随着深度学习技术的迅猛发展,深度学习模型在图像分类、语音识别等领域得到了广泛应用.训练深度学习模型依赖大量的数据和算力,成本高昂,因此,出售已训练好的模型或者提供特定的服务(如DLaaS)成为一种商业模式.然而,如果模型遭到恶意用户窃取,则可能会对模型训练者的商业利益造成损害.此外,网络拓扑结构设计和参数训练的过程包含着模型训练者的智慧结晶,因此一个训练完备的模型应属于模型开发者的知识产权从而得到保护.近年来,深度神经网络水印成为一个新兴的研究课题,研究者将多媒体内容保护的方法引入深度学习模型保护领域,试图在深度神经网络模型中嵌入水印以验证模型的所有权.目前已有大量方法被提出,但缺乏梳理和概括.对神经网络水印领域已有的方法进行了梳理和总结,并探讨了该领域未来的研究方向.给出神经网络水印的模型框架,并介绍了分类模型、模型后门等基础概念.按照水印嵌入的机制将已有的方法分类为两类:一是嵌入网络内部,以网络内部信息作为载体;二是建立网络后门,将后门特殊映射关系作为水印.分别对基于这两种思想的深度神经网络水印方法进行了全面的阐述和总结,讨论了各方法的特点、优势和局限性,同时介绍并讨论了相应的水印攻击方法.通过分析水印中的白盒与黑盒场景可知,白盒分发的模型难以得到有效保护,而黑盒分发和黑盒验证场景下的神经网络水印防攻值得进一步的研究.

神经网络安全;神经网络版权保护;黑盒水印;白盒水印;后门水印

王馨雅;华光;江昊;张海剑

武汉大学电子信息学院,湖北武汉430072

网络与信息安全学报

[1]王馨雅;华光;江昊;张海剑-.深度学习模型的版权保护研究综述)[J].网络与信息安全学报,2022(02):1-14

DLaaS,神经网络版权保护,黑盒水印,白盒水印,后门水印

深度学习模型,保护研究,深度学习技术,图像分类,语音识别,和算,算力,高昂,出售,练好,商业模式,恶意用户,窃取,模型训练,训练者,商业利益,网络拓扑结构,拓扑结构设计,智慧结晶,应属,模型开发,开发者,印成,研究课题,多媒体,媒体内容,模型保护,深度神经网络模型,验证模型,所有权,出神,模型框架,分类模型,基础概念,方法分类,入网,内部信息,映射关系,印方,攻击方法,验证场景,神经网络安全

0.334624