关注微信公众号:【人工智能前沿讲习】,回复【SFFAI63】获取讲者PPT资料,入交流群,推荐论文下载。
深度学习已经在各个领域取得了巨大的成功,诸如图像分类、语音识别、自然语言处理等。训练一个性能好的深度学习模型往往需要大量的高质量数据和昂贵的计算资源。然而,这些模型存在着严重的被侵权的风险。攻击者可通过白盒攻击或黑盒攻击的方式,获得一个与被攻击模型性能相近的替代模型。本期论坛我们邀请到了来自中科大的张杰同学,分享他在解决此类问题时提出的用于保护图像处理网络的模型水印框架。
讲者介绍
张杰:中国科学技术大学在读博士,主要研究方向:人工智能安全,深度学习模型的版权保护(即模型水印)。
报告题目:针对图像处理网络的模型水印
报告摘要:在本工作中,我们提出了第一个用于保护图像处理网络的模型水印框架。为了达成这个目标,我们利用了空域不可见水印机制。具体来说,给定一个黑盒的目标模型,将具有一致性的不可见水印嵌入在其所有输出中。通过这种方式,当攻击者通过使用目标模型的输入输出对进行模型窃取时,隐藏的水印也将被学习到。为了实现从二进制比特水印到高分辨率图像水印,我们尝试了传统方法和深度学习方法。实验证明了我们提出的水印机制可以抵抗使用不同网络结构和目标函数的模型替代攻击。除深度学习模型外,提出的方法还可扩展到数据和传统图像处理算法的版权保护上。
Spotlight:
- 本文是第一篇研究如何保护图像处理网络知识产权的工作,我们希望它可以吸引对此研究领域更多的关注;
- 我们通过利用空域不可见水印机制,提出了第一个保护图像处理网络的模型水印框架;
- 我们设计了一种新颖的深度水印算法,以提高传统空域不可见水印方法的鲁棒性和容量;
- 大量实验证明了我们提出的水印机制可以抵抗使用不同网络结构和目标函数的模型替代攻击。另外,提出的方法可以简单地扩展到数据以及传统图像处理算法的版权保护上。
论文推荐
HiDDeN Hiding Data With Deep Networks
推荐理由:这是lifeifei团队的一篇利用深度网络实现信息隐藏的方法,文中引入了jpeg近似使其水印具有鲁棒性。
StegaStamp Invisible Hyperlinks in Physical Photographs
推荐理由:这是一篇比较有趣的文章,也是利用了hidden的大致框架,实现了对物理世界鲁棒的信息隐藏方式。可以作为一种美化二维码。
Embedding Watermarks into Deep Neural Networks
推荐理由:DNN模型水印的第一篇工作,主要思路是通过对网络权值参数添加正则项约束,用约束后的权值特征来表示模型版权。
Turning Your Weakness Into a Strength
推荐理由:这篇工作的想法很有趣,将backdoor作为模型的水印标识,之后也是有一大批跟进性的工作。
[Extended version] Rethinking Deep Neural Network Ownership Verification: Embedding Passports to Defeat Ambiguity Attacks
推荐理由:这篇论文综合了embed-method 和 trigger-method 的模型水印方法,并且可以防御更为困难的混淆攻击。
参考资料
https://www.bilibili.com/video/BV1dK411H7Lc/
https://bbs.sffai.com/d/148