CN109919303A - 一种深度神经网络的知识产权保护方法、系统及终端 - Google Patents
一种深度神经网络的知识产权保护方法、系统及终端 Download PDFInfo
- Publication number
- CN109919303A CN109919303A CN201910158611.1A CN201910158611A CN109919303A CN 109919303 A CN109919303 A CN 109919303A CN 201910158611 A CN201910158611 A CN 201910158611A CN 109919303 A CN109919303 A CN 109919303A
- Authority
- CN
- China
- Prior art keywords
- secret key
- neural network
- network
- parameter
- digital secret
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013528 artificial neural network Methods 0.000 title claims abstract description 190
- 238000000034 method Methods 0.000 title claims abstract description 75
- 230000006870 function Effects 0.000 claims abstract description 67
- 238000012549 training Methods 0.000 claims abstract description 42
- 230000007246 mechanism Effects 0.000 claims abstract description 34
- 238000012545 processing Methods 0.000 claims abstract description 29
- 238000013475 authorization Methods 0.000 claims abstract description 17
- 230000008569 process Effects 0.000 claims abstract description 9
- 238000004891 communication Methods 0.000 claims description 50
- 230000015556 catabolic process Effects 0.000 claims description 16
- 238000006731 degradation reaction Methods 0.000 claims description 16
- 238000010606 normalization Methods 0.000 claims description 10
- 238000003058 natural language processing Methods 0.000 claims description 5
- 238000002360 preparation method Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 3
- 230000001755 vocal effect Effects 0.000 claims description 3
- 230000007423 decrease Effects 0.000 claims description 2
- 230000000694 effects Effects 0.000 claims description 2
- 210000005036 nerve Anatomy 0.000 claims 1
- 235000015170 shellfish Nutrition 0.000 claims 1
- 238000013473 artificial intelligence Methods 0.000 abstract description 3
- 238000013461 design Methods 0.000 abstract description 3
- 230000008901 benefit Effects 0.000 abstract description 2
- 230000008450 motivation Effects 0.000 abstract description 2
- 238000003860 storage Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 6
- 238000009826 distribution Methods 0.000 description 5
- 238000013527 convolutional neural network Methods 0.000 description 4
- 230000005611 electricity Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000005265 energy consumption Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000013011 mating Effects 0.000 description 2
- 210000004218 nerve net Anatomy 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 201000009032 substance abuse Diseases 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000272517 Anseriformes Species 0.000 description 1
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 108010025037 T140 peptide Proteins 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 244000144992 flock Species 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000035807 sensation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/18—Legal services
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Tourism & Hospitality (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Economics (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Marketing (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Primary Health Care (AREA)
- Storage Device Security (AREA)
- Lock And Its Accessories (AREA)
Abstract
本发明属于人工智能领域。通过巧妙设计的自锁机制,本发明对任意一种深度神经网络的知识产权进行保护,及时制止非法的侵权行为。自锁机制包括两个核心过程:首先在训练神经网络时,使用特定的数字密匙进行加锁处理;其次在使用时,这样处理过的神经网络必须要密匙配合,才能发挥正常的功能。就权力保护的及时性和维权成本而言,本发明的自锁机制具有明显的优越性:没有密匙配合的盗版网络不能发挥正常功能,无法与合法授权的网络竞争。由于盗版者不能从中受益,也就没有了侵权的动机。相反的,传统的数字水印保护机制只能证明神经网络的归属权,而维权必须通过法律途径,时效性差而且成本高昂。
Description
一.技术领域
本发明实施例涉及人工智能领域,尤其涉及一种对深度神经网络进行知识产权保护的方法、系统及终端。
二.背景技术
深度神经网络:也简称神经网络或者网络,是指在二十一世纪初取得重大突破的人工智能技术。其基本特征是通过多层次的,由局部到全局的特征提取,来学习对输入信号的智能处理能力。输入信号可以是一维的语音信号,也可以是高维度的图像,视频等多媒体数字信号。针对给定的数字信号样本,深度学习算法通过调整及优化深度神经网络的海量参数,来掌握所需要的数据处理能力。不同的数字样本和网络结构,决定了神经网络不同类型的数据处理能力。不同的网络参数值,则决定了同一类处理能力的能力高低。在网络结构上,深度神经网络有多种不同形式(如卷积神经网络CNN,递归神经网络RNN,生成对抗网络GAN等等)。在应用功能上,神经网络可以用于语音识别,自然语言处理NLP,计算机视觉CV,大数据挖掘等等。在运算载体上,神经网络可以运行在计算机中央处理器(CPU),图形加速器(GPU),张量处理器(TPU),专用人工智能芯片,云计算中心,移动设备,可穿戴设备,智能视频终端,车载设备及其他交通工具,物联网设备(IoT devices)等中。
数字卷积运算:是各种深度神经网络的核心运算,其本质是对输入数据在滑动窗口中,按网络卷积核(convolution kernel)参数计算其加权和(或者加权平均),作为对下一层次的输入。不同的网络参数,决定了不同的加权权重值,也就决定了对下一层次不同的数据输入。特别地,在神经网络卷积层中(convolution layer),是用较小尺寸的卷积核(convolution kernel)去滑动覆盖输入信号的整个维度空间。而在全连接层中(fullyconnected layer),是用全尺寸的卷积核直接与输入信号计算加权和,即不需要滑动卷积核。所以,在全连接层中,卷积计算也就与点积(dot product)计算等同。
神经网络学习训练算法:针对给定的数字信号样本,深度学习算法通过调整及优化神经网络的海量参数,来掌握所需要的数据处理能力。具体的学习训练算法,既与网络结构有关(如生成对抗网络GAN),也与选择的优化目标函数有关。
神经网络开发成本:包括几个方面,a)硬件成本,包括用于计算的计算机,中央处理单元(CPU)或/和图形处理器(GPU)等的费用,其中图形处理器是用于对数字卷积运算的加速处理。b)软件成本,包括安装相关操作系统,配套软件,深度学习算法等的费用。c)学习训练成本,包括数据采集的成本,数据标注的成本,学习训练算法的开发调试成本,运行时的能耗,耗费的时间成本等。注意,学习训练时的时间成本,通常是一次训练耗费若干天,若干周甚至更长的时间。而开发过程中,经常需要反复训练,以取得最优网络性能。
神经网络使用成本:包括几个方面,a)硬件成本,包括用于计算的计算机,中央处理单元(CPU)或/和图形处理器(GPU)等的费用,其中图形处理器是用于对数字卷积运算的加速处理。b)软件成本,包括安装相关操作系统,配套软件等的费用。c)运行成本,运行时的能耗,耗费的时间成本等。注意,仅仅使用时的运行成本,相比上述神经网络开发时的成本大大降低:因为这时并不包括数据采集的成本,数据标注的成本,学习训练算法的开发调试成本,而且在使用时运行的能耗更低,耗费的时间更少。一般来说,使用时的运行时间,只需若干秒甚至毫秒而已,也不需要反复运行多次。
由于神经网络的使用成本和时间成本,相比开发时候的对应成本,要低若干个数量级,非法拷贝和非法使用等侵权行为的利益诱惑巨大,侵权者趋之若鹜。所以,对深度神经网络进行知识产权保护刻不容缓。
无防护网络:没有附加任何数字特征的原始网络,能够通过学习实现给定的数据处理功能,但无法证明其归属权。在面对非法拷贝、非法使用等侵权行为时,没有任何技术方案保护其知识产权。
数字水印:是一种特定的数字特征(或者数字指纹),可以通过特别的算法附加在数字多媒体产品,如图片和影视作品中。再利用相应的算法,又可以从媒体产品中提取识别出已经附加的数字特征,从而证明产品的归属权。理想的数字水印,应该具有鲁棒性。也就是说,即使数字产品经过各种数据变换处理(如图片裁剪,视频压缩编解码等),附加的数字水印还是能够可靠的提取识别出来。在使用上,数字水印可以是秘密的,也可以是公开的。在形式上,数字水印可以是不可见的,也可以是可见的。
水印网络:指利用数字水印技术,附加了秘密数字水印的深度神经网络。这种水印网络,能够证明其归属权,但不能防止对网络本身的拷贝和非法使用。水印网络的维权,必须通过举证走法律途径,时效性差而且成本高昂。
三.发明内容
本发明实施例提供了,一种对任意深度神经网络进行有效的、及时的知识产权保护的方法、系统及终端技术方案。
本发明实施例所针对的深度神经网络,包括了所述提及的所有各种形式,不同输入信号,不同类型,不同网络结构,不同应用功能,不同运算载体上的深度神经网络,也包括在原理上相同的任何神经网络,如卷积神经网络CNN,递归神经网络RNN,生成对抗网络GAN等等,无论其运行环境如何。
本领域技术人员可以理解,本发明实施例中的“第一”,“第二”等术语仅用于区别不同步骤,设备,模块或数据等,既不代表任何特定技术含义,也不表示它们之间的必然逻辑顺序。
根据本发明实施例的一方面,提供一种运用自锁机制,对任意深度神经网络进行知识产权保护的方法,包括:1)配合预定的数字密匙和学习训练数据样本,对所述任意深度神经网络进行自锁的方法;2)配合预定的数字密匙,对所述自锁的深度神经网络合法使用的方法;3)配合预定的数字密匙,对所述自锁的深度神经网络进行保护的方法;4)配合预定的数字密匙,对被非法解锁的所述深度神经网络证明其归属权的方法。
根据本发明实施例的一方面,提供一种,配合上述预定的数字密匙和学习训练数据样本,对所述任意深度神经网络进行自锁的方法,包括:1)根据所述带标注或者不带标注信息的数据样本,训练并更新所述深度神经网络的第一部分参数;2)所述的第一部分网络参数,既参与实现网络的预定功能,也与所述预定的数字密匙一起决定了第二部分网络参数的数值;3)根据所述不公开的数字密匙和所述第一部分网络参数的数值,在训练过程中计算并更新所述第二部分网络参数的数值,以得到预定的深度神经网络功能(如图像分类,自然语言处理等)。
这样训练得到所述的神经网络,所述的第一部分参数与所述预定的数字密匙有着严格的关联性,所述的这种关联性是对所述自锁的神经网络提供知识产权保护的关键。
根据本发明实施例的一方面,提供一种,配合所述预定的数字密匙,对所述自锁的任意深度神经网络进行合法使用的方法,包括:1)根据所述第一部分网络参数和所述预定的数字密匙,共同计算并设定所述第二部分网络参数的数值;2)所述第一部分网络参数和正确设定的所述第二部分参数配合起来,所述神经网络就能发挥正常的数据处理功能。也就是说,所述第一和第二部分网络参数,都是实现网络正常功能不可或缺的重要组成部分。
根据本发明实施例的一方面提供一种,当没有给出所述预定的数字密匙时,对所述自锁的深度神经网络进行保护的方法,包括:1)当侵权者只提供任意猜测的不正确的数字密匙时,配合被非法拷贝的所述第一部分参数,共同计算出不正确的第二部分参数;2)使用所述第一部分参数和所述不正确的第二部分参数,预定的神经网络功能严重缺失,或者性能会出现严重下降。
上述情况下,使用性能严重下降或功能缺失的网络时,侵权者并不能从侵权行为获得利益,也就没有了侵权动机,从而预防性地保护了所述自锁神经网络的知识产权。
当侵权者非法地获得了上述第二部分网络参数,即非法解锁网络时,结合被非法拷贝的上述第一部分参数,被侵权的所述神经网络的就可以发挥正常功能。
在上述情况下,根据本发明实施例的一方面,提供了一种配合所述预定的数字密匙,对被非法解锁的所述深度神经网络证明其归属权的方法,包括:1)去除非法解锁网络的所述第二部分参数,然后利用所述预定的数字密匙,使用并展示所述网络的正常功能;2)去除非法解锁网络的所述第二部分参数,然后利用任意猜测的数字密匙,使用并展示所述网络不能执行预定的功能,或者性能出现严重下降,而且下降的幅度与预计一致;3)结合1,2的结果,证明了所述预定的数字密匙与所述第一部分网络参数是有着严格的关联性。
由于所述的这种关联性,只能在生成所述深度神经网络的时候赋予,也即证明了所述网络的归属权。
根据本发明实施例的一方面,上述第一和第二部分网络参数,一起构成了所述深度神经网络的全部参数。
根据本发明实施例的一方面,上述第一和第二部分网络参数与所述预定的数字密匙一起,构成了使用所述深度神经网络所需的全部先决信息,共同作用于所需处理的输入数字信号。
可选地,结合本发明实施例提供的一种方法,上述第一部分网络参数可以是公开的,也可以是不公开的;
根据本发明实施例的一方面,上述的第二部分网络参数是不公开的,而是在使用所述网络时,根据所述第一部分参数和所述预定的数字密匙计算出来的。
可选地,结合本发明实施例提供的一种方法,所述第一部分网络参数的全体,结合所述预定的数字密匙,共同决定所述的第二部分网络参数。
可选地,结合本发明实施例提供的一种方法,所述第一部分网络参数的一部分,结合所述预定的数字密匙,共同决定所述的第二部分网络参数。
根据本发明实施例的一方面,上述用于学习训练的、带标注或者不带标注信息的数据样本,可以是公开的,也可以是不公开的。
根据本发明实施例的一方面,上述的数字密匙包括:任意预先选定的不公开的,一组或者多组数字信息;
可选地,所述预定的数字密匙只分发给合法授权的所述神经网络用户。
可选地,所述预定的数字密匙由所述神经网络的用户拥有人选定。
可选地,根据本发明实施例的一方面,上述的数字密匙包括:任意预先选定的不公开的,一组或者多组图片;所述预定的数字密匙图片只分发给合法授权的所述神经网络用户。
可选地,根据本发明实施例的一方面,上述的数字密匙图片包括:所述神经网络拥有人的护照照片,身份证照片,签名,指纹图片,虹膜图片等任何可以确定所述神经网络拥有人身份的图片。
可选地,根据本发明实施例的一方面,上述的数字密匙图片包括:合法授权的所述神经网络用户法人的护照照片,身份证照片,签名,指纹图片,虹膜图片等任何可以确定用户身份的图片。
可选地,根据本发明实施例的一方面,上述的数字密匙图片包括:具备所述神经网络拥有权的法人团体徽标,公司标识(logo)等任何可以确定法人身份(ID)的图片。
可选地,根据本发明实施例的一方面,上述的数字密匙图片包括:合法授权的所述神经网络用户的法人团体徽标,公司标识(logo)等任何可以确定用户法人身份(ID)的图片。
可选地,上述的数字密匙包括:任意预先选定的不公开的,一组或者多组语音信号;所述数字密匙语音信号只分发给合法授权的所述神经网络用户。
可选地,上述的数字密匙语音信号包括:所述神经网络拥有人的声纹录音等任何可以确定所述神经网络所述拥有人身份的语音信号。
可选地,上述的数字密匙语音信号包括:合法授权的所述神经网络用户法人的声纹录音,以及任何可以确定所述用户身份的语音信号。
可选地,上述的数字密匙包括:任意预先选定的不公开的,一组或者多组数字密码;所述数字密码由合法授权的所述神经网络的用户选定。
可选地,上述的数字密匙包括:任意预先选定的不公开的,一组或者多组数字密码;所述数字密码由合法授权的所述神经网络的用户,通过特定的密码生成工具产生。
可选地,上述的数字密匙包括:任意预先选定的不公开的,一组或者多组数字密码;所述数字密码由所述神经网络的拥有法人选定。
可选地,上述的数字密匙包括:任意预先选定的不公开的,一组或者多组数字密码;所述数字密码由所述神经网络的拥有法人,通过特定的密码生成工具产生。
根据本发明实施例的一方面,提供一种运用自锁机制,对任意深度神经网络进行知识产权保护的系统,包括:1)配合预定的数字密匙和学习训练数据样本,对所述任意深度神经网络进行自锁的模块;2)配合所述预定的数字密匙,对所述自锁的深度神经网络合法使用的模块;3)当没有给出所述预定的数字密匙时,对所述自锁的深度神经网络进行保护的模块;4)配合所述预定的数字密匙,对被非法解锁的所述深度神经网络证明其归属权的模块。
上述模块2,模块3和模块4在物理上可以有共同的可复用的子模块,但在功能上则是相互独立的实现。
根据本发明实施例的一方面,提供一种,配合所述预定的数字密匙和所述学习训练数据样本,对所述任意深度神经网络进行自锁的模块,其功能包括:1)根据所述带标注或者不带标注信息训练的数据样本,训练并更新所述深度神经网络的第一部分参数;2)根据所述不公开的数字密匙和所述第一部分参数的数值,在训练过程中计算并更新第二部分网络参数数值,以得到预定的所述深度神经网络的功能(如图像分类,自然语言处理等)。
根据本发明实施例的一方面,提供一种,配合所述预定的数字密匙,对所述自锁的任意深度神经网络进行合法使用的模块,其功能包括:1)根据所述第一部分参数和所述预定的数字密匙,共同计算并设定所述第二部分网络参数的数值;2)配合所述第一部分网络参数数值和正确设定的所述第二部分参数数值,模块的所述网络就能发挥所述的预定数据处理功能。
根据本发明实施例的一方面提供一种,当没有给出所述预定的数字密匙时,对所述自锁的深度神经网络进行保护的模块,其功能包括:1)当侵权者只提供任意猜测的不正确的数字密匙时,配合被非法拷贝的所述第一部分参数,共同计算出不正确的第二部分参数;2)使用所述第一部分参数和所述不正确的第二部分参数,模块的所述神经网络功能严重缺失,或者性能会出现严重下降。
当侵权者非法地获得了所述第二部分网络参数,即非法解锁网络时,结合被非法拷贝的所述第一部分参数,被侵权的所述神经网络的就可以发挥所述预定功能。
在上述情况下,根据本发明实施例的一方面,提供了一种配合所述预定的数字密匙,对被非法解锁的所述深度神经网络证明其归属权的模块,其功能包括:1)去除非法解锁网络的所述第二部分参数,然后利用所述预定的数字密匙,使用并展示所述网络的所述预定功能;2)去除非法解锁网络的所述第二部分参数,然后利用任意猜测的数字密匙,使用并展示所述网络不能执行所述预定的功能,或者性能出现严重下降,而且所述下降的幅度与预计一致;3)结合所述1和所述2的结果,证明了所述预定的数字密匙与所述第一部分参数是有着严格的关联性。
由于这种所述的关联性,只能在生成所述深度神经网络时赋予,也即证明了所述网络的归属权。
根据本发明实施例的一方面,提供一种运用自锁机制,对任意深度神经网络进行知识产权保护的终端,包括:处理器,存储器,通信接口和通信总线。所述处理器,所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行前述的神经网络自锁保护所对应的操作。
根据本发明实施例的一方面,提供一种运用自锁机制,对任意深度神经网络进行知识产权保护的终端,包括:处理器,存储器,通信接口和通信总线。所述处理器,所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令和所述神经网络,所述可执行指令使所述处理器执行前述的神经网络自锁保护所对应的操作。
根据本发明实施例的一方面,提供一种通过数字密匙,对任意深度神经网络进行知识产权保护的终端,包括:处理器,存储器,通信接口和通信总线。所述处理器,所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令和数字密匙,所述可执行指令和所述数字密匙,使所述处理器执行前述的神经网络自锁保护所对应的操作。
根据本发明实施例的一方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有:用于运用上述自锁机制对上述任意深度神经网络进行知识产权保护的数字信息,包括:用于运用所述自锁机制的预定数字密匙;用于运用所述自锁机制的学习训练数据样本;配合所述的预定数字密匙和所述的学习训练数据样本,对所述任意深度神经网络进行自锁的可执行指令;配合所述的预定数字密匙,对所述的自锁深度神经网络合法使用的可执行指令;当没有给出所述的预定数字密匙时,对自锁的深度神经网络进行保护的可执行指令;配合所述的预定数字密匙,对被非法解锁的所述深度神经网络证明其归属权的可执行指令。
四.附图说明
图1,对任意深度神经网络进行知识产权保护方法的步骤流程图
图2,制备并得到带自锁机制的深度神经网络方法的步骤流程图
图3,使用带自锁机制的深度神经网络方法的步骤流程图
图4,保护带自锁机制的深度神经网络方法的步骤流程图
图5,确定涉嫌侵权的深度神经网络之归属权方法的步骤流程图
图6,网络的卷积层和自锁层组合实现深度残差网络的基本功能层的示意图
图7,制备数字密匙方法的步骤流程图
图8,利用单一图片制备特定数字密匙的步骤流程图
图9,利用若干图片制备特定数字密匙的步骤流程图
图10,利用若干数字信息制备特定数字密匙的步骤流程图
图11,正常使用及保护网络时统计结果的直方图
图12,非法解锁网络的性能下降幅度图示
图13,任意深度神经网络进行知识产权保护的系统结构框图
图14,第一终端的结构示意图
图15,第二终端的结构示意图
图16,第三终端的结构示意图
图17,第四终端的结构示意图
五.具体实施方式
下面结合附图(若干附图中相同的标号表示相同的元素)和实施例,对本发明的具体实施方式做进一步详细说明。以下实施例用于说明本发明,但不用来限制本发明。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
本领域技术人员可以理解,本发明实施例中的“第一”,“第二”等术语仅用于区别不同步骤,设备,模块或数据等,既不代表任何特定技术含义,也不表示它们之间的必然逻辑顺序。
实施例一
参照图1,示出了根据本发明实施例一运用自锁机制,对任意深度神经网络进行知识产权保护方法的步骤流程图。
本实施例运用自锁机制,对任意深度神经网络进行知识产权保护的方法,包括以下步骤。
步骤S100,根据待加锁的目标网络结构信息,自锁性能要求,制备并得到符合要求的特定数字密匙。
步骤S102,根据特定的数字密匙,自锁性能要求,训练数据样本,目标网络基本功能,制备并得到符合基本功能要求的,带自锁功能的深度神经网络。
步骤S104,根据提供的正确数字密匙,开放网络的基本功能,对输入数据进行处理,并得到正常的数据处理结果。
步骤S106,根据提供的不正确数字密匙,封锁网络的基本功能,对输入的数据进行处理,并得到性能严重下降的,或不能实现网络基本功能的结果。
步骤S108,根据提供的正确数字密匙,对涉嫌侵权的神经网络,展示并证明其归属权。
可选地,步骤S104,S106,S108,之间无需遵循必然的先后顺序或者逻辑顺序,也无需全部执行。
实施例二
参照图2,示出了根据本发明实施例二,根据特定的数字密匙,制备并得到带自锁机制的深度神经网络方法的步骤流程图。
本实施例根据特定的数字密匙,制备并得到带自锁机制的深度神经网络的方法,包括以下步骤。
步骤S1020,根据带标注或者不带标注信息的数据样本,训练并得到深度神经网络的第一部分参数。
步骤S1022,根据不公开的数字密匙和第一部分网络参数的数值,在训练过程中计算并得到第二部分网络参数的数值.
步骤S1024,根据网络性能,反复训练并更新得到深度神经网络的第一部分和第二部分参数,直到网络性能到达设计要求。
实施例三
参照图3,示出了根据本发明实施例三,根据正确的数字密匙,使用带自锁机制的深度神经网络方法的步骤流程图。
本实施例根据特定的数字密匙,使用带自锁机制的深度神经网络的方法,包括以下步骤。
步骤S1040,根据提供的正确数字密匙和第一部分网络参数的数值,计算并得到正确的第二部分网络参数数值.
步骤S1042,根据深度神经网络的第一部分参数和正确的第二部分参数数值,开放网络的基本功能对输入数据进行处理,并得到正常的数据处理结果。
实施例四
参照图4,示出了根据本发明实施例四,根据不正确的数字密匙,保护带自锁机制的深度神经网络方法的步骤流程图。
本实施例根据特定的数字密匙,使用带自锁机制的深度神经网络的方法,包括以下步骤。
步骤S1060,根据提供的不正确数字密匙和第一部分网络参数的数值,计算并得到不正确的第二部分网络参数数值。
步骤S1062,根据深度神经网络的第一部分参数和不正确的第二部分参数数值,锁定网络的基本功能对输入数据进行处理,并得到性能严重下降的,或不能实现网络基本功能的结果。
实施例五
参照图5,示出了根据本发明实施例五,根据特定的数字密匙,确定涉嫌侵权的深度神经网络之归属权方法的步骤流程图。
本实施例根据特定的数字密匙,确定涉嫌侵权的深度神经网络之归属权的方法,包括以下步骤。
步骤S1080,去除非法解锁网络的第二部分参数,代之以正确的数字密匙,使用并展示网络能够执行其正常功能,并得到正常的数据处理结果。
步骤S1082,去除非法解锁网络的第二部分参数,代之以不正确的数字密匙,使用并展示网络不能执行其正常功能,只能得到性能严重下降的,或不能实现网络基本功能的结果。而且性能下降幅度与预期一致。
参照图12,示出了根据本发明实施,当使用特定的不正确数码密匙时,非法解锁网络的性能下降幅度。
图12中,右侧深色直方图代表使用正确数字密匙时的图片识别准确率分布,其它三个直方图代表,使用不同错误程度的数字密匙时的图片识别准确率分布。
对比非法解锁网络测试得到的直方图分布,和权利要求方提供的直方图分布,查看是否一致。
步骤S1084,综合上述S1080,S1082结果,展示解锁网络的第一部分参数只能与所提供的正确数字密匙配合作用,也即证明了网络之归属权,属于提供正确密匙的权利要求方。
可选地,结合上述本发明实施例提供的方法,所述第一部分网络参数的全体或者部分,作为应用于所述预定数字密匙的卷积核,通过数字卷积运算,共同决定了所述第二部分的网络参数。
可选地,结合本发明实施例提供的方法,上述神经网络的第二部分参数,可以按如下公式计算:
γ=Fγ(W,p);β=Fβ(W,p);
其中Fγ(),Fβ()代表选定的密匙函数,W代表第一部分网络参数,p代表数字密匙。
可选地,结合本发明实施例提供的方法,所述第一部分网络参数的全体或者部分,作为应用于所述预定数字密匙的卷积核,通过对所述数字卷积运算结果的进一步数学变换,共同决定了所述第二部分的网络参数。
可选地,结合本发明实施例提供的方法,上述的数学变换包括数值平均,极大,极小,中值等,任何可以得到确定结果的数学计算。
可选地,结合本发明实施例提供的方法,上述的数字卷积运算可以用神经网络的卷积层实现。
可选地,结合本发明实施例提供的方法,上述神经网络的第二部分参数,可以用于实现神经网络的自锁层。其输入输出信号处理方式按如下公式计算:
P(x)=γ·x+β
其中x代表输入信号,P(x)代表输出信号,γ,β为相应的第二部分网络参数。
可选地,结合本发明实施例提供的方法,网络的卷积层和自锁层可以组合实现,更复杂的神经网络功能。
可选地,参照图6,示出了结合本发明实施例提供的方法,网络的卷积层和自锁层可以组合实现深度残差网络的基本功能层。
可选地,结合本发明实施例提供的一种网络结构,所述第一部分网络层级可以是卷积层或者全连接层。
可选地,结合本发明实施例提供的一种网络结构,所述第二部分网络层级可以是批归一化层(batch normalization)。
可选地,结合本发明实施例提供的一种网络结构,所述第二部分网络层的参数可以是所述批归一化层的偏置参数(bias term)。
可选地,结合本发明实施例提供的一种网络结构,所述第二部分网络层的参数可以是所述批归一化层的尺度因子(scaling factor)。
可选地,结合本发明实施例提供的一种网络结构,所述第二部分网络层的参数可以是所述批归一化层的所述偏置参数(bias term)和所述尺度因子(scaling factor)。
可选地,结合本发明实施例提供的一种网络结构,所述第二部分网络层级可以是一个额外的密匙变换层,或者任何实现尺度变换和偏置功能的网络层。
可选地,结合本发明实施例提供的一种网络结构,所述第二部分网络层的参数可以是所述密匙变换层的偏置参数(bias term)和尺度因子(scaling factor)。
可选地,结合本发明实施例提供的一种网络结构,所述密匙变换层的所述偏置参数(bias term)和所述尺度因子(scaling factor)可以是按元素操作的(elementwise)。
可选地,结合本发明实施例提供的一种网络结构,所述密匙变换层的所述偏置参数(bias term)和所述尺度因子(scaling factor)可以是按通道操作的(channel-wise)。
可选地,结合本发明实施例提供的一种网络结构,所述密匙变换层的所述偏置参数(bias term)和所述尺度因子(scaling factor)可以是混合所述按元素操作和所述按通道操作的(hybrid elementwise and channel-wise)。
实施例六
参照图7,示出了本发明实施例六根据网络结构信息,制备数字密匙方法的步骤流程图。
本实施例根据网络结构信息,制备数字密匙的方法,包括以下步骤。
步骤S1000,根据网络的结构信息,决定各层级数字密匙的结构尺寸。
步骤S1002,根据数字密匙的结构尺寸,制备特定的数字密匙。按不同的密匙使用要求,有不同的制备细节步骤,包括以下。
参照图8,步骤S10020,示出了本发明实施例根据数字密匙的结构尺寸,利用单一图片制备特定数字密匙的步骤流程图。
步骤S100200,选定某一特定的图片(包括如个人身份照片,公司商标图片logo等)。
步骤S100202,利用未加锁保护的神经网络,正常处理选定的单一图片。
步骤S100204,收集处理图片时的中间层输出结果。
步骤S100206,将选定的图片和收集的中间层输出结果,作为最终得到的数字密匙。
参照图9,步骤S10022,示出了本发明实施例根据数字密匙的结构尺寸,利用若干图片制备特定数字密匙的步骤流程图。
相比按步骤S10020制备的数字密匙,按步骤S10022制备的数字密匙,能够提供更强的保护性能。
步骤S100220,选定若干特定的图片(包括如若干个人身份照片,若干公司商标图片logo等)。
步骤S100222,利用未加锁保护的神经网络,正常处理选定的若干图片。
步骤S100224,收集处理若干图片时的中间层输出结果,每一图片对应一组结果。
步骤S100226,按特定的次序混合若干图片和中间层结果,再选择其中一种混合结果,作为最终得到的数字密匙。
参照图10,步骤S10024,示出了本发明实施例根据数字密匙的结构尺寸,利用若干数字信息,制备特定数字密匙的步骤流程图。
步骤S100240,选定若干特定的数字信息(包括如若干个人语音信号,数字密码等)。
步骤S100242,利用未加锁保护的神经网络,正常处理选定的若干数字信息。
步骤S100244,收集处理若干数字信息时的中间层输出结果,每一种输入对应一组结果。
步骤S100246,按特定的次序混合若干数字信息和中间层结果,再选择其中一种混合结果,作为最终得到的数字密匙。
相比按步骤S10022制备的数字密匙,按步骤S10024制备的数字密匙,能够提供更全面的证明归属权的数字信息(不仅仅是局限于图片)。
实施例七
参照图11,示出了本发明实施例应用于加锁图片识别深度神经网络,正常使用及保护网络时统计结果的直方图。
图中横轴为图片识别准确率,纵轴为多次实验结果的直方图分布。
图中右侧高度达1.0的垂直线代表,未加锁网络的应用于CIFAR10测试集的图片识别准确率(约92%)。
图中右侧直方图代表,若干次加锁实验中,提供正确数字密匙时,正常使用加锁网络时的图片识别准确率的分布情况,其均值仍然为92%,即原未加锁网络的图片识别功能,没有受到自锁机制影响。
图中左侧直方图代表若干次实验中,提供不正确密匙时,保护网络的图片识别准确率的分布情况,其均值约为10%,与随机猜测的结果相当,即原未加锁网络的图片识别功能,完全被自锁功能抑制。
实施例八
参照图13,示出了根据本发明实施例运用自锁机制,对任意深度神经网络进行知识产权保护的系统结构框图。
本实施例中运用自锁机制,对任意深度神经网络进行知识产权保护的系统,包括以下模块。
模块M100,用于根据待加锁的目标网络结构信息,自锁性能要求,制备并得到符合要求的特定数字密匙。
模块M102,用于根据特定的数字密匙,自锁性能要求,训练数据样本,目标网络基本功能,制备并得到符合基本功能要求的,带自锁功能的深度神经网络。
模块M104,用于根据提供的正确数字密匙,开放网络的基本功能,对输入数据进行处理,并得到正常的数据处理结果。
模块M106,用于根据提供的不正确数字密匙,封锁网络的基本功能,对输入的数据进行处理,并得到性能严重下降的,或不能实现网络基本功能的结果。
模块M108,用于根据提供的正确数字密匙,对涉嫌侵权的神经网络,展示并证明其归属权。
可选地,模块M104,M106,M108,之间无需遵循必然的先后顺序或者逻辑顺序,所以模块也无需全部包括在同一个物理系统中。
实施例九
参照图14,示出了根据本发明实施例九的第一终端的结构示意图,本发明具体实施例并不对第一终端的具体实现做限定。
如图14所示,该第一终端T110包括处理器(processor)T1110、通信接口(Communications Interface)T1120、存储器(memory array)T1130和总线T1140。其中,处理器T1110、通信接口T1120、以及存储器T1130通过总线T1140完成相互间的通信。
通信接口T1120用于与与其它设备通信,其中包括其它客户端、服务器及共享存储等。
处理器T1110用于执行程序T1100,具体可执行上述方法实施例中的相关步骤。
处理器T1110可能是一个中央处理器CPU,或者是专用集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
处理器T1110可能是应用于云计算中心,移动设备,可穿戴设备,智能视频终端,车载设备及其他交通工具,物联网设备(IoT devices)等中的中央处理单元,也可能是应用于图形加速器(GPU),张量处理器(TPU),专用人工智能芯片等,特定硬件架构中的逻辑与数值运算单元。
存储器T1130用于存放文件。存储器T1130可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。存储器T1130也可以是存储器阵列。存储器T1130还可能被分块,并且所述块可按一定的规则组合成虚拟卷。
在一种可能的实施方式中,上述程序可为包括计算机操作指令的程序代码。该程序具体可用于:
据网络结构信息,提供制备数字密匙的方法,包括:
根据网络的结构信息,决定各层级数字密匙的结构尺寸。
根据数字密匙的结构尺寸,按不同的密匙使用要求,提供制备不同密匙的方法,包括以下:
在第一方面,根据数字密匙的结构尺寸,提供利用单一图片制备特定数字密匙的方法,包括:选定某一特定的图片(包括如个人身份照片,公司商标图片logo等);利用未加锁保护的神经网络,正常处理选定的单一图片;收集处理图片时的中间层输出结果;将选定的图片和收集的中间层输出结果,作为最终得到的数字密匙;
在第二方面,根据数字密匙的结构尺寸,提供利用若干图片制备特定数字密匙的方法,包括:选定若干特定的图片(包括如若干个人身份照片,若干公司商标图片logo等);利用未加锁保护的神经网络,正常处理选定的若干图片;收集处理若干图片时的中间层输出结果,每一图片对应一组结果;按特定的次序混合若干图片和中间层结果,再选择其中一种混合结果,作为最终得到的数字密匙;
在第三方面,根据数字密匙的结构尺寸,提供利用若干数字信息,制备特定数字密匙的方法,包括:选定若干特定的数字信息(包括如若干个人语音信号,数字密码等);利用未加锁保护的神经网络,正常处理选定的若干数字信息;收集处理若干数字信息时的中间层输出结果,每一种输入对应一组结果;按特定的次序混合若干数字信息和中间层结果,再选择其中一种混合结果,作为最终得到的数字密匙;
实施例十
参照图15,示出了根据本发明实施例十的第二终端的结构示意图,本发明具体实施例并不对第二终端的具体实现做限定。
如图15所示,该第二终端T120包括处理器(processor)T1210、通信接口(Communications Interface)T1220、存储器(memory array)T1230和总线T1240。其中,处理器T1210、通信接口T1220、以及存储器T1230通过总线T1240完成相互间的通信。
通信接口T1220用于与与其它设备通信,其中包括其它客户端、服务器及共享存储等。
处理器T1210用于执行程序T1200,具体可执行上述方法实施例中的相关步骤。
处理器T1210可能是一个中央处理器CPU,或者是专用集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
处理器T1210可能是应用于云计算中心,移动设备,可穿戴设备,智能视频终端,车载设备及其他交通工具,物联网设备(IoT devices)等中的中央处理单元,也可能是应用于图形加速器(GPU),张量处理器(TPU),专用人工智能芯片等,特定硬件架构中的逻辑与数值运算单元。
存储器T1230用于存放文件。存储器T1230可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。存储器T1230也可以是存储器阵列。存储器T1230还可能被分块,并且所述块可按一定的规则组合成虚拟卷。
在一种可能的实施方式中,上述程序可为包括计算机操作指令的程序代码。该程序具体可用于:
根据特定的数字密匙,提供一种制备并得到带自锁机制的深度神经网络的方法,包括:
根据带标注或者不带标注信息的数据样本,训练并得到深度神经网络的第一部分参数;根据不公开的数字密匙和第一部分网络参数的数值,在训练过程中计算并得到第二部分网络参数的数值;根据网络性能,反复训练并更新得到深度神经网络的第一部分和第二部分参数,直到网络性能到达设计要求。
实施例十一
参照图16,示出了根据本发明实施例十一的第三终端的结构示意图,本发明具体实施例并不对第三终端的具体实现做限定。
如图16所示,该第三终端T130包括处理器(processor)T1310、通信接口(Communications Interface)T1320、存储器(memory array)T1330和总线T1340。其中,处理器T1310、通信接口T1320、以及存储器T1330通过总线T1340完成相互间的通信。
通信接口T1320用于与与其它设备通信,其中包括其它客户端、服务器及共享存储等。
处理器T1310用于执行程序T1300,具体可执行上述方法实施例中的相关步骤。
处理器T1310可能是一个中央处理器CPU,或者是专用集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
处理器T1310可能是应用于云计算中心,移动设备,可穿戴设备,智能视频终端,车载设备及其他交通工具,物联网设备(IoT devices)等中的中央处理单元,也可能是应用于图形加速器(GPU),张量处理器(TPU),专用人工智能芯片等,特定硬件架构中的逻辑与数值运算单元。
存储器T1330用于存放文件。存储器T1330可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。存储器T1330也可以是存储器阵列。存储器T1330还可能被分块,并且所述块可按一定的规则组合成虚拟卷。
在一种可能的实施方式中,上述程序可为包括计算机操作指令的程序代码。该程序具体可用于:
在第一方面,根据正确的数字密匙,提供一种使用带自锁机制的深度神经网络的方法,包括:根据提供的正确数字密匙和第一部分网络参数的数值,计算并得到正确的第二部分网络参数数值;根据深度神经网络的第一部分参数和正确的第二部分参数数值,开放网络的基本功能对输入数据进行处理,并得到正常的数据处理结果。
在第二方面,根据不正确的数字密匙,提供一种保护带自锁机制的深度神经网络的方法,包括:根据提供的不正确数字密匙和第一部分网络参数的数值,计算并得到不正确的第二部分网络参数数值;根据深度神经网络的第一部分参数和不正确的第二部分参数数值,锁定网络的基本功能对输入数据进行处理,并得到性能严重下降的,或不能实现网络基本功能的结果。
实施例十二
参照图17,示出了根据本发明实施例十二的第四终端的结构示意图,本发明具体实施例并不对第四终端的具体实现做限定。
如图17所示,该第四终端T140包括处理器(processor)T1410、通信接口(Communications Interface)T1420、存储器(memory array)T1430和总线T1440。其中,处理器T1410、通信接口T1420、以及存储器T1430通过总线T1440完成相互间的通信。
通信接口T1420用于与与其它设备通信,其中包括其它客户端、服务器及共享存储等。
处理器T1410用于执行程序T1400,具体可执行上述方法实施例中的相关步骤。
处理器T1410可能是一个中央处理器CPU,或者是专用集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
处理器T1410可能是应用于云计算中心,移动设备,可穿戴设备,智能视频终端,车载设备及其他交通工具,物联网设备(IoT devices)等中的中央处理单元,也可能是应用于图形加速器(GPU),张量处理器(TPU),专用人工智能芯片等,特定硬件架构中的逻辑与数值运算单元。
存储器T1430用于存放文件。存储器T1430可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。存储器T1430也可以是存储器阵列。存储器T1430还可能被分块,并且所述块可按一定的规则组合成虚拟卷。
在一种可能的实施方式中,上述程序可为包括计算机操作指令的程序代码。该程序具体可用于:
根据本发明实施例,提供一种根据特定的数字密匙,确定涉嫌侵权的深度神经网络之归属权的方法,包括:
在第一方面,去除非法解锁网络的第二部分参数,代之以正确的数字密匙,使用并展示网络能够执行其正常功能,并得到正常的数据处理结果;在第二方面,去除非法解锁网络的第二部分参数,代之以不正确的数字密匙,使用并展示网络不能执行其正常功能,只能得到性能严重下降的,或不能实现网络基本功能的结果。而且性能下降幅度与预期一致;综合上述第一方面,第二方面的结果,展示解锁网络的第一部分参数只能与所提供的正确数字密匙配合作用,也即证明了网络之归属权,属于提供正确密匙的权利要求方。
Claims (9)
1.一种运用自锁机制,对任意深度神经网络进行知识产权保护的方法,其特征在于,包括:
·配合预定的数字密匙和学习训练数据样本,对所述任意深度神经网络进行自锁,
·配合预定的数字密匙,所述自锁的深度神经网络可以合法使用,表现出正常发挥预定功能的特点,
·如果没有提供预定的数字密匙,所述自锁的深度神经网络,会表现出功能严重缺失,或者性能严重下降的特点,
·即使网络被非法解锁,配合预定的数字密匙,所述自锁的深度神经网络表现出明显的统计特征,可以证明其归属权。
2.一种配合预定的数字密匙和学习训练数据样本,对任意深度神经网络进行自锁的方法,其特征在于,包括:
·根据带标注或者不带标注信息的所述学习训练数据样本,训练并更新所述网络的第一部分参数,
·所述的第一部分网络参数,既参与实现所述网络的预定功能,也与所述预定的数字密匙一起决定了第二部分网络参数的数值,
·根据所述预定的数字密匙和所述第一部分网络参数的数值,在训练过程中计算并更新所述第二部分网络参数的数值,以得到所述深度神经网络的预定功能(如图像分类,自然语言处理等),
·这样训练得到所述的神经网络,所述的第一部分参数与所述预定的数字密匙有着严格的关联性,
·所述第一和第二部分网络参数,一起构成了所述深度神经网络的全部参数,
·所述第一和第二部分网络参数与所述预定的数字密匙一起,构成了使用所述深度神经网络所需的全部先决信息,共同作用于所需处理的输入数字信号。
3.一种配合所述预定的数字密匙,对所述自锁的任意深度神经网络进行合法使用的方法,其特征在于,包括:
·根据上述第一部分网络参数和上述预定的数字密匙,共同计算并设定上述第二部分网络参数的数值;
·所述第一部分网络参数和正确设定的所述第二部分参数配合起来,所述神经网络就能发挥正常的数据处理功能。
4.一种当没有给出预定的数字密匙时,对自锁的深度神经网络进行保护的方法,其特征在于,包括:
·当侵权者只提供任意猜测的不正确的数字密匙时,配合被非法拷贝的所述第一部分参数,共同计算出不正确的第二部分参数;
·使用所述第一部分参数和所述不正确的第二部分参数,预定的神经网络功能严重缺失,或者性能会出现严重下降。
5.一种运用所述自锁机制,当侵权者非法解锁了被保护的网络时,配合所述预定的数字密匙,对被非法解锁的神经网络证明其归属权的方法,其特征在于,包括:
·去除非法解锁网络的所述第二部分参数,然后利用所述预定的数字密匙,使用并展示所述网络的正常功能;
·去除非法解锁网络的所述第二部分参数,然后利用任意猜测的数字密匙,使用并展示所述网络不能执行预定的功能,或者性能出现严重下降,而且下降的幅度与预计一致;
·结合以上两种情况的结果,证明了所述预定的数字密匙与所述第一部分网络参数是有着严格的关联性,
·所述的这种关联性,只能在生成所述深度神经网络的时候赋予。
6.一种利用自锁机制,对任意深度神经网络进行知识产权保护的网络制备方法,其特征在于,包括:
·针对所述多层神经网络的第一部分层级,利用其中的网络参数和不公开的数字密匙,按给定的方式计算出一个或多个数值,
·针对所述多层神经网络的第二部分层级,利用上述计算的结果,设定所述第二部分网络层的参数,
·所述第一和第二部分网络层级一起,共同构成了完整的网络结构,并实现所述神经网络的预定功能(如图像分类,自然语言处理等),
·所述第一部分网络层级可以是卷积层或者全连接层,
·所述第二部分网络层级可以是批归一化层(batch normalization),
·所述第二部分网络层的参数可以是所述批归一化层的偏置参数(bias term),
·所述第二部分网络层的参数可以是所述批归一化层的尺度因子(scaling factor),
·所述第二部分网络层的参数可以是所述批归一化层的所述偏置参数(bias term)和所述尺度因子(scaling factor),
·所述第二部分网络层级可以是一个额外的密匙变换层,或者任何实现尺度变换和偏置功能的网络层,
·所述第二部分网络层的参数可以是所述密匙变换层的偏置参数(bias term)和尺度因子(scaling factor),
·所述密匙变换层的所述偏置参数(bias term)和所述尺度因子(scaling factor)可以是按元素操作的(elementwise),
·所述密匙变换层的所述偏置参数(bias term)和所述尺度因子(scaling factor)可以是按通道操作的(channel-wise),
·所述密匙变换层的所述偏置参数(bias term)和所述尺度因子(scaling factor)可以是混合所述按元素操作和所述按通道操作的(hybrid elementwise and channel-wise)。
7.一种制备上述用于自锁网络的数字密匙的方法,其特征在于,包括:
·任意预先选定的不公开的,一组或者多组数字信息作为数字密匙,
·所述预定的数字密匙只分发给合法授权的所述神经网络用户,
·所述预定的数字密匙由所述神经网络的用户拥有人选定,
·数字密匙包括任意预先选定的不公开的,一组或者多组图片,
·所述预定的数字密匙图片只分发给合法授权的所述神经网络用户,
·上述的数字密匙图片包括:所述神经网络拥有人的护照照片,身份证照片,签名,指纹图片,虹膜图片等任何可以确定所述神经网络拥有人身份的图片,
·上述的数字密匙图片包括:合法授权的所述神经网络用户法人的护照照片,身份证照片,签名,指纹图片,虹膜图片等任何可以确定用户身份的图片,
·上述的数字密匙图片包括:具备所述神经网络拥有权的法人团体徽标,公司标识(logo)等任何可以确定法人身份(ID)的图片,
·上述的数字密匙图片包括:合法授权的所述神经网络用户的法人团体徽标,公司标识(logo)等任何可以确定用户法人身份(ID)的图片,
·上述的数字密匙包括:任意预先选定的不公开的,一组或者多组语音信号,
·所述数字密匙语音信号只分发给合法授权的所述神经网络用户,
·上述的数字密匙语音信号包括:所述神经网络拥有人的声纹录音等任何可以确定所述神经网络所述拥有人身份的语音信号,
·上述的数字密匙语音信号包括:合法授权的所述神经网络用户法人的声纹录音,以及任何可以确定所述用户身份的语音信号,
·上述的数字密匙包括:任意预先选定的不公开的,一组或者多组数字密码,
·所述数字密码由合法授权的所述神经网络的用户选定。
·上述的数字密匙包括:任意预先选定的不公开的,一组或者多组数字密码,
·所述数字密码由合法授权的所述神经网络的用户,通过特定的密码生成工具产生,
·上述的数字密匙包括:任意预先选定的不公开的,一组或者多组数字密码,
·所述数字密码由所述神经网络的拥有法人选定,
·上述的数字密匙包括:任意预先选定的不公开的,一组或者多组数字密码,
·所述数字密码由所述神经网络的拥有法人,通过特定的密码生成工具产生。
8.一种运用自锁机制,对任意深度神经网络进行知识产权保护的系统,其特征在于,包括:
·配合预定的数字密匙和学习训练数据样本,对所述任意深度神经网络进行自锁的模块1,
·配合所述预定的数字密匙,对所述自锁的深度神经网络合法使用的模块2,
·当没有给出所述预定的数字密匙时,对所述自锁的深度神经网络进行保护的模块3,
·配合所述预定的数字密匙,对被非法解锁的所述深度神经网络证明其归属权的模块4,
·所述模块2和所述模块3在物理上可以有共同的可复用的子模块,但在功能上则是相互独立的实现,
·一种配合所述预定的数字密匙和所述学习训练数据样本,对所述任意深度神经网络进行自锁的系统模块,其特征在于,包括:
·根据所述带标注或者不带标注信息训练的数据样本,训练并更新所述深度神经网络的第一部分参数,
·根据所述不公开的数字密匙和所述第一部分参数的数值,在训练过程中计算并更新第二部分网络参数数值,以得到预定的所述深度神经网络的功能(如图像分类,自然语言处理等),
·一种配合所述预定的数字密匙,对所述自锁的任意深度神经网络进行合法使用的系统模块,其特征在于,包括:
·根据所述第一部分参数和所述预定的数字密匙,共同计算并设定所述第二部分网络参数的数值,
·配合所述第一部分网络参数数值和正确设定的所述第二部分参数数值,模块的所述网络就能发挥所述的预定数据处理功能,
·一种当没有给出所述预定的数字密匙时,对所述自锁的深度神经网络进行保护的系统模块,其特征在于,包括:
·当侵权者只提供任意猜测的不正确的数字密匙时,配合被非法拷贝的所述第一部分参数,共同计算出不正确的第二部分参数,
·使用所述第一部分参数和所述不正确的第二部分参数,模块的所述神经网络功能严重缺失,或者性能会出现严重下降,
·当侵权者非法地获得了所述第二部分网络参数,即非法解锁网络时,结合被非法拷贝的所述第一部分参数,被侵权的所述神经网络的就可以发挥所述预定功能。在这种情况下,本发明提供了一种配合所述预定的数字密匙,对被非法解锁的所述深度神经网络证明其归属权的系统模块,其特征在于,包括:
·去除非法解锁网络的所述第二部分参数,然后利用所述预定的数字密匙,使用并展示所述网络的所述预定功能,
·去除非法解锁网络的所述第二部分参数,然后利用任意猜测的数字密匙,使用并展示所述网络不能执行所述预定的功能,或者性能出现严重下降,而且所述下降的幅度与预计一致,
·结合上述两种情况的结果,证明所述预定的数字密匙与所述第一部分参数是有着严格的关联性,
·这种所述的关联性,只能在生成所述深度神经网络时赋予。
9.一种运用自锁机制,对任意深度神经网络进行知识产权保护的终端,其特征在于,包括:处理器,存储器,通信接口和通信总线。所述处理器,所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行前述的神经网络自锁保护所对应的操作,
·一种运用自锁机制,对任意深度神经网络进行知识产权保护的终端,其特征在于,包括:处理器,存储器,通信接口和通信总线。所述处理器,所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令和所述神经网络,所述可执行指令使所述处理器执行前述的神经网络自锁保护所对应的操作,
·一种通过数字密匙,对任意深度神经网络进行知识产权保护的终端,其特征在于,包括:处理器,存储器,通信接口和通信总线。所述处理器,所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令和数字密匙,所述可执行指令和所述数字密匙,使所述处理器执行前述的神经网络自锁保护所对应的操作。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910158611.1A CN109919303B (zh) | 2019-02-28 | 2019-02-28 | 一种深度神经网络的知识产权保护方法、系统及终端 |
PCT/CN2020/072807 WO2020173252A1 (zh) | 2019-02-28 | 2020-01-17 | 运用自锁机制保护深度神经网络的方法、系统及终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910158611.1A CN109919303B (zh) | 2019-02-28 | 2019-02-28 | 一种深度神经网络的知识产权保护方法、系统及终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109919303A true CN109919303A (zh) | 2019-06-21 |
CN109919303B CN109919303B (zh) | 2023-09-19 |
Family
ID=66963044
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910158611.1A Active CN109919303B (zh) | 2019-02-28 | 2019-02-28 | 一种深度神经网络的知识产权保护方法、系统及终端 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109919303B (zh) |
WO (1) | WO2020173252A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111581671A (zh) * | 2020-05-11 | 2020-08-25 | 笵成科技南京有限公司 | 一种深度神经网络与区块链相结合的数字护照保护方法 |
WO2020173252A1 (zh) * | 2019-02-28 | 2020-09-03 | 笵成科技南京有限公司 | 运用自锁机制保护深度神经网络的方法、系统及终端 |
CN112395635A (zh) * | 2021-01-18 | 2021-02-23 | 北京灵汐科技有限公司 | 图像处理、密钥生成、训练方法及装置、计算机可读介质 |
WO2021042665A1 (zh) * | 2019-09-04 | 2021-03-11 | 笵成科技南京有限公司 | 一种基于dnn用于护照抵御模糊攻击的方法 |
WO2021083111A1 (zh) * | 2019-10-29 | 2021-05-06 | 阿里巴巴集团控股有限公司 | 一种水印信息嵌入方法以及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108038544A (zh) * | 2017-12-04 | 2018-05-15 | 华南师范大学 | 基于大数据和深度学习的神经网络深度学习方法和系统 |
CN108629193A (zh) * | 2018-04-26 | 2018-10-09 | 成都大象分形智能科技有限公司 | 一种针对人工神经网络模型的加密保护系统及方法 |
US20180341848A1 (en) * | 2016-01-06 | 2018-11-29 | International Business Machines Corporation | Personalized eeg-based encryptor |
CN108985448A (zh) * | 2018-06-06 | 2018-12-11 | 北京大学 | 神经网络表示标准框架结构 |
CN109002883A (zh) * | 2018-07-04 | 2018-12-14 | 中国科学院计算技术研究所 | 卷积神经网络模型计算装置及计算方法 |
US20190043516A1 (en) * | 2018-06-22 | 2019-02-07 | Intel Corporation | Neural network for speech denoising trained with deep feature losses |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109919303B (zh) * | 2019-02-28 | 2023-09-19 | 笵成科技南京有限公司 | 一种深度神经网络的知识产权保护方法、系统及终端 |
-
2019
- 2019-02-28 CN CN201910158611.1A patent/CN109919303B/zh active Active
-
2020
- 2020-01-17 WO PCT/CN2020/072807 patent/WO2020173252A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180341848A1 (en) * | 2016-01-06 | 2018-11-29 | International Business Machines Corporation | Personalized eeg-based encryptor |
CN108038544A (zh) * | 2017-12-04 | 2018-05-15 | 华南师范大学 | 基于大数据和深度学习的神经网络深度学习方法和系统 |
CN108629193A (zh) * | 2018-04-26 | 2018-10-09 | 成都大象分形智能科技有限公司 | 一种针对人工神经网络模型的加密保护系统及方法 |
CN108985448A (zh) * | 2018-06-06 | 2018-12-11 | 北京大学 | 神经网络表示标准框架结构 |
US20190043516A1 (en) * | 2018-06-22 | 2019-02-07 | Intel Corporation | Neural network for speech denoising trained with deep feature losses |
CN109002883A (zh) * | 2018-07-04 | 2018-12-14 | 中国科学院计算技术研究所 | 卷积神经网络模型计算装置及计算方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020173252A1 (zh) * | 2019-02-28 | 2020-09-03 | 笵成科技南京有限公司 | 运用自锁机制保护深度神经网络的方法、系统及终端 |
WO2021042665A1 (zh) * | 2019-09-04 | 2021-03-11 | 笵成科技南京有限公司 | 一种基于dnn用于护照抵御模糊攻击的方法 |
WO2021083111A1 (zh) * | 2019-10-29 | 2021-05-06 | 阿里巴巴集团控股有限公司 | 一种水印信息嵌入方法以及装置 |
US11941721B2 (en) | 2019-10-29 | 2024-03-26 | Alibaba Group Holding Limited | Using watermark information and weight information to train an embedded neural network model |
CN111581671A (zh) * | 2020-05-11 | 2020-08-25 | 笵成科技南京有限公司 | 一种深度神经网络与区块链相结合的数字护照保护方法 |
CN112395635A (zh) * | 2021-01-18 | 2021-02-23 | 北京灵汐科技有限公司 | 图像处理、密钥生成、训练方法及装置、计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2020173252A1 (zh) | 2020-09-03 |
CN109919303B (zh) | 2023-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109919303A (zh) | 一种深度神经网络的知识产权保护方法、系统及终端 | |
Li et al. | How to prove your model belongs to you: A blind-watermark based framework to protect intellectual property of DNN | |
Chen et al. | Amplitude-phase recombination: Rethinking robustness of convolutional neural networks in frequency domain | |
Tekgul et al. | WAFFLE: Watermarking in federated learning | |
CN107704877A (zh) | 一种基于深度学习的图像隐私感知方法 | |
CN111768325B (zh) | 大数据隐私保护中基于生成对抗样本的安全性提升方法 | |
Miller et al. | Multi-perspective machine learning a classifier ensemble method for intrusion detection | |
CN108696666B (zh) | 基于拉丁方置乱的彩色图像加密方法 | |
Yu et al. | Robust median filtering forensics by CNN-based multiple residuals learning | |
Qi et al. | Detection tolerant black-box adversarial attack against automatic modulation classification with deep learning | |
CN112132733B (zh) | 基于混沌的智能模型黑盒水印触发集自动标注算法 | |
Xiang et al. | A new convolutional neural network-based steganalysis method for content-adaptive image steganography in the spatial domain | |
CN102184244B (zh) | 一种适合于polygon类型、高鲁棒的地理数据库水印方法 | |
CN110290110B (zh) | 一种基于冗余检测架构的加密恶意流量识别方法及系统 | |
CN101141466B (zh) | 基于交织水印和生物特征的文件认证方法 | |
Huang et al. | Adversarial defence by diversified simultaneous training of deep ensembles | |
CN117875455A (zh) | 一种基于数据增强的联邦学习数据投毒防御方法 | |
CN115719085A (zh) | 一种深度神经网络模型反演攻击防御方法及设备 | |
Ren et al. | Protecting intellectual property with reliable availability of learning models in ai-based cybersecurity services | |
Liu et al. | Deepfake Technology and Current Legal Status of It | |
CN113516199B (zh) | 一种基于差分隐私的图像数据生成方法 | |
CN112634118B (zh) | 对抗批隐写方法 | |
Tan et al. | An embarrassingly simple approach for intellectual property rights protection on recurrent neural networks | |
CN115310120A (zh) | 一种基于双陷门同态加密的鲁棒性联邦学习聚合方法 | |
Duan et al. | AISChain: Blockchain-Based AIS Data Platform With Dynamic Bloom Filter Tree |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20191231 Address after: No.329, Mochou Road, Qinhuai District, Nanjing, Jiangsu Province Applicant after: Daocheng Technology Nanjing Co.,Ltd. Address before: Room 208, Building 19, 38 Guangdong Road, Gulou District, Nanjing City, Jiangsu Province, 210000 Applicant before: Fan Lixin |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |