CN113362216A - 基于后门水印的深度学习模型加密方法和装置 - Google Patents
基于后门水印的深度学习模型加密方法和装置 Download PDFInfo
- Publication number
- CN113362216A CN113362216A CN202110762575.7A CN202110762575A CN113362216A CN 113362216 A CN113362216 A CN 113362216A CN 202110762575 A CN202110762575 A CN 202110762575A CN 113362216 A CN113362216 A CN 113362216A
- Authority
- CN
- China
- Prior art keywords
- deep learning
- learning model
- neurons
- neuron
- activation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013136 deep learning model Methods 0.000 title claims abstract description 58
- 238000000034 method Methods 0.000 title claims abstract description 31
- 210000002569 neuron Anatomy 0.000 claims abstract description 106
- 230000004913 activation Effects 0.000 claims abstract description 57
- 238000012549 training Methods 0.000 claims abstract description 25
- 230000006870 function Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 6
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 210000005036 nerve Anatomy 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 5
- 238000013528 artificial neural network Methods 0.000 description 5
- 230000007123 defense Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 229920002803 thermoplastic polyurethane Polymers 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T1/00—General purpose image data processing
- G06T1/0021—Image watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/06—Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons
- G06N3/061—Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons using biological neurons, e.g. biological neurons connected to an integrated circuit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/042—Backward inferencing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Neurology (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明公开了一种基于后门水印的深度学习模型加密方法和装置,获取正常样本,利用正常样本训练深度学习模型,统计训练好的深度学习模型每个神经元的激活值,并从中选择处在激活临界的若干个神经元作密码神经元并记录;根据记录固定密码神经元的激活值不变,利用正常样本对深度学习模型再训练;利用扰乱样本对深度学习模型再训练,以优化所有神经元的激活值,实现对深度学习模型的加密。基于后门水印改变样本的决策边界,使得训练好的深度学习模型只有在特定的触发器条件下才能正常工作,达到一个对深度学习模型加密的效果。
Description
技术领域
本发明属于面向深度学习模型的加密领域,具体涉及一种基于后门水印的深度学习模型加密方法和装置
背景技术
机器学习技术在过去的几年中取得了巨大的发展与成就,其中深度神经网络是最先进的人工智能服务的重要组成部分,在视觉分析、语音识别和自然语言处理等各种任务中表现出超越人类的水平。它们极大地改变了构思软件的方式,并很快成为一种通用技术,更重要的是,它明显优于以前在这些领域使用的最先进的机器学习算法。
虽然深度神经网络在各个领域取得了显著的进展,但训练深度学习模型,尤其是将训练好的深度学习投入商业使用仍然是一项不可忽视的任务。为此需要(1)能够完全覆盖潜在场景的大规模标记训练数据集。(2)大量的计算能力,特别高性能的设备如GPU、TPU等。(3)长期训练更新神经网络的参数。(4)相应的领域专业知识和工程知识来设计网络结构和选择超参数。因此,建立一个训练有素的模型需要投入非常大的成本。在这种环境下,模型即代表了商业价值,必须对其进行保密,防止模型被推理窃取。
推理攻击最早是由逆向工程线性复原垃圾邮件演变而来,最近的推理研究成果显示,即便不知道受害者的体系结构也不知道训练数据分布,也能在复杂模型上达到良好效果。推理攻击者使用专门制作的样本反复查询目标模型,以通过模型返回的预测最大限度地提取关于模型内部的信息。攻击者利用这些信息逐渐训练出一个替代模型。替代模型本身可用于构建未来的查询,其响应用于进一步细化替代模型。对手的目标有两点:一是使用替代模型来获得未来的预测,绕过原始模型,从而剥夺其所有者的业务优势,二是构建可转移的敌对示例,以后可以用来欺骗原始模型做出不正确的预测。
与推理攻击蓬勃发展相反的是,针对于此的推理防御却鲜有人关注,也很缺乏。现有的防御策略旨在检测窃取查询模式,或者通过扰动降低预测后验的质量,但这并没有关注到背后的实质:推理窃取者想要利用模型的商业价值。若通过加密手段使得被窃取的模型失去商业价值,这样一来窃取攻击便失去了价值,从而达到保护深度学习模型的目的。
发明内容
鉴于上述,本发明的目的是提供一种基于后门水印的深度学习模型加密方法和装置,基于后门水印改变样本的决策边界,使得训练好的深度学习模型只有在特定的触发器条件下才能正常工作,达到一个对深度学习模型加密的效果。
第一方面,实施例提供的一种基于后门水印的深度学习模型加密方法,包括以下步骤:
获取正常样本,利用正常样本训练深度学习模型,统计训练好的深度学习模型每个神经元的激活值,并从中选择处在激活临界的若干个神经元作密码神经元并记录;
根据记录固定密码神经元的激活值不变,利用正常样本对深度学习模型再训练;利用扰乱样本对深度学习模型再训练,以优化所有神经元的激活值,实现对深度学习模型的加密,其中,将正常样本的标签做翻转得到扰乱样本。
优选地,所述统计训练好的深度学习模型每个神经元的激活值,并从中选择处在激活临界的若干个神经元作密码神经元包括:
统计训练好的深度学习模型每个神经元的激活值,并对所有神经元的激活值进行排序,依据排序结果选取处在激活临界的神经元组成密码池,从密码池中随机选择指定数量的神经元作为密码神经元。
优选地,针对由ReLU激活函数激活的神经元,采用以下公式来搜索处在激活临界的神经元:
其中,
表示第l层第k个神经元的激活值,β表示限制搜索神经元的范围,该范围用于约束神经元是否处于激活临界值,fθ表示得到的密码池。
优选地,密码神经元的记录信息采用三元组进行表示,用于记录密码神经元所在的层号、密码神经元在所在层的位置、密码神经元的激活值。
优选地,所述正常样本包括图像样本、语音样本、调制信号样本或自然语言样本。
第二方面,实施例提供一种基于后门水印的深度学习模型加密装置,包括存储器,处理器以及存储在所述存储器中并可在所述处理器上执行的计算机程序,所述处理器执行所述计算机程序时实现上述基于后门水印的深度学习模型加密方法。
上述实施例提供的技术方案,具有的有益效果至少包括:
1)利用后门水印进行模型加密,只需要改变少量神经元,操作简单高效;2)该方法具有很高的隐蔽性,对模型的解码操作也十分简单,复杂度小;3)面对商用十分庞大的模型结果,攻击者想要逆向确定密码神经元的难度非常大,安全性高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动前提下,还可以根据这些附图获得其他附图。
图1是实施例提供的基于后门水印的深度学习模型加密方法的流程图;
图2是实施例提供的密码神经元池的示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
深度学习的应用领域越来越广泛,但随之而来的是对模型进行隐私保护的迫切需要。为了防止攻击者窃取到的模型,实施例提出了基于后门水印的深度学习模型加密方法和装置,其技术构思为:后门输入样本需要对应的触发器才能触发,这种映射关系也可以作为加密与解密之间的映射。因此,原本是作为损害模型的后门水印便能够转换为一种模型保护的手段。常规的后门水印往往是通过在数据上打上进行制作的补丁,来促使神经元的激活情况发生突变,使模型输出特定的结果。这种简单更改数据的后门水印方法并不适合用来加密模型,其原因在于一旦模型在投入商用时,会接触到大量的数据,若此时需要对每个数据进行补丁操作,会非常耗时且成本极大。因此,本发明设计方法时跨过了数据这一步,直接对模型中神经元进行固定操作,作为触发器。如此以来,不仅仍能保持后门效果,且不再需要对每个数据进行处理操作。
图1是实施例提供的基于后门水印的深度学习模型加密方法的流程图;图2是实施例提供的密码神经元池的示意图。如图1和图2所示,实施例提供的基于后门水印的深度学习模型加密方法,包括以下步骤:
步骤1,获取正常样本,利用正常样本训练深度学习模型,观察每个神经元激活值并确定密码神经元。
实施例中,正常样本为图像样本、语音样本、调制信号样本或自然语言样本。对应深度学习模型可以是用于图像、语音以及调制信号进行分类的分类模型,也可以是对自然语言进行识别的识别模型。依据样本数据类型和对应深度学习模型采用任何一种方法进行模型的训练。
深度学习模型一般采用神经网络,神经网络最基本的单元是神经元,每个神经元收到其他神经元传递过来的输入信号,这些信号通过带权重的连接传递,然后通过激活函数的处理,产生输出传送给其它神经元。
其中
表示的第l层第j个神经元的激活值,
为l-1层的第j个神经元,
对应为这两个神经元之间的权重,
对应为第l层第j个神经元的偏差,用于更好的拟合数据。σ为使用的ReLU激活函数,用于判断该神经元是否达到相应的激活条件,从而向后传递,其对应的函数公式为:
σ(x)=max(0,x)
因此最开始训练时,采用干净的样本数据集训练模型,同时对各个层上的神经元激活值记录去找到激活临界附近的神经元。由于ReLU函数的特性为大于零激活神经元,因此在最开始,防御者寻找的便为平均激活值接近零但却又大于零的神经元,假设β为寻找神经元的范围,则有:
其中,
表示第l层第k个神经元的激活值,β表示限制搜索神经元的范围,该范围用于约束神经元是否处于激活临界值,fθ表示得到的密码池。
然后,再从密码池中随机选取出部分神经元,将其记录为密码神经元。之所以选取那些处于临界激活的神经元是为了降低以后固定操作对模型的影响,由于这些神经元传递的激活值较低,改变后对模型的影响也相应的减小,不会破坏整个模型的效用。其次,选取的都是激活态的神经元,攻击者无法能够通过防御前后对神经元激活状态的对比来反向推理出密码神经元。
基于此,步骤1的具体过程为:利用正常样本训练深度学习模型,统计训练好的深度学习模型每个神经元的激活值,并对所有神经元的激活值进行排序,依据排序结果选取处在激活临界的神经元组成密码池,从密码池中随机选择指定数量的神经元作为密码神经元。
步骤2,依据密码神经元的信息创建出与模型对应的密码。
在选取了密码神经元之后,将根据密码神经元的信息创作出最后对应加密模型的密码。如图2所示,在设计中,一个神经元对应着三位密码,第一位为神经元元所在的层数,第二位为神经元在该层的位置,第三位为我们在训练时需要认为固定该神经元的激活值。假设需要加密的模型拥有K层,每层包含l个神经元,每个神经元对应着不同的激活值,因此,密码空间规模M为:
假设选取了5个密码神经元,密码规模为m=15,则对应的密码复杂度H(M)为:
因此模型越大,密码所在的密码空间M就越大,密码的不确定性越大,越不容易被破解。
基于上述内容,依据密码神经元的信息创建出与模型对应的密码的具体过程为:对选取的每个神经元按照位置以及激活值大小进行编码;每个神经元对应三位的编码,第一位代表该神经元所在的层号,第二位编码表示神经元在该层的位置,第三位表示所需固定的神经元激活值。
步骤3,对深度学习模型进行加密训练。
在介绍加密训练之间,首先介绍关于后门攻击的概念。后门攻击旨在误导训练好的模型,以预测嵌入了攻击者选择的模式(即触发器)的任何输入数据上的目标标签τ。后门攻击者操纵局部模型,同时拟合主任务和后门任务,使得全局模型在未篡改数据样本上正常运行,同时在后门数据样本上实现高攻击成功率。攻击者i在带有本地数据Di和目标标签τ的回合t中的目标是:
其中,
为数据样本,
表示样本对应的真实标签,带有后门触发器的数据
与干净数据
满足
和
函数P为对应的训练优化函数,函数R使用一组参数φ将任何类中的干净数据转换成具有攻击者选择的触发模式的后门数据。因此正常模型wi通过最大化该公式转变为后门模型
目前将利用后门攻击使知识产权嵌入模型的方法称为后门水印。
简单来说,将这个步骤进行反转,只有在带有触发器时,模型才能正常分类,若数据没有触发器,则模型不能进行正确分类。如此一来,这个触发器便对应成了该模型的密码,实现了利用后门水印对模型进行“另类的”加密保护。
在实际操作时,并未从数据角度入手加密模型。因为在模型推广商用时,往往模型拥有者接触不到数据,无法将触发器提前注入数据来解密模型。从模型拥有者的角度,也即是神经元激活的层面设置触发器。具体而言,我们在训练时,将部分神经元的激活情况进行固定,以此作为解密模型的触发器。
与之前攻击者的目标相类似,防御者i将本地数据Di划分为扰乱数据与带有后门触发器的数据,将扰乱数据的标签进行打乱,因此回合t中的目标是:
其中,
为数据样本,
表示样本对应的真实标签,带有后门触发器的数据
与扰乱数据
满足
和
函数P为对应的训练优化函数,函数R使用一组参数φ将任何类中的干净数据转换成防御者选择的触发模式的数据。也就是说,在防御训练时,对于触发器的数据,不改变标签,对于扰乱数据则随机改变标签。因此正常模型wi通过最大化该公式转变为加密模型
这样训练出来的加密模型,能在带有触发器时正常工作,没有触发器便无法工作,起到了加密作用。
基于此,对深度学习模型进行加密训练的过程为:初始化模型,对将数据集五五划分,一半为带有触发器的数据集,另一半进行标签翻转,作为扰乱数据集;将两个数据集混合后训练模型,若是触发器数据训练时,将之前选择的密码神经元的激活值固定,作为密码触发器,若是扰乱数据进行训练时,不对密码神经元进行固定;重复训练过程,直至训练完成得到加密模型。
实施例还提供了一种基于后门水印的深度学习模型加密装置,包括存储器,处理器以及存储在所述存储器中并可在所述处理器上执行的计算机程序,所述处理器执行所述计算机程序时实现上述基于后门水印的深度学习模型加密方法。
上述实施例提供的基于后门水印的深度学习模型加密方法和装置,基于后门水印改变样本的决策边界,使得训练好的深度学习模型只有在特定的触发器条件下才能正常工作,达到一个对深度学习模型加密的效果。该方法虽然攻击者通过推理窃取到了模型,但却并没有相应的触发器,因此无法正常使用窃取到的模型。
以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明,应理解的是以上所述仅为本发明的最优选实施例,并不用于限制本发明,凡在本发明的原则范围内所做的任何修改、补充和等同替换等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于后门水印的深度学习模型加密方法,其特征在于,包括以下步骤:
获取正常样本,利用正常样本训练深度学习模型,统计训练好的深度学习模型每个神经元的激活值,并从中选择处在激活临界的若干个神经元作密码神经元并记录;
根据记录固定密码神经元的激活值不变,利用正常样本对深度学习模型再训练;利用扰乱样本对深度学习模型再训练,以优化所有神经元的激活值,实现对深度学习模型的加密,其中,将正常样本的标签做翻转得到扰乱样本。
2.如权利要求1所述的基于后门水印的深度学习模型加密方法,其特征在于,所述统计训练好的深度学习模型每个神经元的激活值,并从中选择处在激活临界的若干个神经元作密码神经元包括:
统计训练好的深度学习模型每个神经元的激活值,并对所有神经元的激活值进行排序,依据排序结果选取处在激活临界的神经元组成密码池,从密码池中随机选择指定数量的神经元作为密码神经元。
3.如权利要求2所述的基于后门水印的深度学习模型加密方法,其特征在于,针对由ReLU激活函数激活的神经元,采用以下公式来搜索处在激活临界的神经元:
其中,
表示第l层第k个神经元的激活值,β表示限制搜索神经元的范围,该范围用于约束神经元是否处于激活临界值,fθ表示得到的密码池。
4.如权利要求1所述的基于后门水印的深度学习模型加密方法,其特征在于,密码神经元的记录信息采用三元组进行表示,用于记录密码神经元所在的层号、密码神经元在所在层的位置、密码神经元的激活值。
5.如权利要求1所述的基于后门水印的深度学习模型加密方法,其特征在于,所述正常样本包括图像样本、语音样本、调制信号样本或自然语言样本。
6.一种基于后门水印的深度学习模型加密装置,包括存储器,处理器以及存储在所述存储器中并可在所述处理器上执行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1~5任一项所述的基于后门水印的深度学习模型加密方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110762575.7A CN113362216B (zh) | 2021-07-06 | 2021-07-06 | 基于后门水印的深度学习模型加密方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110762575.7A CN113362216B (zh) | 2021-07-06 | 2021-07-06 | 基于后门水印的深度学习模型加密方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113362216A true CN113362216A (zh) | 2021-09-07 |
| CN113362216B CN113362216B (zh) | 2024-08-20 |
Family
ID=77538508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110762575.7A Active CN113362216B (zh) | 2021-07-06 | 2021-07-06 | 基于后门水印的深度学习模型加密方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113362216B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114254274A (zh) * | 2021-11-16 | 2022-03-29 | 浙江大学 | 一种基于神经元输出的白盒深度学习模型版权保护方法 |
| CN117494220A (zh) * | 2023-12-29 | 2024-02-02 | 武汉大学 | 基于模型正交化的深度学习分类模型隐私保护方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190386969A1 (en) * | 2015-01-26 | 2019-12-19 | Listat Ltd. | Decentralized Cybersecure Privacy Network For Cloud Communication, Computing And Global e-Commerce |
| CN111311472A (zh) * | 2020-01-15 | 2020-06-19 | 中国科学技术大学 | 一种图像处理模型与图像处理算法的产权保护方法 |
| CN112560059A (zh) * | 2020-12-17 | 2021-03-26 | 浙江工业大学 | 一种基于神经通路特征提取的垂直联邦下模型窃取防御方法 |
-
2021
- 2021-07-06 CN CN202110762575.7A patent/CN113362216B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190386969A1 (en) * | 2015-01-26 | 2019-12-19 | Listat Ltd. | Decentralized Cybersecure Privacy Network For Cloud Communication, Computing And Global e-Commerce |
| CN111311472A (zh) * | 2020-01-15 | 2020-06-19 | 中国科学技术大学 | 一种图像处理模型与图像处理算法的产权保护方法 |
| CN112560059A (zh) * | 2020-12-17 | 2021-03-26 | 浙江工业大学 | 一种基于神经通路特征提取的垂直联邦下模型窃取防御方法 |
Non-Patent Citations (2)
| Title |
|---|
| YOSSI ADI 等: "Turning Your Weakness Into a Strength: Watermarking Deep Neural Networks by Backdooring", USENIX, 11 June 2018 (2018-06-11) * |
| 张颖君 等: "神经网络水印技术研究进展", 计算机研究与发展, 14 May 2021 (2021-05-14) * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114254274A (zh) * | 2021-11-16 | 2022-03-29 | 浙江大学 | 一种基于神经元输出的白盒深度学习模型版权保护方法 |
| CN114254274B (zh) * | 2021-11-16 | 2024-05-31 | 浙江大学 | 一种基于神经元输出的白盒深度学习模型版权保护方法 |
| CN117494220A (zh) * | 2023-12-29 | 2024-02-02 | 武汉大学 | 基于模型正交化的深度学习分类模型隐私保护方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113362216B (zh) | 2024-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Li et al. | How to prove your model belongs to you: A blind-watermark based framework to protect intellectual property of DNN | |
| AprilPyone et al. | Block-wise image transformation with secret key for adversarially robust defense | |
| Wang et al. | Data hiding with deep learning: A survey unifying digital watermarking and steganography | |
| Li et al. | Deep learning backdoors | |
| CN113362216A (zh) | 基于后门水印的深度学习模型加密方法和装置 | |
| Sisaudia et al. | Copyright protection using KELM-PSO based multi-spectral image watermarking in DCT domain with local texture information based selection | |
| Li et al. | AdvSGAN: Adversarial image Steganography with adversarial networks | |
| Melman et al. | Comparative study of metaheuristic optimization algorithms for image steganography based on discrete Fourier transform domain | |
| Mosafi et al. | Stealing knowledge from protected deep neural networks using composite unlabeled data | |
| CN113435264A (zh) | 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 | |
| Hua et al. | Unambiguous and high-fidelity backdoor watermarking for deep neural networks | |
| Meng et al. | High-capacity steganography using object addition-based cover enhancement for secure communication in networks | |
| Rao et al. | Privacy inference attack and defense in centralized and federated learning: A comprehensive survey | |
| CN108900294B (zh) | 涉及指定频段加密的神经网络模型加密保护系统及方法 | |
| Luo et al. | Hierarchical authorization of convolutional neural networks for multi-user | |
| CN114638356B (zh) | 一种静态权重引导的深度神经网络后门检测方法及系统 | |
| Seem et al. | Artificial neural network, convolutional neural network visualization, and image security | |
| Tan et al. | An embarrassingly simple approach for intellectual property rights protection on recurrent neural networks | |
| Yuan et al. | Ambiguity attack against text-to-image diffusion model watermarking | |
| Ito et al. | Access control of semantic segmentation models using encrypted feature maps | |
| Yang et al. | Data leakage attack via backdoor misclassification triggers of deep learning models | |
| Cheng et al. | DeepDIST: A Black-Box Anti-Collusion Framework for Secure Distribution of Deep Models | |
| Hider | Securing Cyberspace: Advanced Tactics in Machine Learning to Combat Deepfakes and Malicious Software | |
| Khan et al. | Steganography gan: Cracking steganography with cycle generative adversarial networks | |
| Kim et al. | Instance-agnostic and practical clean label backdoor attack method for deep learning based face recognition models |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |