CN112364310A - 一种基于后门攻击的数据集保护和验证方法 - Google Patents

一种基于后门攻击的数据集保护和验证方法 Download PDF

Info

Publication number
CN112364310A
CN112364310A CN202011279636.6A CN202011279636A CN112364310A CN 112364310 A CN112364310 A CN 112364310A CN 202011279636 A CN202011279636 A CN 202011279636A CN 112364310 A CN112364310 A CN 112364310A
Authority
CN
China
Prior art keywords
data set
attack
benign
watermark
sample data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011279636.6A
Other languages
English (en)
Inventor
潘晓光
王小华
焦璐璐
樊思佳
马彩霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanxi Sanyouhe Smart Information Technology Co Ltd
Original Assignee
Shanxi Sanyouhe Smart Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanxi Sanyouhe Smart Information Technology Co Ltd filed Critical Shanxi Sanyouhe Smart Information Technology Co Ltd
Priority to CN202011279636.6A priority Critical patent/CN112364310A/zh
Publication of CN112364310A publication Critical patent/CN112364310A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T1/00General purpose image data processing
    • G06T1/0021Image watermarking

Abstract

本发明属于互联网技术领域,具体涉及一种基于后门攻击的数据集保护和验证方法,包括下列步骤:根据实际需求设置水印γ的比例;根据γ划分原始数据集
Figure DDA0002780330960000011
为良性样本数据集Dbenign和攻击样本数据集Dattack;划分后所得的攻击样本数据集Dattack添加水印,得到处理后的攻击样本数据集Dmodified;将处理后的攻击样本数据集Dmodified与良性样本数据集Dbenign混合,得到水印数据集Dwatermarked。本发明使用在部分样本上添加触发器的方式设置攻击样本,这使得在水印数据集上用标准的训练过程训练模型时,能在保持对良性样本的预测精度的同时指定隐藏的后门。本发明用于数据集的保护。

Description

一种基于后门攻击的数据集保护和验证方法
技术领域
本发明属于互联网技术领域,具体涉及一种基于后门攻击的数据集保护和验证方法。
背景技术
近年来,深度神经网络在各个领域都取得了较为广泛的应用。其中数据集,特别是高质量的开源数据集是深度神经网络繁荣的关键因素。这些开源数据集让研究人员可以很容易地验证他们的算法或模型的有效性,而这一过程反过来又加速了深度学习的发展。数据集的收集耗费了大量资源,其价值不言而喻,所以现有的开源数据集基本都要求它们只能用于学术或教育目的,而不能用于商业目的。基于此背景,已经有人提出了一些数据集保护技术,如匿名化、加密和水印方法进行数据集保护,它们的目的是防止未经授权的用户访问数据集。
然而,以上所提到的数据集保护方法却并不适合保护开源数据集。因为许多开源数据集对每个人都是开放访问的,唯一的要求是它们只能用于学术或教育目的。因此,保护开源数据集的主要问题是验证它是否被用于训练第三方模型。
发明内容
针对上述数据集保护方法不适合保护开源数据集的技术问题,本发明提供了一种效率高、可靠性强、实用性广的基于后门攻击的数据集保护方法。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于后门攻击的数据集保护和验证方法,包括下列步骤:
S1、根据实际需求设置水印γ的比例;
所述
Figure BDA0002780330940000011
γ越小,则代表包含水印的数据所占比重越小,水印设置的越隐蔽,所述Dattack为攻击样本数据集,所述Dtrain为原始数据集;
S2、根据S1所得的γ划分原始数据集
Figure BDA0002780330940000012
为良性样本数据集Dbenign和攻击样本数据集Dattack
所述xi为输入数据,yi为输出标签,且xi∈{0,…,255}C×W×H,yi={1,…,K};
S3、为S2中划分后所得的攻击样本数据集Dattack添加水印,得到处理后的攻击样本数据集Dmodified
S4、将处理后的攻击样本数据集Dmodified与良性样本数据集Dbenign混合,得到水印数据集Dwatermarked
所述Dwatermarked=Dbenign∪Dmodified
所述S3中攻击样本数据集Dattack添加水印的方法为:
S3.1、设置yt={1,…,K}和t∈{0,…,255}C×W×H分别为目标标签和指定的触发器;
S3.2、根据S3.1设置的目标标签和指定的触发器确定对攻击样本添加水印;
S3.3、根据S3.2的方法对Dattack中包含的数据进行处理,生成处理后的攻击样本数据集Dmodified
所述根据设置的目标标签与指定的触发器为样本数据添加水印的方法为:
Figure BDA0002780330940000021
所述xwatermarked为添加水印后的输入数据,λ∈[0,1]C×W×H是相关参数,λ参数越小,触发器越不可见,水印越隐蔽,所述
Figure BDA0002780330940000022
是矩阵乘法Element-wise Product。
所述生成处理后的攻击样本数据集Dmodified的方法为:
所述Dmodified={(x',ytarget)∣x'=w(x;t),(x,y)∈Dtrain\Dbenign},
Figure BDA0002780330940000023
x为输入数据,y为输出标签,w为权利要求3所述的水印添加方法,ytarget为添加的目标后门标签。
还包括若pwatermarked>pbenign,则判断此第三方模型使用了包含水印测试样本的数据集;若pwatermarked≤pbenign,则判断此第三方模型未使用包含水印测试样本的数据集;所述pwatermarked为测试目标类水印测试样本在第三方训练模型中的后验概率,所述pbenign为良性测试样本在第三方训练模型中的后验概率。
本发明与现有技术相比,具有的有益效果是:
本发明使用在部分样本上添加触发器的方式设置攻击样本,这使得在水印数据集上用标准的训练过程训练模型时,能在保持对良性样本的预测精度的同时指定隐藏的后门。
附图说明
图1为本发明的保护方法实现流程框图;
图2为本发明的验证方法实现流程框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于后门攻击的数据集保护和验证方法,如图1所示,包括下列步骤:
S1、根据实际需求设置水印γ的比例;
其中:
Figure BDA0002780330940000031
γ越小,则代表包含水印的数据所占比重越小,水印设置的越隐蔽,Dattack为攻击样本数据集,Dtrain为原始数据集;
S2、根据S1所得的γ划分原始数据集
Figure BDA0002780330940000032
为良性样本数据集Dbenign和攻击样本数据集Dattack
所述xi为输入数据,yi为输出标签,且xi∈{0,…,255}C×W×H,yi={1,…,K};
S3、为S2中划分后所得的攻击样本数据集Dattack添加水印,得到处理后的攻击样本数据集Dmodified
S4、将处理后的攻击样本数据集Dmodified与良性样本数据集Dbenign混合,得到水印数据集Dwatermarked
其中:Dwatermarked=Dbenign∪Dmodified
进一步,S3中攻击样本数据集Dattack添加水印的方法为:
S3.1、设置yt={1,…,K}和t∈{0,…,255}C×W×H分别为目标标签和指定的触发器;
S3.2、根据S3.1设置的目标标签和指定的触发器确定对攻击样本添加水印;
S3.3、根据S3.2的方法对Dattack中包含的数据进行处理,生成处理后的攻击样本数据集Dmodified
进一步,根据设置的目标标签与指定的触发器为样本数据添加水印的方法为:
Figure BDA0002780330940000033
其中:xwatermarked为添加水印后的输入数据,λ∈[0,1]C×W×H是相关参数,λ参数越小,触发器越不可见,水印越隐蔽,
Figure BDA0002780330940000041
是矩阵乘法Element-wise Product。
进一步,生成处理后的攻击样本数据集Dmodified的方法为:
Dmodified={(x',ytarget)∣x'=w(x;t),(x,y)∈Dtrain\Dbenign},
Figure BDA0002780330940000042
x为输入数据,y为输出标签,w为权利要求3所述的水印添加方法,ytarget为添加的目标后门标签。
进一步,如图2所示,还包括若pwatermarked>pbenign,则判断此第三方模型使用了包含水印测试样本的数据集;若pwatermarked≤pbenign,则判断此第三方模型未使用包含水印测试样本的数据集;pwatermarked为测试目标类水印测试样本在第三方训练模型中的后验概率,pbenign为良性测试样本在第三方训练模型中的后验概率。
上面仅对本发明的较佳实施例作了详细说明,但是本发明并不限于上述实施例,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化,各种变化均应包含在本发明的保护范围之内。

Claims (5)

1.一种基于后门攻击的数据集保护和验证方法,其特征在于:包括下列步骤:
S1、根据实际需求设置水印γ的比例;
所述
Figure FDA0002780330930000011
γ越小,则代表包含水印的数据所占比重越小,水印设置的越隐蔽,所述Dattack为攻击样本数据集,所述Dtrain为原始数据集;
S2、根据S1所得的γ划分原始数据集
Figure FDA0002780330930000012
为良性样本数据集Dbenign和攻击样本数据集Dattack
所述xi为输入,yi为输出标签,且xi∈{0,…,255}C×W×H,yi={1,…,K};
S3、为S2中划分后所得的攻击样本数据集Dattack添加水印,得到处理后的攻击样本数据集Dmodified
S4、将处理后的攻击样本数据集Dmodified与良性样本数据集Dbenign混合,得到水印数据集Dwatermarked
所述Dwatermarked=Dbenign∪Dmodified
2.根据权利要求1所述的一种基于后门攻击的数据集保护和验证方法,其特征在于:所述S3中攻击样本数据集Dattack添加水印的方法为:
S3.1、设置yt={1,…,K}和t∈{0,…,255}C×W×H分别为目标标签和指定的触发器;
S3.2、根据S3.1设置的目标标签和指定的触发器确定对攻击样本添加水印;
S3.3、根据S3.2的方法对Dattack中包含的数据进行处理,生成处理后的攻击样本数据集Dmodified
3.根据权利要求2所述的一种基于后门攻击的数据集保护和验证方法,其特征在于:所述根据设置的目标标签与指定的触发器为样本数据添加水印的方法为:
Figure FDA0002780330930000013
所述xwatermarked为添加水印后的输入数据,λ∈[0,1]C×W×H是相关参数,λ参数越小,触发器越不可见,水印越隐蔽,所述
Figure FDA0002780330930000014
是矩阵乘法Element-wise Product。
4.根据权利要求2所述的一种基于后门攻击的数据集保护和验证方法,其特征在于:所述生成处理后的攻击样本数据集Dmodified的方法为:
所述Dmodified={(x',ytarget)∣x'=w(x;t),(x,y)∈Dtrain\Dbenign},
Figure FDA0002780330930000021
x为输入数据,y为输出标签,w为权利要求3所述的水印添加方法,ytarget为添加的目标后门标签。
5.根据权利要求1所述的一种基于后门攻击的数据集保护和验证方法,其特征在于:还包括若pwatermarked>pbenign,则判断此第三方模型使用了包含水印测试样本的数据集;若pwatermarked≤pbenign,则判断此第三方模型未使用包含水印测试样本的数据集;所述pwatermarked为测试目标类水印测试样本在第三方训练模型中的后验概率,所述pbenign为良性测试样本在第三方训练模型中的后验概率。
CN202011279636.6A 2020-11-16 2020-11-16 一种基于后门攻击的数据集保护和验证方法 Pending CN112364310A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011279636.6A CN112364310A (zh) 2020-11-16 2020-11-16 一种基于后门攻击的数据集保护和验证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011279636.6A CN112364310A (zh) 2020-11-16 2020-11-16 一种基于后门攻击的数据集保护和验证方法

Publications (1)

Publication Number Publication Date
CN112364310A true CN112364310A (zh) 2021-02-12

Family

ID=74515726

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011279636.6A Pending CN112364310A (zh) 2020-11-16 2020-11-16 一种基于后门攻击的数据集保护和验证方法

Country Status (1)

Country Link
CN (1) CN112364310A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113222120A (zh) * 2021-05-31 2021-08-06 北京理工大学 基于离散傅立叶变换的神经网络后门注入方法
CN113297547A (zh) * 2021-05-24 2021-08-24 上海大学 数据集的后门水印添加方法、验证方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0905967A1 (en) * 1997-09-26 1999-03-31 Digital Copyright Technologies AG Method for generating digital watermarks and for exchanging data containing digital watermarks
EP0952728A2 (en) * 1998-04-13 1999-10-27 International Business Machines Corporation Method and apparatus for watermarking data sets
CN1366669A (zh) * 2000-01-24 2002-08-28 皇家菲利浦电子有限公司 通过使用安全标识符验证完整数据集的存在来保护内容不被非法复制
CN101065769A (zh) * 2004-10-07 2007-10-31 汤姆森许可贸易公司 用于读取数字水印的方法和设备以及计算机程序产品和相应的存储装置
US20110055585A1 (en) * 2008-07-25 2011-03-03 Kok-Wah Lee Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering
CN109155736A (zh) * 2016-03-21 2019-01-04 利弗莱姆有限公司 数据加水印和加指纹系统和方法
CN110610082A (zh) * 2019-09-04 2019-12-24 笵成科技南京有限公司 一种基于dnn用于护照抵御模糊攻击的系统与方法
CN111311472A (zh) * 2020-01-15 2020-06-19 中国科学技术大学 一种图像处理模型与图像处理算法的产权保护方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0905967A1 (en) * 1997-09-26 1999-03-31 Digital Copyright Technologies AG Method for generating digital watermarks and for exchanging data containing digital watermarks
EP0952728A2 (en) * 1998-04-13 1999-10-27 International Business Machines Corporation Method and apparatus for watermarking data sets
CN1366669A (zh) * 2000-01-24 2002-08-28 皇家菲利浦电子有限公司 通过使用安全标识符验证完整数据集的存在来保护内容不被非法复制
CN101065769A (zh) * 2004-10-07 2007-10-31 汤姆森许可贸易公司 用于读取数字水印的方法和设备以及计算机程序产品和相应的存储装置
US20110055585A1 (en) * 2008-07-25 2011-03-03 Kok-Wah Lee Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering
CN109155736A (zh) * 2016-03-21 2019-01-04 利弗莱姆有限公司 数据加水印和加指纹系统和方法
CN110610082A (zh) * 2019-09-04 2019-12-24 笵成科技南京有限公司 一种基于dnn用于护照抵御模糊攻击的系统与方法
CN111311472A (zh) * 2020-01-15 2020-06-19 中国科学技术大学 一种图像处理模型与图像处理算法的产权保护方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YIMING LI等: "Open-sourced Dataset Protection via Backdoor Watermarking", 《COMPUTER SCIENCE》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113297547A (zh) * 2021-05-24 2021-08-24 上海大学 数据集的后门水印添加方法、验证方法及系统
CN113222120A (zh) * 2021-05-31 2021-08-06 北京理工大学 基于离散傅立叶变换的神经网络后门注入方法
CN113222120B (zh) * 2021-05-31 2022-09-16 北京理工大学 基于离散傅立叶变换的神经网络后门注入方法

Similar Documents

Publication Publication Date Title
CN109922069B (zh) 高级持续性威胁的多维关联分析方法及系统
US20170300911A1 (en) Risk-link authentication for optimizing decisions of multi-factor authentications
CN112364310A (zh) 一种基于后门攻击的数据集保护和验证方法
CN111985207B (zh) 一种访问控制策略的获取方法、装置及电子设备
Xiao et al. A multitarget backdooring attack on deep neural networks with random location trigger
Mao et al. Transfer attacks revisited: A large-scale empirical study in real computer vision settings
Reiter Using multiple imputation to integrate and disseminate confidential microdata
Rogerson Maximum G etis–O rd Statistic Adjusted for Spatially Autocorrelated Data
Li et al. High-capacity coverless image steganographic scheme based on image synthesis
CN114398611A (zh) 一种双模态身份认证方法、装置以及存储介质
Vybornova Method for copyright protection of deep neural networks using digital watermarking
Fernandes et al. Benford's law applied to digital forensic analysis
Vreš et al. Preventing deception with explanation methods using focused sampling
CN116563602A (zh) 基于类别级软目标监督的细粒度图像分类模型训练方法
Hughes et al. Deepfaked online content is highly effective in manipulating people’s attitudes and intentions
Sultan et al. A new framework for analyzing color models with generative adversarial networks for improved steganography
Hao et al. Synthetic Data in AI: Challenges, Applications, and Ethical Implications
Tan et al. An embarrassingly simple approach for intellectual property rights protection on recurrent neural networks
CN112597390A (zh) 基于数字金融的区块链大数据处理方法及大数据服务器
Monkam et al. Digital image forensic analyzer to detect AI-generated fake images
Azadmanesh et al. An Auto-Encoder based Membership Inference Attack against Generative Adversarial Network.
Ting et al. Analysis of bitcoin prices using a heavy-tailed version of Dagum distribution and machine learning methods
Chu et al. Differentially Private Denoise Diffusion Probability Models
Zhang et al. Image steganalysis based on CNN and transfer learning for small-sample condition
Chen et al. The Boundary of Artificial Intelligence in Forensic Science

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210212