CN112364310A - 一种基于后门攻击的数据集保护和验证方法 - Google Patents
一种基于后门攻击的数据集保护和验证方法 Download PDFInfo
- Publication number
- CN112364310A CN112364310A CN202011279636.6A CN202011279636A CN112364310A CN 112364310 A CN112364310 A CN 112364310A CN 202011279636 A CN202011279636 A CN 202011279636A CN 112364310 A CN112364310 A CN 112364310A
- Authority
- CN
- China
- Prior art keywords
- data set
- attack
- benign
- watermark
- sample data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000012795 verification Methods 0.000 title claims abstract description 9
- 238000012549 training Methods 0.000 claims abstract description 8
- 238000012360 testing method Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 6
- 239000011159 matrix material Substances 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims 3
- 238000000638 solvent extraction Methods 0.000 abstract 1
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T1/00—General purpose image data processing
- G06T1/0021—Image watermarking
Abstract
Description
技术领域
本发明属于互联网技术领域,具体涉及一种基于后门攻击的数据集保护和验证方法。
背景技术
近年来,深度神经网络在各个领域都取得了较为广泛的应用。其中数据集,特别是高质量的开源数据集是深度神经网络繁荣的关键因素。这些开源数据集让研究人员可以很容易地验证他们的算法或模型的有效性,而这一过程反过来又加速了深度学习的发展。数据集的收集耗费了大量资源,其价值不言而喻,所以现有的开源数据集基本都要求它们只能用于学术或教育目的,而不能用于商业目的。基于此背景,已经有人提出了一些数据集保护技术,如匿名化、加密和水印方法进行数据集保护,它们的目的是防止未经授权的用户访问数据集。
然而,以上所提到的数据集保护方法却并不适合保护开源数据集。因为许多开源数据集对每个人都是开放访问的,唯一的要求是它们只能用于学术或教育目的。因此,保护开源数据集的主要问题是验证它是否被用于训练第三方模型。
发明内容
针对上述数据集保护方法不适合保护开源数据集的技术问题,本发明提供了一种效率高、可靠性强、实用性广的基于后门攻击的数据集保护方法。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于后门攻击的数据集保护和验证方法,包括下列步骤:
S1、根据实际需求设置水印γ的比例;
所述xi为输入数据,yi为输出标签,且xi∈{0,…,255}C×W×H,yi={1,…,K};
S3、为S2中划分后所得的攻击样本数据集Dattack添加水印,得到处理后的攻击样本数据集Dmodified;
S4、将处理后的攻击样本数据集Dmodified与良性样本数据集Dbenign混合,得到水印数据集Dwatermarked
所述Dwatermarked=Dbenign∪Dmodified。
所述S3中攻击样本数据集Dattack添加水印的方法为:
S3.1、设置yt={1,…,K}和t∈{0,…,255}C×W×H分别为目标标签和指定的触发器;
S3.2、根据S3.1设置的目标标签和指定的触发器确定对攻击样本添加水印;
S3.3、根据S3.2的方法对Dattack中包含的数据进行处理,生成处理后的攻击样本数据集Dmodified。
所述根据设置的目标标签与指定的触发器为样本数据添加水印的方法为:
所述生成处理后的攻击样本数据集Dmodified的方法为:
所述Dmodified={(x',ytarget)∣x'=w(x;t),(x,y)∈Dtrain\Dbenign},x为输入数据,y为输出标签,w为权利要求3所述的水印添加方法,ytarget为添加的目标后门标签。
还包括若pwatermarked>pbenign,则判断此第三方模型使用了包含水印测试样本的数据集;若pwatermarked≤pbenign,则判断此第三方模型未使用包含水印测试样本的数据集;所述pwatermarked为测试目标类水印测试样本在第三方训练模型中的后验概率,所述pbenign为良性测试样本在第三方训练模型中的后验概率。
本发明与现有技术相比,具有的有益效果是:
本发明使用在部分样本上添加触发器的方式设置攻击样本,这使得在水印数据集上用标准的训练过程训练模型时,能在保持对良性样本的预测精度的同时指定隐藏的后门。
附图说明
图1为本发明的保护方法实现流程框图;
图2为本发明的验证方法实现流程框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于后门攻击的数据集保护和验证方法,如图1所示,包括下列步骤:
S1、根据实际需求设置水印γ的比例;
所述xi为输入数据,yi为输出标签,且xi∈{0,…,255}C×W×H,yi={1,…,K};
S3、为S2中划分后所得的攻击样本数据集Dattack添加水印,得到处理后的攻击样本数据集Dmodified;
S4、将处理后的攻击样本数据集Dmodified与良性样本数据集Dbenign混合,得到水印数据集Dwatermarked
其中:Dwatermarked=Dbenign∪Dmodified。
进一步,S3中攻击样本数据集Dattack添加水印的方法为:
S3.1、设置yt={1,…,K}和t∈{0,…,255}C×W×H分别为目标标签和指定的触发器;
S3.2、根据S3.1设置的目标标签和指定的触发器确定对攻击样本添加水印;
S3.3、根据S3.2的方法对Dattack中包含的数据进行处理,生成处理后的攻击样本数据集Dmodified。
进一步,根据设置的目标标签与指定的触发器为样本数据添加水印的方法为:
进一步,生成处理后的攻击样本数据集Dmodified的方法为:
Dmodified={(x',ytarget)∣x'=w(x;t),(x,y)∈Dtrain\Dbenign},x为输入数据,y为输出标签,w为权利要求3所述的水印添加方法,ytarget为添加的目标后门标签。
进一步,如图2所示,还包括若pwatermarked>pbenign,则判断此第三方模型使用了包含水印测试样本的数据集;若pwatermarked≤pbenign,则判断此第三方模型未使用包含水印测试样本的数据集;pwatermarked为测试目标类水印测试样本在第三方训练模型中的后验概率,pbenign为良性测试样本在第三方训练模型中的后验概率。
上面仅对本发明的较佳实施例作了详细说明,但是本发明并不限于上述实施例,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化,各种变化均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于后门攻击的数据集保护和验证方法,其特征在于:包括下列步骤:
S1、根据实际需求设置水印γ的比例;
所述xi为输入,yi为输出标签,且xi∈{0,…,255}C×W×H,yi={1,…,K};
S3、为S2中划分后所得的攻击样本数据集Dattack添加水印,得到处理后的攻击样本数据集Dmodified;
S4、将处理后的攻击样本数据集Dmodified与良性样本数据集Dbenign混合,得到水印数据集Dwatermarked;
所述Dwatermarked=Dbenign∪Dmodified。
2.根据权利要求1所述的一种基于后门攻击的数据集保护和验证方法,其特征在于:所述S3中攻击样本数据集Dattack添加水印的方法为:
S3.1、设置yt={1,…,K}和t∈{0,…,255}C×W×H分别为目标标签和指定的触发器;
S3.2、根据S3.1设置的目标标签和指定的触发器确定对攻击样本添加水印;
S3.3、根据S3.2的方法对Dattack中包含的数据进行处理,生成处理后的攻击样本数据集Dmodified。
5.根据权利要求1所述的一种基于后门攻击的数据集保护和验证方法,其特征在于:还包括若pwatermarked>pbenign,则判断此第三方模型使用了包含水印测试样本的数据集;若pwatermarked≤pbenign,则判断此第三方模型未使用包含水印测试样本的数据集;所述pwatermarked为测试目标类水印测试样本在第三方训练模型中的后验概率,所述pbenign为良性测试样本在第三方训练模型中的后验概率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011279636.6A CN112364310A (zh) | 2020-11-16 | 2020-11-16 | 一种基于后门攻击的数据集保护和验证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011279636.6A CN112364310A (zh) | 2020-11-16 | 2020-11-16 | 一种基于后门攻击的数据集保护和验证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112364310A true CN112364310A (zh) | 2021-02-12 |
Family
ID=74515726
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011279636.6A Pending CN112364310A (zh) | 2020-11-16 | 2020-11-16 | 一种基于后门攻击的数据集保护和验证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112364310A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113222120A (zh) * | 2021-05-31 | 2021-08-06 | 北京理工大学 | 基于离散傅立叶变换的神经网络后门注入方法 |
CN113297547A (zh) * | 2021-05-24 | 2021-08-24 | 上海大学 | 数据集的后门水印添加方法、验证方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0905967A1 (en) * | 1997-09-26 | 1999-03-31 | Digital Copyright Technologies AG | Method for generating digital watermarks and for exchanging data containing digital watermarks |
EP0952728A2 (en) * | 1998-04-13 | 1999-10-27 | International Business Machines Corporation | Method and apparatus for watermarking data sets |
CN1366669A (zh) * | 2000-01-24 | 2002-08-28 | 皇家菲利浦电子有限公司 | 通过使用安全标识符验证完整数据集的存在来保护内容不被非法复制 |
CN101065769A (zh) * | 2004-10-07 | 2007-10-31 | 汤姆森许可贸易公司 | 用于读取数字水印的方法和设备以及计算机程序产品和相应的存储装置 |
US20110055585A1 (en) * | 2008-07-25 | 2011-03-03 | Kok-Wah Lee | Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering |
CN109155736A (zh) * | 2016-03-21 | 2019-01-04 | 利弗莱姆有限公司 | 数据加水印和加指纹系统和方法 |
CN110610082A (zh) * | 2019-09-04 | 2019-12-24 | 笵成科技南京有限公司 | 一种基于dnn用于护照抵御模糊攻击的系统与方法 |
CN111311472A (zh) * | 2020-01-15 | 2020-06-19 | 中国科学技术大学 | 一种图像处理模型与图像处理算法的产权保护方法 |
-
2020
- 2020-11-16 CN CN202011279636.6A patent/CN112364310A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0905967A1 (en) * | 1997-09-26 | 1999-03-31 | Digital Copyright Technologies AG | Method for generating digital watermarks and for exchanging data containing digital watermarks |
EP0952728A2 (en) * | 1998-04-13 | 1999-10-27 | International Business Machines Corporation | Method and apparatus for watermarking data sets |
CN1366669A (zh) * | 2000-01-24 | 2002-08-28 | 皇家菲利浦电子有限公司 | 通过使用安全标识符验证完整数据集的存在来保护内容不被非法复制 |
CN101065769A (zh) * | 2004-10-07 | 2007-10-31 | 汤姆森许可贸易公司 | 用于读取数字水印的方法和设备以及计算机程序产品和相应的存储装置 |
US20110055585A1 (en) * | 2008-07-25 | 2011-03-03 | Kok-Wah Lee | Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering |
CN109155736A (zh) * | 2016-03-21 | 2019-01-04 | 利弗莱姆有限公司 | 数据加水印和加指纹系统和方法 |
CN110610082A (zh) * | 2019-09-04 | 2019-12-24 | 笵成科技南京有限公司 | 一种基于dnn用于护照抵御模糊攻击的系统与方法 |
CN111311472A (zh) * | 2020-01-15 | 2020-06-19 | 中国科学技术大学 | 一种图像处理模型与图像处理算法的产权保护方法 |
Non-Patent Citations (1)
Title |
---|
YIMING LI等: "Open-sourced Dataset Protection via Backdoor Watermarking", 《COMPUTER SCIENCE》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113297547A (zh) * | 2021-05-24 | 2021-08-24 | 上海大学 | 数据集的后门水印添加方法、验证方法及系统 |
CN113222120A (zh) * | 2021-05-31 | 2021-08-06 | 北京理工大学 | 基于离散傅立叶变换的神经网络后门注入方法 |
CN113222120B (zh) * | 2021-05-31 | 2022-09-16 | 北京理工大学 | 基于离散傅立叶变换的神经网络后门注入方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109922069B (zh) | 高级持续性威胁的多维关联分析方法及系统 | |
US20170300911A1 (en) | Risk-link authentication for optimizing decisions of multi-factor authentications | |
CN112364310A (zh) | 一种基于后门攻击的数据集保护和验证方法 | |
CN111985207B (zh) | 一种访问控制策略的获取方法、装置及电子设备 | |
Xiao et al. | A multitarget backdooring attack on deep neural networks with random location trigger | |
Mao et al. | Transfer attacks revisited: A large-scale empirical study in real computer vision settings | |
Reiter | Using multiple imputation to integrate and disseminate confidential microdata | |
Rogerson | Maximum G etis–O rd Statistic Adjusted for Spatially Autocorrelated Data | |
Li et al. | High-capacity coverless image steganographic scheme based on image synthesis | |
CN114398611A (zh) | 一种双模态身份认证方法、装置以及存储介质 | |
Vybornova | Method for copyright protection of deep neural networks using digital watermarking | |
Fernandes et al. | Benford's law applied to digital forensic analysis | |
Vreš et al. | Preventing deception with explanation methods using focused sampling | |
CN116563602A (zh) | 基于类别级软目标监督的细粒度图像分类模型训练方法 | |
Hughes et al. | Deepfaked online content is highly effective in manipulating people’s attitudes and intentions | |
Sultan et al. | A new framework for analyzing color models with generative adversarial networks for improved steganography | |
Hao et al. | Synthetic Data in AI: Challenges, Applications, and Ethical Implications | |
Tan et al. | An embarrassingly simple approach for intellectual property rights protection on recurrent neural networks | |
CN112597390A (zh) | 基于数字金融的区块链大数据处理方法及大数据服务器 | |
Monkam et al. | Digital image forensic analyzer to detect AI-generated fake images | |
Azadmanesh et al. | An Auto-Encoder based Membership Inference Attack against Generative Adversarial Network. | |
Ting et al. | Analysis of bitcoin prices using a heavy-tailed version of Dagum distribution and machine learning methods | |
Chu et al. | Differentially Private Denoise Diffusion Probability Models | |
Zhang et al. | Image steganalysis based on CNN and transfer learning for small-sample condition | |
Chen et al. | The Boundary of Artificial Intelligence in Forensic Science |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210212 |