文献阅读笔记Intellectual Property Protection for Deep Learning-Taxonomy, Methods, Attacks, and Evaluations

原创 已于 2023-07-12 15:36:50 修改 · 570 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记 #深度学习 #人工智能 #安全

于 2023-07-12 15:36:06 首次发布

文献原文如下
[1] Xue M , Zhang Y , Wang J ,et al.Intellectual Property Protection for Deep Learning Models: Taxonomy, Methods, Attacks, and Evaluations[J]. 2020.DOI:10.48550/arXiv.2011.13564.
记录本人在阅读过程中做的笔记,有些图片可能没有上传到位,具体在文献原文中都可以查找到。

Abstrict

  1. 文章给出了当前的DNN IP 工作,并且提出了展望。
  2. 文章从六个方面对DNN IP工作进行分类,并且根据分类介绍了当前的工作,重点介绍当前工作面临的挑战,并且对这些方法在某些方面进行评估。
  3. 文章分析了 针对模型保护方法的攻击(不太确定描述,须根据具体文章描述确定)
  4. 文章给出了综合评价DNN IP的方法
  5. 展望

Section1 Introduce

当前工作(模型水印等)面临的挑战:

  1. 当前大多数方法都是被动防御策略。
  2. 当前大多数方法无法有效的认证用户身份,进而提供版权管理功能。无法防御恶意用户攻击。
  3. 当前大多数的方法评估,都是评估方法的抗攻击性,没办法评估(攻击者主动攻击时)方法的健壮性和安全系数。攻击者可以采用大量高强度的攻击,进而摧毁DNN IP保护方法。
  4. 当前缺乏对DNN IP 方法 系统的评估方法和评估指标。

章节描述:

  • Section 2 对DNN IP 方法分类
  • Section 3 已存在的DNN IP works
  • Section 4 三个级别的攻击,以及现存攻击的抗攻击性
  • Section 5 DNN IP Method 评估方法
  • Section 6 DNN IP面临的挑战,展望未来
  • Section 7 总结全文

Section2 Taxonomy

分类尺度:

  1. Scenario:白盒和黑盒,类似于软件测试中的白盒和黑盒,实际上打多数都是黑盒,因为深度学习服务是云端提供的。

  2. Mechanism:基于参数的(水印嵌入在参数中💡这种做法可能会影响模型精度),基于后门的,基于指纹的(使用模型对特定输入的所做出的预测的分布情况可以理解为决策边界附近的输入,得到的预测的分布情况,作为指纹,例如使用对抗样本作为指纹)

  3. Capacity:表示水印方法需要嵌入的数据量。

    zero-bit:方法只关注水印的存在与否(1或0),通常是产生一系列水印key,策略性地调整决策边界,之后利用这些水印key作为输入,对比模型正确性和临界值之间的差别。

    multi-bit:方法验证多位信息。利用所有者的标记,设计一些类水印key和相应的标签,使用这些水印key集微调模型,使得水印嵌入到模型行为中,检测的时候利用水印key询问模型,在得到的结果中提取所有者标记,如果成功提取到证明该模型添加了水印。

  4. Type:passive and active ,消极只是被盗之后可以验证是盗取的我的,积极可以做一些工作,预防被盗。

  5. Function:Copyright Verification:利用健壮的水印表明模型的拥有者。Copyright management:管理用户的身份,提供授权控制。Integrity vverification:使用脆弱或者可逆的水印验证模型的完整性

  6. Target Model:方法所保护的深度学习模型的类别,例如分类模型,识别模型,图片处理模型,以及联邦学习(分布式)模型。

分类尺度一图流

  • 下图也描述了CNN IP发展历程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IWuuMSsE-1689147055703)(assets/image-20230708143656154.png)]

Section3 Survey

已存在的用于多媒体的数字水印技术无法直接应用于CNN IP。主要有如下几个原因

  1. 不同于多媒体数据,模型本身的结构复杂,参数量巨大
  2. 大多的深度学习模型只提供访问APIs,已存在的数值水印技术大多需要访问内容才可以提取水印

CNN IP 挑战性

  1. 需要一个仅仅可以通过多次黑盒访问就可以准确验证的水印的算法。
  2. 水印嵌入不会导致模型精度降低
  3. 水印具有高检测率低误判率
  4. 用户可以微调或修剪模型来调整参数,导致原始嵌入水印失效。
  5. 水印应该具有健壮性,可以承受大量高强度攻击

如下是现有的一些人的工作,接下来会按照类别对他们进行总结分类

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Rlu31Xji-1689147055704)(assets/image-20230711164533809-1689065778148-1.png)]

一、场景分类:

  • [3]Uchida et al: 白盒,基于参数,多bit,消极,版权验证,分类模型。

    介绍:第一个DNN IP方法,他们使用额外的正则化损失来嵌入水印 ,嵌入到中间层的权重中。检测:水印可以从检测层提取出来。

    优缺点:方法简单,但无法应用在黑盒情况下,额外的检测层会增加成成本,嵌入到权重中可能会影响模型性能。

  • [24]Wang and Kerschbanum:白盒,基于参数,多bit,消极,版权验证,分类模型。

    介绍:基于对抗训练的水印方法,用于白盒场景下。他们构建了一个类似于对抗性网络的结构,模型训练/添加水印过程和水印检查是两个竞争方。
    优缺点:不影响模型精度,拥有一定的健壮性,受怀疑的模型一般都是黑盒状态。

  • Rouhani

最低0.47元/天 解锁文章
Rethinking Deep Neural NetworkOwnership Verification: Embedding Passports toDefeat Ambiguity Attacks
weixin_63967970的博客
01-14 1387
然而,在实践中,这一要求通常无法满足,我们的实验结果显示,现有水印方法都无法处理本文中探讨的模糊攻击。在嵌入水印的深度学习方法方面,现有的方法可以广泛分为两类:a)基于特征的方法,通过引入额外的正则化项将指定的水印嵌入到DNN权重中;然而,我们的研究揭示了模糊攻击的存在性和有效性,这些攻击旨在通过为涉及的DNN模型伪造额外的水印来对所有权验证产生质疑(见图1)。提出的护照相对于传统水印具有独特的优势,即预训练的DNN模型的推断性能在存在有效护照的情况下将保持完好,或者在存在修改或伪造护照的情况下显著恶化。
Protecting Intellectual Property of Deep NeuralNetworks with Watermarking
weixin_63967970的博客
01-14 1336
保护深度神经网络的知识产权与数字水印技术ABSTRACT深度学习是当今人工智能服务的关键组成部分,在视觉分析、语音识别、自然语言处理等多个任务方面表现出色,为人类提供了接近人类水平的能力。构建一个生产级别的深度学习模型是一项非常复杂的任务,需要大量的训练数据、强大的计算资源和专业的人才。因此,非法复制、分发和派生专有的深度学习模型可能导致版权侵权,并对模型创建者造成经济损害。因此,有必要设计一种技术来保护深度学习模型的知识产权,并实现对模型所有权的外部验证。在本文中,我们将“数字水印”概念从多媒体所有权验证
深度学习模型产权保护怎么做?看这些资深大牛分享了什么
AI--小智
09-10 1579
在刚刚结束的 IJCAI 2021 大会上,深度学习模型知识产权保护国际研讨会正式举行,这场研讨会由微众银行、马来亚大学、香港科技大学、上海交通大学共同主办。 机器学习,尤其是深度神经网络(DNN)技术,近年来在诸多领域取得了巨大成功,许多科技公司都将神经网络模型部署在商业产品中,提高效益。 更多相关信息欢迎进Q群交流:953882093 训练先进的神经网络模型需要大规模数据集、庞大的计算资源和设计者的智慧。这具体体现在: 深度学习模型应用的训练模型规模巨大,以 GPT-3 为例,其预训练所用的数据量达
数字水印技术评价指标
q15516221118的博客
04-29 2560
数字水印技术
数字水印的攻击类型
算法与编程之美
03-22 9987
数字水印的攻击类型引言数字水印技术作为信息隐藏技术的一种,不可见性和鲁棒性是它的主要特点。通常在水印嵌入时我们需要来确定水印的嵌入量,以此来平衡不可见性和可见性之间的关系。方法对于不可见性...
模型水印综述
weixin_43769405的博客
11-02 2366
1.为什么需要对深度学习模型进行保护?答:避免对手可以在不尊重合法方的知识产权 (IP) 的情况下非法下载、窃取、重新分配或滥用经过训练的 DNN 模型,从而导致模型所有者的严重损失。因此,为了防止这种恶意攻击,迫切需要开发机密但稳健地保护训练模型及其IP的方法,增强DNN模型的可信度。识别是目前 DNN IP 保护的两个主要技术。3.什么是:深度水印[26]将一些独特的识别信息嵌入到输入中,模型本身(模型参数、梯度、结构等)或输出。4.什么是。
开源许可-软件自由和知识产权法Open Source Licensing - Software Freedom and Intellectual Property Law
11-15
开源许可和许可问题指南。 说明如何选择开放源代码软件的许可证,以及所选许可证如何影响开发人员,经理,律师和业务。
Factor structure of intellectual and achievement measures for learning disabled children
06-29
Factor structure of intellectual and achievement measures for learning disabled children P.rychology in the Schools 1982, 19, 297-304 FACTOR STRUCTURE O F INTELLECTUAL AND ACHIEVEMENT MEASURES ...
论文阅读:Protecting Intellectual Property of Deep Neural Networks with Watermarking
小西瓜的博客
11-13 893
论文阅读:Protecting Intellectual Property of Deep Neural Networks with Watermarking
AMiner会议论文推荐第七十九期
AI_Conf的博客
05-01 282
AMiner平台由清华大学计算机系研发,拥有我国完全自主知识产权。平台包含了超过2.3亿学术论文/专利和1.36亿学者的科技图谱,提供学者评价、专家发现、智能指派、学术地图等科技情报专业化服务。系统2006年上线,吸引了全球220个国家/地区1000多万独立IP访问,数据下载量230万次,年度访问量超过1100万,成为学术搜索和社会网络挖掘研究的重要数据和实验平台。 ICLR 2021 论文推荐 Online Adversarial Purification based on Self-supervi.
Passport 漏洞原理分析
weixin_30826761的博客
08-27 209
什么是 Passport? Microsoft Passport 以 3 种方式协助您: 使用单一的使用者登入名称和密码,便可登入日益增多的合作网站。 无需重覆输入相同的资讯,便可使用 Passport 电子钱包进行快速、安全的网上购物。 保护儿童的隐私权。Kids passport 让您能掌控哪些会收集和共享小孩资讯的网站 (仅限美国地区)。 当您自电脑在任何 MSN 入口网站登入 ...
神经网络水印(Neural Network Watermark)
weixin_44928295的博客
12-29 2819
神经网络水印(Neural Network Watermark) 发现关于神经网络上的IP验证和水印的相关内容都挺少的,这里自己对自己看的论文和思考做个简单的归纳。目的就是希望能和大家一起讨论,顺便帮助自己记录一下想法吧。 首先这篇是21年发在IEEE Transactions on Pattern Analysis and Machine Intelligence 上的DeepIPR: Deep Neural Network Ownership Verification with Passports ,应
CentOS7 + 芯片验证工具环境部署全笔记:从虚拟机到 VCS/Verdi 实战
m0_46663240的博客
12-03 782
本文提供从CentOS7虚拟机搭建到芯片验证工具部署的完整指南。首先介绍VMware虚拟机安装CentOS7的详细步骤,包括磁盘分区、用户设置等关键配置。随后讲解网络连接设置、VNC远程服务部署及防火墙配置,实现可视化远程操作。最后涵盖vim编辑器和Shell环境的个性化优化,为后续芯片验证工具安装做好准备。文中包含各环节的常见问题解决方案和实用配置代码,适合芯片验证初学者和Linux运维人员参考使用。
第2讲:BTC-密码学原理 北大肖臻老师客堂笔记
最新发布
涂涂
12-04 518
比特币依赖两大密码学支柱保障安全性:哈希函数和数字签名。哈希函数通过生成固定长度的"数据指纹",确保交易和区块内容不可篡改,任何改动都会导致哈希值显著变化。数字签名则利用公钥/私钥体系,让用户能证明交易的真实性并防止抵赖。比特币地址由公钥经多次哈希生成,既保护隐私又便于验证。这两项技术共同构建了去中心化的信任机制:哈希链确保账本历史不可更改,数字签名确认交易授权,全网节点通过数学验证替代中心机构审核。这种设计使比特币在开放网络中实现了防伪、防篡改和防冒充的安全特性。
TensorRT笔记(5):研究timingCache
ouliten的博客
12-02 1027
在里出现了大量的timingCache,但是当时没有取研究这是干啥的,本文就来解析一下。样例都基于上面的文章。
2025-11-27-LeetCode刷题笔记-3381-长度可被K整除的子数组的最大元素和
tkhhhhh的博客
12-04 375
摘要: LeetCode 3381题要求找出长度能被k整除的子数组的最大和。解题关键在于结合前缀和与模运算技巧:通过计算前缀和数组,按位置模k分类,维护每类余数的最小前缀和。这样可以在O(n)时间内计算每个位置结尾的子数组最大和,只需一次遍历即可得到结果。算法空间复杂度为O(k)。提供了Python、Go和C++的实现代码,并讨论了负数处理等边界情况。核心思路是利用同余性质优化计算,避免暴力枚举。
C++基础:Stanford CS106L学习笔记 1 类型与结构
WM2101的博客
12-02 328
本文介绍了C++的类型系统和结构体特性。在类型系统方面,C++采用静态类型,变量类型一旦确定不可更改,与Python的动态类型形成对比。静态类型能提高效率并减少运行时错误。文章还介绍了using类型别名、auto类型推断以及函数重载等现代类型特性。在结构体方面,展示了如何定义和使用结构体,以及使用std::pair模板简化多值返回的实现方式。通过对比Python和C++的代码示例,突出了C++在类型安全性和编译时检查方面的优势。
0基础快速入门SEO笔记
qq_51704382的博客
12-02 138
这篇SEO学习笔记总结了百度SEO优化的核心要点:SEO是通过用户分析提升网站在搜索结果中的自然排名,与SEM竞价广告形成对比。笔记详解了SEO工作内容,包括TDK设置、链接优化、网站加载速度等关键因素,强调用户体验是SEO根基。同时介绍了蜘蛛爬虫的偏好(短网址、英文域名)、站长工具使用、闪电算法等百度排名规则,以及图片alt标签、栏目数量等实操技巧。最后指出SEO需要平衡优化与自然,避免过度优化被判定作弊,实现平台与商家的双赢。
英语一真题阅读核心词汇背诵整理(2010-2019)
intellectual-property”即“知识产权”,是近年来随着数字技术发展而日益重要的法律概念,频繁出现在有关网络版权、软件保护、创意产业等话题的论述中,考生需理解其在现代知识经济中的核心地位。 “publication...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值