CN110168576A - 信息处理设备、方法和计算机可读存储介质 - Google Patents
信息处理设备、方法和计算机可读存储介质 Download PDFInfo
- Publication number
- CN110168576A CN110168576A CN201780082089.2A CN201780082089A CN110168576A CN 110168576 A CN110168576 A CN 110168576A CN 201780082089 A CN201780082089 A CN 201780082089A CN 110168576 A CN110168576 A CN 110168576A
- Authority
- CN
- China
- Prior art keywords
- weight
- network
- gradient
- nervus opticus
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 27
- 238000000034 method Methods 0.000 title abstract description 5
- 210000005036 nerve Anatomy 0.000 claims abstract description 45
- 238000003672 processing method Methods 0.000 claims abstract description 16
- 238000013528 artificial neural network Methods 0.000 claims description 40
- 238000012549 training Methods 0.000 claims description 33
- 230000004913 activation Effects 0.000 claims description 11
- 238000003780 insertion Methods 0.000 abstract 1
- 230000037431 insertion Effects 0.000 abstract 1
- 239000010410 layer Substances 0.000 description 38
- 230000006870 function Effects 0.000 description 25
- 238000013507 mapping Methods 0.000 description 13
- 238000000605 extraction Methods 0.000 description 12
- 239000013598 vector Substances 0.000 description 11
- 238000013527 convolutional neural network Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 239000002356 single layer Substances 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000000717 retained effect Effects 0.000 description 3
- 210000004556 brain Anatomy 0.000 description 2
- 238000003058 natural language processing Methods 0.000 description 2
- XOFYZVNMUHMLCC-ZPOLXVRWSA-N prednisone Chemical compound O=C1C=C[C@]2(C)[C@H]3C(=O)C[C@](C)([C@@](CC4)(O)C(=O)CO)[C@@H]4[C@@H]3CCC2=C1 XOFYZVNMUHMLCC-ZPOLXVRWSA-N 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 101100072002 Arabidopsis thaliana ICME gene Proteins 0.000 description 1
- 238000012935 Averaging Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 210000004218 nerve net Anatomy 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T1/00—General purpose image data processing
- G06T1/0021—Image watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T2201/00—General purpose image data processing
- G06T2201/005—Image watermarking
- G06T2201/0065—Extraction of an embedded watermark; Reliable detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Image Analysis (AREA)
- Editing Of Facsimile Originals (AREA)
- Image Processing (AREA)
Abstract
提供了一种用于将水印比特嵌入第一神经网络的权重的信息处理方法,该方法包括:通过将从第一神经网络的多个权重获得的多个输入值输入到第二神经网络来获得第二神经网络的输出;基于第二神经网络的输出和水印比特之间的误差来获得各多个输入值的第二梯度;以及基于通过将已基于反向传播获得的第一神经网络的权重的第一梯度与各第二梯度相加而获得的值来更新权重。
Description
技术领域
本发明涉及用于在神经网络中嵌入水印信息的技术。
背景技术
近来,神经网络在图像识别、语音识别和自然语言处理领域中引起了关注。神经网络指的是通过计算机模拟来表达活体的大脑特征的数学模型。它指的是其中通过突触的连接形成网络的人工神经元(单位)通过训练改变突触的联结强度而进化以具有解决问题的能力的整体模型。
专利文献(PTL)1至3和非专利文献(NPTL)1至3公开了用于优化神经网络的结构的技术。而且,PTL 2公开了一种用于在大规模卷积神经网络中有效地设置权重的技术。而且,PTL 3公开了一种使用神经网络来检测音频事件的技术。此外,NPTL 1和NPTL 2公开了适用于图像识别的卷积神经网络。而且,NPTL 3公开了一种使用神经网络来估计词的类别的技术。
为大规模神经网络设置模型参数需要针对大规模数据集进行长时间训练。例如,NPTL 2公开了使用四个GPU(图形处理单元)需要两到三周的训练。因此,NPTL 4和NPTL 5公开了通过使用已预先训练过的模型参数的一部分或者通过使用诸如初始值这样的模型参数进行再训练而不训练模型参数来设置在神经网络内部的模型参数的技术。
引用列表
专利文献
PTL1:日本专利公开号2015-11510
PTL2:日本专利公开号2015-52832
PTL 3:日本专利公开号2015-57630
非专利文献
NPTL 1:A.Krizhevsky、I.Sutskever和G.E.Hinton,“ImageNet Classificationwith Deep Convolutional Neural Networks”,NIPS'12。
NPTL 2:K.Simonyan和A.Zisserman,“Very Deep Convolutional Networks forLarge-Scale Image Recognition”,ICLR'15。
NPTL 3:X.Ma和E.Hovy,“End-to-end Sequence Labeling via Bi-directionalLSTM-CNNs-CRF”,ACL'16。
NPTL 4:S.Ren、K.He、R.Girshick和J.Sun,“Faster R-CNN:Towards Real-TimeObject Detection with Region Proposal Networks,”,NIPS'15。
NPTL 5:W.Liu等,“SSD:Single Shot MultiBox Detector”,ECCV'16。
NPTL 6:P.-T.Yu、H.-H.Tsai和J.-S.Lin,“Digital watermarking based onneural networks for color images”,信号处理,第81卷,第3期,2001。
NPTL 7:M.Elarbi、C.B.Amar和H.Nicolas,“Video Watermarking Based onNeural Networks”,ICME会报,2006。
NPTL 8:Fei-Fei Li、Andrej Karpathy和Justin Johnson,第7讲,ConvolutionalNeural Networks,2016年1月27日,[在线]互联网,网址:http://cs231n.stanford.edu/slides/winter1516_lecture7.pdf,检索于2017年1月4日。
NPTL 9:Regularization,[在线]互联网,网址:https://ja.wikipedia.org/wiki/%E6%AD%A3%E5%89%87%E5%8C%96,检索于2017年1月5日。
NPTL 10:A.Krogh和J.A.Hertz,“A Simple Weight Decay Can ImproveGeneralization”,NIPS会报,1992年。
发明内容
技术问题
如上所述,如果使用大规模神经网络从头开始对所有模型参数进行训练,则需要大量的计算成本和努力。因此,存在这样的情况,其中研究机构分发许可形式的所训练的模型参数以允许其重复使用从而提高研究效率,这是其主要目的。
然而,在商业服务中,所训练的模型参数本身是服务中的核心技术,并且在许多情况下,通常禁止其重复使用。
例如,可以容易地在视觉上发现未经授权的对图像等的使用。但是,在视觉上发现未经授权的对模型参数的使用并不容易。这是因为,如果执行重新训练,则在修改一部分模型参数之后,使用修改的模型参数作为初始值,模型结构和模型参数都不匹配其原始值。
NPTL 6和7提出了使用神经网络以便将水印信息嵌入运动图像数据的技术。相比之下,本申请的发明人已经考虑将水印信息嵌入到神经网络的模型参数中。也就是说,认为即使使用其中一部分被修改的模型参数来执行再训练,如果可以从模型参数中检测到水印信息,则可以检测到未经授权使用的模型参数。
本发明提供了一种用于在神经网络中嵌入水印信息的技术。
问题的解决方案
根据本发明的一个方面,信息处理方法是用于将水印比特嵌入第一神经网络的权重的信息处理方法,并且包括:通过将从第一神经网络的多个权重获得的多个输入值输入到第二神经网络来获得第二神经网络的输出;基于第二神经网络的输出和水印比特之间的误差来获得各多个输入值的第二梯度;以及基于通过将已基于反向传播获得的第一神经网络的权重的第一梯度与各第二梯度相加而获得的值来更新权重。
本发明的有益效果
根据本发明,可以将水印信息嵌入到神经网络中。
通过以下结合附图的描述,本发明的其他特征和优点将变得显而易见。注意相同的附图标记在附图中表示相同或相似的部件。
附图说明
图1是神经网络的一般功能配置图。
图2是示出输入数据和特征映射之间的卷积关系的图。
图3是示出使用权重过滤器生成特征映射的图。
图4是示出N个权重过滤器与具有N个级的特征映射之间的关系的图。
图5是根据一个实施例的示出在信息处理装置中的信息处理方法的图。
图6是根据一个实施例的示出在信息处理方法中的处理步骤的图。
图7是根据一个实施例的第二神经网络的配置图。
图8A是根据一个实施例的示出平均权重过滤器中的权重与水印比特之间的对应关系的图。
图8B是根据一个实施例的示出平均权重过滤器中的权重与水印比特之间的对应关系的图。
图9是示出一个实施例的由第二神经网络执行的从另一神经网络的权重过滤器提取水印信息的图。
图10是根据一个实施例的示出使用现有神经网络的输出结果作为训练数据的训练的图。
图11是根据一个实施例的信息处理装置的配置图。
具体实施方式
以下将使用附图对本发明的实施例进行详细说明。
图1是神经网络的一般功能配置图。
各种配置被采用作为神经网络,但基本上,神经网络表示为多种类型的层的重叠(或图形结构)。将其中输入数据与正确答案标签相关联的训练数据输入到神经网络。此外,在神经网络中,训练模型参数,使得对应于输入数据的最终输出结果与正确答案标签匹配(根据任务来近似对应于输入的输出)。
根据图1,前馈神经网络由三层构成,即输入层、隐藏层和输出层,并且输入数据从输入层向输出层在一个方向上传播。隐藏层可以由多个层构成。每个层包括多个单元(神经元),并且从前向层中的单元到后向层中的单元的输入与被称为“权重”的各参数相关联。训练指的是计算适当的“权重”的操作。
卷积神经网络(CNN)在图1中示出。卷积神经网络由输入层、卷积层、汇集层、全连接层和输出层构成。
训练指的是使用对应于输入数据的来自输出层的输出数据和与输入数据相关联的正确答案标签之间的误差来适当地更新各层中的权重的操作。定义“损失函数”以便计算误差。误差通过“反向传播”从输出层侧向输入层循序地传播,并且各层中的权重一点一点地被更新。最后,执行收敛计算,其中将各层中的权重调整到适当的值,使得误差被减小。
图2是示出输入数据和特征映射之间的卷积关系的图。
图2中的处理是由卷积层和全连接层执行的。根据图2,通过对输入数据应用一个权重过滤器来生成一个特征映射。注意,在本实施例中,输入数据、权重过滤器和特征映射的大小如下。
输入数据:32×32×3个元素
权重过滤器:5×5×3个元素(权重)
特征映射:28×28个元素
注意,准备了N个权重过滤器,其形成模型参数。也就是说,在该示例中,模型参数意为N个权重过滤器。请注意,此处不考虑偏置项。
图3是示出使用权重过滤器生成特征映射的图。
根据图3,通过将包括5×5×3个权重的一个权重过滤器应用于输入数据,并将输入数据和在各对应位置的权重过滤器的值的乘积相加,来获得特征映射的一个元素的值。而且,通过相对于输入数据移动相同的权重过滤器来生成一个特征映射。这里,权重过滤器被移动的元素数(移动量)被称为“步幅”。可以在填充有元素0的输入数据的外围边缘中提供零填充区域。由此,可以将具有相同数量的元素的权重过滤器应用于在输入数据的边缘中的元素。
图4是示出N个权重过滤器与具有N个级的特征映射之间的关系的图。
存在N个权重过滤器。根据图2和3,一个特征映射是使用一个权重过滤器生成的。因此,具有N个级的特征映射是使用N个权重过滤器生成的,如图4所示。
图5是根据本实施例的示出在信息处理装置中的信息处理方法的图。
在本实施例中,预先定义水印比特(watermark bits),具体地,预先定义水印比特的数量和比特的值(0或1)。在以下描述中,水印比特的数量表示为B。如图5所示,信息处理设备保留用于构成用于目标任务的第一神经网络和第二神经网络的信息。目标任务是指基于神经网络的使用应用的任务,例如基于图像识别、语音识别或自然语言处理。第二神经网络是用于从基于第一神经网络的权重(模型参数)的值中提取水印比特的神经网络。注意,在以下描述中,由第二神经网络提取(输出)的水印比特被称为提取的水印比特,以便将从第二神经网络提取的水印比特与预先定义的水印比特区分开。还针对第二神经网络定义了用于评估提取的水印比特和水印比特之间的误差的损失函数。注意,稍后将描述第二神经网络的配置和参数,并且参数(权重)的值被固定为预定值。也就是说,第二神经网络是固定函数,其接收基于第一神经网络的权重的值作为输入,并且输出具有与水印比特相同的比特数量的提取的水印比特。
在普通神经网络的训练中,针对各权重通过反向传播来获得梯度,并且基于对应的梯度更新权重,并且重复该操作。同样,在本实施例中,将输入数据输入到第一神经网络,并且基于与输入数据相关联的正确答案标签,针对第一神经网络的各权重获得第一梯度ΔE。此外,这里,将从第一神经网络的权重获得的平均权重输入到第二神经网络,以从中获得提取的水印比特。然后,基于提取的水印比特和水印比特之间的误差,针对已输入的各平均权重通过反向传播来获得第二梯度ΔAE。注意,在普通神经网络中,针对作为变量的权重而不是输入数据来获得梯度。然而,在本实施例中,第二神经网络的参数(权重)是固定值,如上所述,并且在本实施例中,针对与正常情况相比作为输入数据并且从第一神经网络的权重计算的各平均权重来获得第二梯度。这相当于这样的情况,其中从第一神经网络的权重获得的平均权重是第二神经网络的参数(权重),并且使用预定的固定值作为第二神经网络的输入数据来更新权重。此外,将针对作为第二神经网络的输入数据的各平均权重获得的第二梯度加到针对第一神经网络的各权重获得的第一梯度,并且基于通过相加获得的梯度对第一神经网络的权重进行调整。在下文中,将参考图6详细描述在信息处理设备中的信息处理方法。
图6是示出在信息处理方法中的处理步骤的图。
S11:首先,将基于第一神经网络的“权重”的值输入到第二神经网络。在本实施例中,从N个权重过滤器获得平均权重过滤器,并且将平均权重过滤器的权重输入到第二神经网络。在平均权重过滤器的各位置处的权重是在各对应位置处的N个权重过滤器的权重的平均值。例如,如果第一神经网络的一个“权重过滤器”的大小是M=5×5×3,如图2所示,则平均权重过滤器具有5×5×3个权重,如图6所示,并且总共75个值被输入到第二神经网络。具体地,如果在第一神经网络的第n个过滤器(n是从1到N的整数)的位置w×h×c处的权重表示为Fnwhc,并且在平均权重过滤器的位置w×h×c处的权重表示为Pwhc,则
Pwhc=Σn=1 NFnwhc/N。
这里,将平均权重过滤器输入到第二神经网络的原因是因为考虑到对将N个权重过滤器应用到输入数据的交换顺序的修改。即使交换N个权重过滤器的应用顺序,也配置基本等效的神经网络。因此,即使可以将水印信息嵌入到单独的权重过滤器中,也可以通过交换权重过滤器的应用顺序来容易地破坏水印信息。因此,根据本发明,生成通过对N个权重过滤器的权重求平均而获得的“平均权重过滤器”并将其输入到第二神经网络。
S12:第二神经网络在接收到平均权重过滤器的权重后输出提取的水印比特,该提取的水印比特被与水印比特进行比较。而且,在本实施例中,针对被视为变量的平均权重过滤器的权重通过反向传播获得第二梯度ΔAE。在下文中,针对平均权重过滤器的权重Pwhc获得的第二梯度表示为ΔAEwhc。第一神经网络在接收输入数据时输出输出数据,该输出数据被与训练标签进行比较。另外针对第一神经网络,通常针对各权重通过反向传播来生成第一梯度ΔE。在下文中,针对权重Fnwhc获得的第一梯度表示为ΔEnwhc。
S13:然后,基于梯度ΔEnwhc和ΔAEwhc之和或者通过将ΔAEwhc与预定因子相乘而获得的值和梯度ΔEnwhc之和来更新第一神经网络的权重Fnwhc。例如,由于第一神经网络中的过滤器的数量是N,因此要与ΔAEwhc相乘的预定因子可以是1/N。这样,基于针对权重获得的第一梯度和针对第二神经网络的输入获得的第二梯度之和来更新第一神经网络的每个权重,其中所述输入是从权重获得的。
这样,在第一神经网络的训练中,第一神经网络中的误差被最小化,并且同时第二神经网络中的误差被最小化。作为重复图6中的处理的结果,水印信息可以被嵌入到第一神经网络的权重过滤器中。
图7示出了根据本实施例的第二神经网络的示例。
图7示出了第二神经网络的层结构。图7示出了其中第二神经网络由单层或多层感知器构成的示例。注意,在该配置中,第二神经网络的权重是预先确定的,并且固定为确定的值,如上所述。这样,第二神经网络对输入数据(平均权重过滤器的权重)执行预定计算。
通常,损失函数用于对卷积层和全连接层的参数执行正则化,以防止过度拟合(例如,参考NPTL 9和NPTL 10)。相比之下,在第二神经网络中,定义损失函数以便将水印信息嵌入到平均权重过滤器的参数中,结果,其基本目标是完全不同的。当然,根据嵌入信息的方法,可以将各种实施例应用于损失函数。
“感知器”指的是这样的模型,其中二元值(0或1)之一是从通过使用激活函数加权输入值z而获得的值输出的。激活函数模拟大脑中突触的功能,当输入超过阈值时触发。激活函数可以使用例如sigmoid函数、线性组合函数、硬sigmoid函数、tanh函数(双曲正切函数)、softsign函数、softplus函数、ReLU(整流线性单元)。
例如,基于第二神经网络的单层或多层感知器可以是以下四个实施例之一。
第一实施例
基于第二神经网络的单层或多层感知器使用sigmoid函数作为最终输出的激活函数。此外,使用二元交叉熵作为损失函数来计算误差。sigmoid函数的输入值z的值范围是整个实数的范围(-∞到+∞),并且输出值y的值范围是从0到1的范围。
Y=1/(1+e-z)
在二元交叉熵中,针对两种模式,当一种模式的概率为p时,另一种模式的概率为1-p。也就是说,二元交叉熵是通过对根据特定概率分布生成的函数进行正交化而获得的。也就是说,第二神经网络的损失函数可以是-{tblogOb+(1-tb)log(1-Ob)}。
这里,
Ob:提取的水印比特的第b个比特(b是从1到B的数字),
tb:水印比特的第b个比特(b是从1到B的数字)。
也就是说,可以类似于针对通常的类别分类任务执行分类成二元值的情况来定义损失函数。此外,通常,通过配置多层感知器可以将水印比特非线性地嵌入,而通过将中间层添加到全连接层来配置多层感知器。
第二实施例
基于第二神经网络的单层或多层感知器可以使用与来自要被输入的平均权重的权重的水印比特相同数量的权重作为激活函数的输入来计算最终输出。
第三实施例
基于第二神经网络的单层或多层感知器可以从要被输入的平均权重的权重中提取与水印信息的比特数量相同数量的对,并使用各对的差作为激活函数的输入来计算最终输出。
第四实施例
可以基于特定概率分布生成预先确定的基于第二神经网络的单层或多层感知器的固定权重。特定概率分布是均匀分布或正态分布。此外,可以通过使根据特定概率分布生成的权重正交化来获得预先确定的多层感知器的固定权重。
此外,第二神经网络可以具有B个权重向量X1至XB作为预先确定的固定权重。这里,向量X1至XB各自具有W×H×C个固定值作为元素。另外,将作为输入数据的W×H×C个权重作为向量I,第二神经网络可以获得向量Xb(b是从1到B的整数)和向量I的内积作为提取的水印比特Ob。例如,可以根据特定概率分布(例如,其中平均值为0并且方差为1的正态分布)从随机数生成权重向量X1至XB。
此外,可以设置权重向量X1至XB以成为标准正交基。这些可以通过从其中平均值为0且方差为1的正态分布生成权重向量X并且使用例如Gram-Schmidt正交化等使权重向量X正交化来实现。
更简单地说,如图8A所示,还可以生成权重向量X,使得从平均权重过滤器的W×H×C个权重中随机选择B个权重,并且所选择的权重分别与水印比特以一对一关系相关联。将所选择的权重输入到激活函数,并将激活函数的输出与对应的水印比特进行比较。而且,如图8B所示,还可以生成权重向量X,使得从平均权重过滤器的W×H×C个权重中随机选择B对(套)权重,并且所选择的对分别与水印比特以一对一关系相关联。此外,将每对的两个权重之间的差输入到激活函数,并且将激活函数的输出与对应的水印比特进行比较。
图9是示出从平均权重过滤器提取水印信息的图。根据图9,水印信息是按照下述步骤从N个权重过滤器中提取的。S21:首先,从N个权重过滤器计算平均权重过滤器。S22:然后,将平均权重过滤器的权重输入到第二神经网络。这样,第二神经网络输出提取的水印比特。这里,如果第二神经网络是单层或多层感知器,则第二神经网络可以通过以下方式提取水印比特:如果感知器的输出是预定阈值(例如,0.5)或者更大则输出“1”,否则输出“0”。
在提取的水印比特和水印比特之间的比较中,比较对应的比特串,并且如果比特串之间的汉明距离是预定阈值或更小,则可以确定提取的水印比特与水印比特匹配。
图10是示出使用现有神经网络的输出结果作为训练数据的训练的图。
图5示出了其中当重新训练模型参数(权重)时嵌入水印信息的情况。相比之下,图10示出了其中通过使用训练的模型参数作为初始值重新训练来嵌入水印信息的情况。
当使用训练的模型参数时,自然地设想不能使用用作训练数据的正确答案标签。在这种情况下,根据本发明,还可以在没有训练数据的情况下将水印信息嵌入到训练的权重过滤器中。
根据图10,与图5相比,信息处理设备包括用于目标任务的两个神经网络,即现有神经网络和第一神经网络,以便获得用作训练数据的输出数据。在将由现有神经网络训练的模型参数(权重过滤器)设置为初始值之后,第一神经网络执行模型参数的训练。这里,某些相同的数据被输入到现有的神经网络和第一神经网络两者中。相比之下,第一神经网络使用训练的模型参数(权重过滤器)输出数据。第一神经网络执行训练,使得使用从训练的现有神经网络输出的数据作为训练数据的“正确答案标签”来最小化损失函数。
已经描述了针对卷积层在模型参数中嵌入水印信息。注意,也针对全连接层,可以认为存在N个权重过滤器,其具有与前向层(不包括偏置项)的输出维数相同的参数数量。类似于卷积层,这些权重过滤器被平均,并且可以计算具有与前向层的输出维数相同的维数的平均权重过滤器。作为构造具有B个输出的一个或多个全连接层的结果,可以以与例如当嵌入到卷积层时完全类似的方式嵌入水印信息。
图11是根据本实施例的信息处理装置的配置图。保留单元10保留指示第一神经网络和第二神经网络的配置的信息。平均权重过滤器计算单元30从由保留单元10保留的第一神经网络的权重过滤器计算平均权重过滤器,其是第二神经网络的输入数据。提取的水印比特计算单元40基于由平均权重过滤器计算单元30计算的平均权重过滤器和由保留单元10保留的指示第二神经网络的配置的信息来获得提取的水印比特。梯度计算单元50基于由提取的水印比特计算单元40获得的提取的水印比特、水印比特和第二神经网络的损失函数来获得针对平均权重过滤器的各权重的第二梯度。训练单元20执行由保留单元10保留的第一神经网络的训练。具体地,类似于普通神经网络的训练,基于训练数据组针对权重过滤器的各权重来获得第一梯度。基于针对权重获得的第一梯度与针对基于权重计算的平均权重过滤器的权重由梯度计算单元50获得的第二梯度的总和来更新特定权重。
如上所述,根据本发明,可以将水印信息嵌入神经网络中。注意,本发明还可以实现为一种信息处理方法,该信息处理方法由于由计算机的一个或多个处理器执行而使计算机用作信息处理装置,或者实现为用于使计算机执行信息处理方法的程序。该程序可以以存储程序的计算机可读存储介质的形式分发,或者通过网络分发。
根据本发明,当在其上执行训练时,可以将利用其可以检测在用于深度学习的卷积神经网络中使用的模型参数的修改的水印信息嵌入到模型参数中。具体地,即使由恶意第三方执行修改(诸如交换权重过滤器的顺序),也可以通过适当地设置关于训练中的参数的损失函数来嵌入水印信息。由于创建已经嵌入了水印信息的模型参数,可以检测未经作者许可而执行的再用分发或未经授权使用。
本发明不限于上述实施例,并且可以在本发明的精神和范围内进行各种改变和修改。因此,为了向公众告知本发明的范围,提出权利要求。
本申请要求享有2017年1月12日提交的日本专利申请号2017-003041的优先权,并且其全部内容通过引用并入本文。
Claims (8)
1.一种信息处理方法,用于将水印比特嵌入第一神经网络的权重,所述方法包括:
通过将从所述第一神经网络的多个权重获得的多个输入值输入到第二神经网络来获得所述第二神经网络的输出;
基于所述第二神经网络的所述输出和所述水印比特之间的误差来获得各所述多个输入值的第二梯度;以及
基于通过将已基于反向传播获得的所述第一神经网络的所述权重的第一梯度与各所述第二梯度相加而获得的值来更新所述权重。
2.根据权利要求1所述的信息处理方法,
其中,所述第一神经网络包括N个权重过滤器,所述N个权重过滤器包括用于卷积的多个权重,并且
所述多个输入值均为在相同位置处的所述N个权重过滤器的权重的平均值。
3.根据权利要求2所述的信息处理方法,
其中,基于通过将针对所述权重的所述第一梯度与针对所述多个输入值中的第一输入值的所述第二梯度相加而获得的值来更新在所述第一神经网络的所述权重过滤器的第一位置处的权重,所述第一输入值是在所述第一位置处的所述N个权重过滤器的权重的平均值。
4.根据权利要求1至3中任一项所述的信息处理方法,
其中,所述第二神经网络输出通过对所述多个输入值执行预定计算而获得的结果。
5.根据权利要求4所述的信息处理方法,
其中,所述第二神经网络从所述多个输入值中选择与所述水印比特的数量相同数量的输入值,并且通过将每个所选择的输入值输入到激活函数来计算输出。
6.根据权利要求4所述的信息处理方法,
其中,所述第二神经网络从所述多个输入值中选择与所述水印比特的数量相同数量的输入值对,并通过将各所选择的对的输入值之间的差中的每一个输入到激活函数来计算输出。
7.一种信息处理设备,用于使用第一神经网络和第二神经网络将水印比特嵌入到所述第一神经网络的权重中,所述信息处理设备包括:
计算装置,用于从所述第一神经网络的多个权重中获得多个输入值;
输出计算装置,用于通过将所述多个输入值输入到所述第二神经网络来获得所述第二神经网络的输出;
梯度计算装置,用于基于所述第二神经网络的输出和所述水印比特之间的误差获得各所述多个输入值的第二梯度;以及
训练装置,用于训练所述第一神经网络,
其中,所述训练装置基于通过将已基于反向传播获得的所述第一神经网络的所述权重的第一梯度与各所述第二梯度相加而获得的值来更新所述权重。
8.一种计算机可读存储介质,其存储有程序,所述程序当由计算机中的一个或多个处理器执行时,使所述计算机执行:
通过将从第一神经网络的多个权重获得的多个输入值输入到第二神经网络来获得所述第二神经网络的输出;
基于所述第二神经网络的所述输出和水印比特之间的误差来获得各所述多个输入值的第二梯度;以及
基于通过将已基于反向传播获得的所述第一神经网络的所述权重的第一梯度与各所述第二梯度相加而获得的值来更新所述权重。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017003041 | 2017-01-12 | ||
| JP2017-003041 | 2017-01-12 | ||
| PCT/JP2017/045656 WO2018131405A1 (ja) | 2017-01-12 | 2017-12-20 | 情報処理装置、方法及びコンピュータ可読記憶媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110168576A true CN110168576A (zh) | 2019-08-23 |
| CN110168576B CN110168576B (zh) | 2023-06-02 |
Family
ID=62839839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780082089.2A Active CN110168576B (zh) | 2017-01-12 | 2017-12-20 | 信息处理设备、方法和计算机可读存储介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11521043B2 (zh) |
| EP (1) | EP3570222B1 (zh) |
| JP (1) | JP6727340B2 (zh) |
| CN (1) | CN110168576B (zh) |
| WO (1) | WO2018131405A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112650984A (zh) * | 2019-10-10 | 2021-04-13 | 百度(美国)有限责任公司 | 数据处理加速器及由数据处理加速器执行的计算机实现的方法 |
| CN112650986A (zh) * | 2019-10-10 | 2021-04-13 | 百度(美国)有限责任公司 | 用于数据处理加速器的水印单元 |
| WO2021083111A1 (zh) * | 2019-10-29 | 2021-05-06 | 阿里巴巴集团控股有限公司 | 一种水印信息嵌入方法以及装置 |
| CN113139642A (zh) * | 2020-01-16 | 2021-07-20 | 辉达公司 | 在自主驾驶应用中使用神经网络执行故障检测 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3570222B1 (en) | 2017-01-12 | 2023-02-08 | KDDI Corporation | Information processing device and method, and computer readable storage medium |
| KR102107021B1 (ko) * | 2018-08-10 | 2020-05-07 | 주식회사 딥핑소스 | 데이터를 식별 처리하는 방법, 시스템 및 비일시성의 컴퓨터 판독 가능 기록 매체 |
| JP6920263B2 (ja) * | 2018-09-25 | 2021-08-18 | Kddi株式会社 | 情報処理装置、情報処理方法、及びプログラム |
| JP6953376B2 (ja) * | 2018-09-27 | 2021-10-27 | Kddi株式会社 | ニューラルネットワーク、情報付加装置、学習方法、情報付加方法、およびプログラム |
| JP6926045B2 (ja) * | 2018-09-27 | 2021-08-25 | Kddi株式会社 | ニューラルネットワーク、学習装置、学習方法、およびプログラム |
| JP7028819B2 (ja) * | 2019-03-13 | 2022-03-02 | Kddi株式会社 | 付加情報埋込装置、付加情報検出装置、付加情報埋込方法、及びプログラム |
| CN110349071B (zh) * | 2019-06-13 | 2022-11-08 | 西安理工大学 | 一种基于稠密网络对图像进行水印提取的方法 |
| CN110569353B (zh) * | 2019-07-03 | 2023-04-07 | 重庆大学 | 一种基于注意力机制的Bi-LSTM的标签推荐方法 |
| US11521121B2 (en) * | 2019-09-12 | 2022-12-06 | Adobe Inc. | Encoding machine-learning models and determining ownership of machine-learning models |
| US11709712B2 (en) * | 2019-10-10 | 2023-07-25 | Baidu Usa Llc | Method and system for artificial intelligence model training using a watermark-enabled kernel for a data processing accelerator |
| US11537689B2 (en) | 2019-10-10 | 2022-12-27 | Baidu Usa Llc | Method and system for signing an artificial intelligence watermark using a kernel |
| US11645116B2 (en) * | 2019-10-10 | 2023-05-09 | Baidu Usa Llc | Method and system for making an artificial intelligence inference using a watermark-enabled kernel for a data processing accelerator |
| US11740940B2 (en) * | 2019-10-10 | 2023-08-29 | Baidu Usa Llc | Method and system for making an artifical intelligence inference using a watermark-inherited kernel for a data processing accelerator |
| US11443243B2 (en) | 2019-10-10 | 2022-09-13 | Baidu Usa Llc | Method and system for artificial intelligence model training using a watermark-enabled kernel for a data processing accelerator |
| KR20210076691A (ko) * | 2019-12-16 | 2021-06-24 | 삼성전자주식회사 | 프레임워크 간 뉴럴 네트워크의 학습을 검증하는 방법 및 장치 |
| US11501136B2 (en) * | 2020-05-29 | 2022-11-15 | Paypal, Inc. | Watermark as honeypot for adversarial defense |
| CN111800265B (zh) * | 2020-07-07 | 2021-06-25 | 上海大学 | 一种基于隐私保护的材料逆向设计方法及系统 |
| CN113222800B (zh) * | 2021-04-12 | 2023-07-07 | 国网江苏省电力有限公司营销服务中心 | 一种基于深度学习的鲁棒图像水印嵌入与提取方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104361548A (zh) * | 2014-10-28 | 2015-02-18 | 河南师范大学 | 基于bp神经网络数字图像压缩的图像水印嵌入与提取方法 |
| US20150055855A1 (en) * | 2013-08-02 | 2015-02-26 | Digimarc Corporation | Learning systems and methods |
| CN105389770A (zh) * | 2015-11-09 | 2016-03-09 | 河南师范大学 | 基于bp和rbf神经网络的图像水印嵌入、提取方法与装置 |
| WO2016043734A1 (en) * | 2014-09-17 | 2016-03-24 | Hewlett Packard Enterprise Development Lp | Neural network verification |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5966703A (ja) * | 1982-10-08 | 1984-04-16 | Fanuc Ltd | 数値制御装置の加工制御情報保護方式 |
| JP5670269B2 (ja) * | 2011-07-15 | 2015-02-18 | 株式会社日立ソリューションズ | プログラムの流用検出方法 |
| JP5831385B2 (ja) * | 2012-07-25 | 2015-12-09 | 株式会社デンソー | モデル比較装置、及び、モデル比較ツール |
| JP6042274B2 (ja) | 2013-06-28 | 2016-12-14 | 株式会社デンソーアイティーラボラトリ | ニューラルネットワーク最適化方法、ニューラルネットワーク最適化装置及びプログラム |
| JP6235938B2 (ja) | 2013-08-13 | 2017-11-22 | 日本電信電話株式会社 | 音響イベント識別モデル学習装置、音響イベント検出装置、音響イベント識別モデル学習方法、音響イベント検出方法及びプログラム |
| JP6192010B2 (ja) | 2013-09-05 | 2017-09-06 | 国立大学法人 東京大学 | 重み設定装置および方法 |
| US9633306B2 (en) * | 2015-05-07 | 2017-04-25 | Siemens Healthcare Gmbh | Method and system for approximating deep neural networks for anatomical object detection |
| JP6504396B2 (ja) | 2015-06-12 | 2019-04-24 | 日立オートモティブシステムズ株式会社 | 油圧制御弁及び内燃機関のバルブタイミング制御装置 |
| US10755172B2 (en) * | 2016-06-22 | 2020-08-25 | Massachusetts Institute Of Technology | Secure training of multi-party deep neural network |
| EP3570222B1 (en) | 2017-01-12 | 2023-02-08 | KDDI Corporation | Information processing device and method, and computer readable storage medium |
-
2017
- 2017-12-20 EP EP17891383.6A patent/EP3570222B1/en active Active
- 2017-12-20 WO PCT/JP2017/045656 patent/WO2018131405A1/ja unknown
- 2017-12-20 CN CN201780082089.2A patent/CN110168576B/zh active Active
- 2017-12-20 JP JP2018561888A patent/JP6727340B2/ja active Active
-
2019
- 2019-05-29 US US16/424,840 patent/US11521043B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150055855A1 (en) * | 2013-08-02 | 2015-02-26 | Digimarc Corporation | Learning systems and methods |
| WO2016043734A1 (en) * | 2014-09-17 | 2016-03-24 | Hewlett Packard Enterprise Development Lp | Neural network verification |
| CN104361548A (zh) * | 2014-10-28 | 2015-02-18 | 河南师范大学 | 基于bp神经网络数字图像压缩的图像水印嵌入与提取方法 |
| CN105389770A (zh) * | 2015-11-09 | 2016-03-09 | 河南师范大学 | 基于bp和rbf神经网络的图像水印嵌入、提取方法与装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112650984A (zh) * | 2019-10-10 | 2021-04-13 | 百度(美国)有限责任公司 | 数据处理加速器及由数据处理加速器执行的计算机实现的方法 |
| CN112650986A (zh) * | 2019-10-10 | 2021-04-13 | 百度(美国)有限责任公司 | 用于数据处理加速器的水印单元 |
| WO2021083111A1 (zh) * | 2019-10-29 | 2021-05-06 | 阿里巴巴集团控股有限公司 | 一种水印信息嵌入方法以及装置 |
| US11941721B2 (en) | 2019-10-29 | 2024-03-26 | Alibaba Group Holding Limited | Using watermark information and weight information to train an embedded neural network model |
| CN113139642A (zh) * | 2020-01-16 | 2021-07-20 | 辉达公司 | 在自主驾驶应用中使用神经网络执行故障检测 |
| CN113139642B (zh) * | 2020-01-16 | 2024-04-12 | 辉达公司 | 在自主驾驶应用中使用神经网络执行故障检测 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6727340B2 (ja) | 2020-07-22 |
| EP3570222B1 (en) | 2023-02-08 |
| US11521043B2 (en) | 2022-12-06 |
| EP3570222A1 (en) | 2019-11-20 |
| CN110168576B (zh) | 2023-06-02 |
| US20190294955A1 (en) | 2019-09-26 |
| EP3570222A4 (en) | 2020-02-05 |
| WO2018131405A1 (ja) | 2018-07-19 |
| JPWO2018131405A1 (ja) | 2019-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110168576A (zh) | 信息处理设备、方法和计算机可读存储介质 | |
| Gao et al. | Deep leaf‐bootstrapping generative adversarial network for structural image data augmentation | |
| Jain et al. | Autoencoders for level generation, repair, and recognition | |
| Fernando et al. | Convolution by evolution: Differentiable pattern producing networks | |
| Shen et al. | Weighted residuals for very deep networks | |
| JP6708755B2 (ja) | 情報処理方法、情報処理装置及びコンピュータ可読記憶媒体 | |
| CN109086773A (zh) | 基于全卷积神经网络的断层面识别方法 | |
| Lu et al. | Evolving block-based convolutional neural network for hyperspectral image classification | |
| CN109754078A (zh) | 用于优化神经网络的方法 | |
| CN108985929B (zh) | 训练方法、业务数据分类处理方法及装置、电子设备 | |
| CN107977932A (zh) | 一种基于可鉴别属性约束生成对抗网络的人脸图像超分辨率重建方法 | |
| Yang et al. | Deep learning for the classification of lung nodules | |
| CN109328362A (zh) | 渐进式神经网络 | |
| CN108876792A (zh) | 语义分割方法、装置和系统及存储介质 | |
| US11640634B2 (en) | Deep learning based visual compatibility prediction for bundle recommendations | |
| WO2020092143A1 (en) | Self-attentive attributed network embedding | |
| Kamrul et al. | Machine vision based rice disease recognition by deep learning | |
| CN109670927A (zh) | 信用额度的调整方法及其装置、设备、存储介质 | |
| Nithin et al. | Generic feature learning in computer vision | |
| Tian et al. | Genetic algorithm based deep learning model selection for visual data classification | |
| WO2020115706A1 (en) | Modification of a neural network topology | |
| Chaitra et al. | An approach for copy-move image multiple forgery detection based on an optimized pre-trained deep learning model | |
| CN106203442B (zh) | 一种基于深度学习的拷贝图像特征提取方法 | |
| CN107895170A (zh) | 一种基于激活值敏感性的Dropout正则化方法 | |
| Rivera et al. | Trilateral convolutional neural network for 3D shape reconstruction of objects from a single depth view |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |