联邦学习模型所有权保护方法。其特征在于,包括:
2.根据权利要求1所述的基于鲁棒水印的个性化联邦学习模型所有权保护方法,其特征在于,步骤S1中所述表示层水印生成的方式包括:服务器生成一个公共水印和公共水印嵌入区域,根据客户端数量将水印和嵌入区域分片,分配给不同客户端。
3.根据权利要求2所述的基于鲁棒水印的个性化联邦学习模型所有权保护方法,其特征在于,步骤S3中所述个性化层水印生成的方式包括:客户端生成一段可以代表自己身份信息的二进制字符串作为个性化层水印;同时选择个性化层的某个参数区域作为水印嵌入区域。
>4.根据权利要求3...
【技术特征摘要】
1.一种基于鲁棒水印的个性化联邦学习模型所有权保护方法。其特征在于,包括:
2.根据权利要求1所述的基于鲁棒水印的个性化联邦学习模型所有权保护方法,其特征在于,步骤s1中所述表示层水印生成的方式包括:服务器生成一个公共水印和公共水印嵌入区域,根据客户端数量将水印和嵌入区域分片,分配给不同客户端。
3.根据权利要求2所述的基于鲁棒水印的个性化联邦学习模型所有权保护方法,其特征在于,步骤s3中所述个性化层水印生成的方式包括:客户端生成一段可以代表自己身份信息的二进制字符串作为个性化层水印;同时选择个性化层的某个参数区域作为水印嵌入区域。
4.根据权利要求3所述的基于鲁棒水印的个性化联邦学习模型所有权保护方法,其特征在于,步骤s5中所述水印解耦嵌入的方式包括:客户端首先利用本地数据集进行模型训练,训练多轮来寻找最适合自己的个性化层参数,同时在个性化层嵌入自己的客户端水印;客户端利用训练好的个性化层参数,再次使用本地数据优化共享的表示层参数,同时在指定位置嵌入服务器下发的表示层水印。
5.根据权利要求4所述的基于鲁棒水印的个性化联邦学习模型所有权保护方法,其特征在于,步骤s7中所述对表示层参数检测的方式包括:服务器通过保存的表示层水印检测上传的模型参数,并记录水印检测率;在初始阶段,没有足够...
【专利技术属性】
技术研发人员:徐旸,赤凯,谭运林,高锦宏,靳文强,刘璇,彭绍亮,唐卓,蒋洪波,张尧学,
申请(专利权)人:湖南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。