针对经典水印技术在进行深度学习模型知识产权保护过程中,存在水印多模型时可复用性不高和开销较大、易被检测和攻击等问题;在黑盒场景下,本文从构造触发集、设计嵌入方式等方面切入,设计一种基于标志网络(Logo Network,LogoNet)的深度学习多模型水印方案(Logo Network based Deep Learning Multi-model Watermarking Scheme,LNMMWS).首先,利用二进制编码生成触发集,并随机裁剪原训练样本以生成噪声集,精简LogoNet层结构,并在触发集和噪声集的混合数据集上训练LogoNet,LogoNet拟合触发集并泛化噪声集以获取较高的水印触发模式识别精度和噪声处理能力.其次,根据不同目标模型的分类类别,从LogoNet中选择水印触发模式,并调整LogoNet输出层的维度,使LogoNet输出层和不同目标模型的输出层相嵌合,以实现多模型水印的目的.最后,当所有者发现可疑的远程应用程序接口服务时,可以输入多组特定的触发样本,经过输入层变换后,触发特定的输出以核验水印并实现所有权验证.实验及分析表明,使用LNMMWS进行深度学习模型所有权验证时,具有较高的水印触发模式识别精度、较小的嵌入影响、较多的水印触发模式数量,并相比已有方案具有更低的时间开销;LNMMWS在模型压缩攻击、模型微调攻击下具有较好的稳定性,并具备较强的隐秘性,能够规避恶意检测风险.

知识产权保护;深度神经网络;所有权验证;多模型水印

刘伟发;张光华;杨婷;王鹤

河北科技大学信息科学与工程学院 石家庄中国 050018;西安电子科技大学网络与信息安全学院 西安中国 710071

信息安全学报

[1]刘伟发;张光华;杨婷;王鹤-.基于标志网络的深度学习多模型水印方案)[J].信息安全学报,2022(06):105-115

多模型水印,LogoNet,LNMMWS,所有权验证

印方,深度学习模型,知识产权保护,可复用性,开销,黑盒,嵌入方式,Network,Deep,Learning,Multi,model,Watermarking,Scheme,二进制编码,随机裁剪,训练样本,精简,混合数据,触发模式,模式识别,识别精度,噪声处理,处理能力,目标模型,出层,嵌合,所有者,可疑,远程应用,应用程序接口,输入层,核验,模型压缩,模型微调,隐秘性,避恶,恶意,检测风险,深度神经网络

0.262573