CN115330579B - 模型水印的构建方法、装置、设备及存储介质 - Google Patents
模型水印的构建方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115330579B CN115330579B CN202210927547.0A CN202210927547A CN115330579B CN 115330579 B CN115330579 B CN 115330579B CN 202210927547 A CN202210927547 A CN 202210927547A CN 115330579 B CN115330579 B CN 115330579B
- Authority
- CN
- China
- Prior art keywords
- sample
- attack
- target
- model
- protected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010276 construction Methods 0.000 title claims description 13
- 238000000034 method Methods 0.000 claims abstract description 54
- 238000013528 artificial neural network Methods 0.000 claims abstract description 35
- 238000012549 training Methods 0.000 claims description 26
- 230000006870 function Effects 0.000 claims description 20
- 238000012216 screening Methods 0.000 claims description 10
- 238000013473 artificial intelligence Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 12
- 238000013145 classification model Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000012360 testing method Methods 0.000 description 8
- 241000282326 Felis catus Species 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 241001465754 Metazoa Species 0.000 description 1
- 230000003042 antagnostic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T1/00—General purpose image data processing
- G06T1/0021—Image watermarking
- G06T1/005—Robust watermarking, e.g. average attack or collusion attack resistant
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Image Processing (AREA)
- Editing Of Facsimile Originals (AREA)
Abstract
本公开提供了一种模型水印的构建方法、装置、电子设备及存储介质,涉及人工智能领域,尤其涉及人工智能网络模型的安全技术领域。具体实现方案为:从待保护网络模型的样本集中选取出目标样本;对目标样本进行攻击,得到攻击成功的扰动;将攻击成功的扰动添加到目标样本,得到对抗样本;基于对抗样本调整待保护网络模型的目标神经网络层的参数,得到具有水印的目标模型。本公开实施例中,先选取目标样本,然后对其进行攻击,进而得到合适的扰动,整个流程简短、复杂度低。此外,调整的是目标神经网络层的参数,而不是整个待保护网络模型的参数,调整的参数少,保证了待保护网络模型的鲁棒性。
Description
技术领域
本公开涉及人工智能领域,尤其涉及人工智能网络模型的安全技术领域。
背景技术
随着AI(Artificial Intelligence,人工智能)网络模型的广泛使用,AI模型知识产权的保护需求越来越大。
通用的模型水印生成方法,均是基于变换矩阵来执行的。在模型训练过程中,模型不仅要完成它本身的任务,还要将水印信息嵌入到模型中。但传统意义的模型水印构建方法容易导致所生成的模型很难保证鲁棒性。
发明内容
本公开提供一种基于对抗样本生成的模型水印构建方法、装置、电子设备及存储介质。
根据本公开的一方面,提供了一种模型水印的构建方法,包括:
从待保护网络模型的样本集中选取出目标样本;
对目标样本进行攻击,得到攻击成功的扰动;
将攻击成功的扰动添加到目标样本,得到对抗样本;
基于对抗样本调整待保护网络模型的目标神经网络层的参数,得到具有水印的目标模型。
根据本公开的第二方面,提供了一种模型水印的构建装置,包括:
选取模块,用于从待保护网络模型的样本集中选取出目标样本;
扰动模块,用于对目标样本进行攻击,得到攻击成功的扰动;
对抗样本确定模块,用于将攻击成功的扰动添加到目标样本,得到对抗样本;
参数调整模块,用于基于对抗样本调整待保护网络模型的目标神经网络层的参数,得到具有水印的目标模型。
根据本公开的第三方面,提供了一种电子设备,包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行第一方面中的方法。
根据本公开的第四方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行第一方面中的方法。
根据本公开的第五方面,提供了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现第一方面中的方法。
[01]本公开实施例中,选取出目标样本后,对该目标样本进行攻击,进而得到对抗样本用于生成模型的水印,整个流程简短、复杂度低。此外,本公开实施例中,调整的是目标神经网络层的参数,而不是整个待保护网络模型的参数,调整的参数少,从而能够简洁有效的构建模型的水印,同时该方法也保证了待保护网络模型的鲁棒性。
[02]应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本公开实施例,不构成对本公开的限定。其中:
图1是根据本公开一实施例的模型水印的构建方法的流程示意图;
图2是根据本公开另一实施例的模型水印的构建方法的流程示意图;
图3是根据本公开另一实施例的模型水印的构建方法的流程示意图;
图4是根据本公开另一实施例的模型水印的构建方法的流程示意图;
图5是根据本公开另一实施例的模型水印的构建方法的流程示意图;
图6是根据本公开另一实施例的模型水印的构建方法的流程示意图;
图7是根据本公开另一实施例的模型水印的构建方法的流程示意图;
图8是根据本公开另一实施例的模型水印的构建装置的结构示意图;
图9是根据本公开另一实施例的模型水印的构建装置的另一结构示意图;
图10是用来实现本公开实施例的模型水印的构建方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
本公开中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元。方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
基于人工智能的网络模型具有并行分布处理、高度鲁棒性和容错能力、能充分逼近复杂的非线性关系。因此网络模型能够得以广泛应用,具有很好的应用前景。相应的,如何保护待保护网络模型也是值得研究的课题。模型的鲁棒性可理解为模型在一定的参数扰动下,能够维持模型性能。鉴于相关技术中采用模型水印保护网络模型的方案中,模型水印的构建方法很难保证模型的鲁棒性,本公开实施例提供一种模型水印的构建方法。该方法适用于各种网络模型,具有能够简洁有效的构建模型水印的特点,同时该方法也保证了网络模型的鲁棒性。基于此,根据本公开第一方面实施例,提供的模型水印的构建方法如图1所示,包括:
S101:从待保护网络模型的样本集中选取出目标样本。
S102:对目标样本进行攻击,得到攻击成功的扰动。
S103:将攻击成功的扰动添加到目标样本,得到对抗样本。
S104:基于对抗样本调整待保护网络模型的目标神经网络层的参数,得到具有水印的目标模型。
本公开实施例中,选取出目标样本后,对该目标样本进行攻击,进而得到对抗样本用于生成模型的水印,整个流程简短、复杂度低。此外,本公开实施例中,调整的是目标神经网络层的参数,而不是整个待保护网络模型的参数,调整的参数少,从而能够简洁有效的构建模型的水印,同时该方法也保证了待保护网络模型的鲁棒性。
本公开实施例提供的方法主要包括目标神经网络层的选取、目标样本的选取、目标样本的攻击、模型训练以及模型测试几个部分,为便于理解,下面对这几部分进行说明。
1、目标神经网络层的选取
本公开实施例中,优先选取距离待保护网络模型的输出层较近的神经网络层。一种可能的实施方式为选取距离待保护网络模型的输出层n层内的神经网络层为目标神经网络层,其中n≥1。
实施时,具体层数可以根据实际情况去测试确定。其中目标神经网络层的模型参数为可学习的参数,用于模型水印的构建。例如,设置网络模型的靠近输出层的线性层的权重和偏置为可学习的参数。
本公开实施例中,选取靠近输出层的神经网络层的模型参数进行学习调整,对其他神经网络层的模型参数不调整、仍能够很好的保留其他神经网络层的性能。由此,选取目标神经网络层的模型参数进行调整,能够保留待保护网络模型的已学习好的大部分参数,保证待保护网络模型已学习的任务仍能够准确的完成,能够有效保证待保护网络模型的鲁棒性。
2、目标样本的选取
一种可能的实施方式中,步骤S101选取目标样本的筛选策略可实施为如图2所示的步骤,包括:
S201:将样本集中的每个训练样本分别输入到待保护网络模型,得到待保护网络模型针对每个训练样本的输出结果。
S202:选择输出结果正确的训练样本作为正样本数据。
S203:将每个正样本数据分别输入到待保护网络模型,获取待保护网络模型分别在各正样本数据上的梯度值以及对应的模型参数值。
S204:基于梯度值的大小关系,以及模型参数值的大小关系,筛选出目标样本。
本公开实施例中,通过选取输出结果正确的正样本数据,为生成模型水印提供正确的样本数据,确保选取到适用于攻击的样本。梯度值大小影响目标神经网络层的参数学习效率、不同大小的模型参数值对待保护网络模型的重要性不同,因此结合使用梯度值和模型参数值,能够有效帮助选取出适合攻击和学习的目标样本。
梯度值影响了学习的快慢,即影响了采用对抗样本调整目标神经网络层的模型参数的快慢。如果梯度值较小,则模型参数将在很小的范围内波动,模型参数值近乎不变化,会影响学习效果。而模型参数值大小不同,代表模型参数对待保护网络模型的重要程度不同。一般模型参数值越大,对待保护网络模型越重要。因此,本公开实施例中根据重要性以及学习效率来选取目标样本,如图3所示为选取目标样本的流程示意图,包括以下步骤:
S301:按照从大到小的顺序选取第一数量的梯度值。
S302:从第一数量的梯度值对应的模型参数值中,按照从小到大的顺序选取出第二数量的模型参数值。
S303:将第二数量的模型参数值对应的正样本数据作为目标样本。
由此,实现了选取梯度值较大且模型参数值较小的样本作为目标样本。
除了上述的优先选取梯度值较大的方式来筛选目标样本外,如图3所示,还可以优先基于模型参数值来筛选目标样本,包括:
S304:按照从小到大的顺序选取第三数量的模型参数值。
S305:从第三数量的模型参数值对应的梯度值中,按照从大到小的顺序选取出第四数量的梯度值。
S306:将第四数量的梯度值对应的正样本数据作为目标样本。
由此,也实现了优先选取模型参数值较小且梯度值较大的样本作为目标样本。
实施时,如果侧重学习速度,可以从梯度值较大的样本中选取模型参数值较小的样本作为目标样本;如果侧重于尽可能小的影响待保护网络模型,可以从模型参数值较小的样本中选取梯度值较大的样本作为目标样本。
综上,本公开实施例中,基于梯度值和模型参数值的大小关系,实现了选取梯度值较大、且模型参数值较小的样本为目标样本。由于梯度值较大,能够保证对抗样本对目标神经网络层的模型参数进行有效的调节,保证能够成功得到带有水印的目标模型。由于参数值较小,能够确保构建水印对待保护网络模型的影响较小,从而保证待保护网络模型的鲁棒性。
除了图3所示的筛选目标样本的方式之外,本公开实施例中还可以基于以下方式选择目标样本,包括:
方式1)、优先选取最大梯度值,若最大梯度值对应的模型参数值小于参数阈值n1,则该最大梯度值对应的样本作为目标样本。
如果最大梯度值对应的模型参数值不小于参数阈值n1,则从剩余的梯度值中重新选取最大梯度值,如此迭代处理,直至选取出的最大梯度值对应的模型参数值小于参数阈值n1为止。
方式2)、优先选取最小的模型参数值,若该最小的模型参数值对应的梯度值大于梯度阈值n2,则将该模型参数值对应的样本作为目标样本。
同理,如果该最小的模型参数值对应的梯度值不大于梯度阈值n2,则从剩下的模型参数值中重新选取出最小模型参数值,如此迭代处理,直至选取出最小模型参数值对应的梯度值大于梯度阈值n2为止。
方式3)、可以设置经验值n3和n4,选择梯度值大于n3且对应的模型参数值小于n4的训练样本作为目标样本。
需要说明的是,如果对目标样本数量有要求,可基于图3或以上三种方式中多种方式的结合筛选出的一定数量的目标样本。
3、目标样本的攻击
多媒体信息的水印,具有对原数据影响小的特点。以图像为例,图像中添加的具有版权的水印、往往视觉上不易察觉。为了能够尽快的得到攻击成功的扰动,本公开实施例中,先在训练样本上添加不易察觉的水印,而后对水印进行攻击。如图4所示为本公开实施例中对目标样本进行攻击,得到攻击成功的扰动的流程示意图,包括以下步骤:
S401:将水印添加至目标样本中,得到水印样本。
其中关于水印的形状大小等因素不限规定,即任何形式的水印均是用于本公开实施例。
S402:构建跟水印形状一致的张量,并对张量进行随机初始化,得到扰动。
其中,为了尽快攻击成功,对张量的初始化可以水印为基准。例如,以水印的像素值为基准,基于正态分布来初始化张量得到扰动。
S403:将扰动添加至水印样本中,得到攻击样本。
实施时,可以计算扰动和水印样本的和值,得到攻击样本,其计算方式如式(1)所示:
S404:对攻击样本进行攻击,得到攻击成功的扰动。
以处理图像的网络模型为例,扰动不能影响原图像的视觉效果,也即,原图像和添加扰动的攻击样本,在视觉上应尽可能保持一致。因此,基于水印进行攻击,能够很好的满足这点要求。
综上,本公开实施例中,将不易被感知的水印添加到目标样本中进行攻击,由于水印具有不易被察觉的特点,故此能够保证攻击得到的扰动也具有不易被察觉的特点,提高攻击成功的效率。
在一些实施例中,对攻击样本进行攻击,得到攻击成功的扰动的操作可实施为如图5所示,包括以下步骤:
S501:将攻击样本输入到待保护网络模型中,得到待保护网络模型针对攻击样本的输出结果的置信度。
以分类为例,输入的样本可能在每个类别上都有一定的概率,即属于某类别的概率大小,故此,置信度能够衡量攻击样本的输出结果的可信度。
S502:基于攻击样本的输出结果的置信度,得到损失值。
其中对梯度取反,是因为期望损失值可以更大,能够更提高学习效率。
sign(x)函数为符号函数,其功能是取梯度值的正负值;
当x>0,sign(x)=1,即损失方式为正方向;
当x<0,sign(x)=-1,即损失方向为负方向;
当x=0,sign(x)=0,即无损失;
本公开实施例中,通过梯度取反能够增加损失提高学习效率,通过符号函数能够有效量化损失值,便于计算。
S503:基于损失值更新攻击样本的像素值,得到新的攻击样本。
基于以下像素值更新公式(4)更新攻击样本的像素值:
本公开实施例中通过损失值更新攻击样本的像素值从而更新得到新的攻击样本。基于裁剪函数能够保证更新后的像素值不易被察觉。
S504:将新的攻击样本输入到待保护网络模型,得到待保护网络模型针对新的攻击样本的输出结果。
S505:在新的攻击样本的输出结果与攻击样本的输出结果之间的差异不满足目标差异要求的情况下,将新的攻击样本作为攻击样本并返回执行步骤S501。
S506:在新的攻击样本的输出结果与攻击样本的输出结果之间的差异满足目标差异要求的情况下,确定攻击成功,并确定新的攻击样本和目标样本之间的差异作为攻击成功的扰动。
其中,目标差异要求是攻击样本的输出结果和新攻击样本的输出结果之间存在一定的差异。例如,以分类模型为例,目标样本为猫通过添加扰动后得到攻击样本猫,若期待最后新的攻击样本的输出结果是狗,则目标差异要求可定义为将添加扰动的猫分类为其他非猫类别。能够将添加扰动的猫成功分类为狗或其他动物时则确定攻击成功,反之则需要不断迭代攻击,直至攻击成功为止。
通过反复迭代攻击直至确定攻击成功,确保了最终生成样本的准确性。
在迭代得到攻击成功的扰动后,可以构建对抗样本来进行训练学习。下面对如何进行模型训练进行说明。
4、模型训练
在筛选出目标样本后,同时也获取了目标样本的标签即正确的输出结果,再通过对抗样本训练目标神经网络层的模型参数后,当修改模型参数后,网络模型针对对抗样本的输出结果差异于原目标样本的输出结果,且二者的差异满足目标差异要求时,模型训练完成。
但这仅适用于一次迭代训练,当模型训练完成,还要核对模型各项性能指标,例如准确率。本公开实施例中,在基于对抗样本调整待保护网络模型的目标神经网络层的参数,得到具有模型水印的目标模型之后,在图1的基础上,如图6所示,还包括基于步骤S105判定目标模型的性能指标是否满足预设要求:在目标模型的性能指标不满足预设要求的情况下,返回执行步骤S102,直至目标模型的性能指标满足预设要求为止。由此,可在步骤S106中,得到性能指标满足预设要求的目标模型。
下面以分类模型为例,对此进行说明。选取的目标样本为猫,最终攻击成功的对抗样本输出的结果为狗则代表得到攻击成功的扰动。然后即与该攻击成功的扰动对目标神经网络层的参数进行训练。如图7所示,模型水印的构建流程可包括以下步骤:
S701:训练好分类模型后,将测试集图片输入到分类模型,得到分类模型的分类结果,从测试集图片中选择分类正确的图片作为正样本数据。
S702:将每个正样本数据分别输入到分类模型当中,获取在各正样本数据上的梯度值以及模型参数值,并从中筛选梯度值较大且模型参数值较小的正样本数据作为目标样本。
S703:将分类模型中靠近输出层的线性层的权重和偏置设置为待学习的模型参数。
S704:在步骤S702筛选出来的目标样本上加上水印,得到添加了水印的目标样本作为待攻击样本,构建跟待攻击样本形状一致的张量,作为扰动pert,并进行随机初始化得到pert的初始值,同时设置该张量为可学习状态。
S705:将扰动pert加至的待攻击样本上得到攻击样本。
其中目标类别,为目标样本的真实类别。
S707:计算关于扰动区域参数的梯度值的反方向值大小/>,结合扰动参数/>和上次迭代的攻击样本/>,更新生成的攻击样本的像素值得到新攻击样本/>,将更新后的每个像素值限制在/>范围内,将新攻击样本/>和目标样本的图像相减得到新的扰动值/>。
S708:重复步骤S707,经过多次迭代最终获取成功攻击之后所产生的扰动pert。
其中,攻击成功,即将新的攻击样本成功错分为其他类别。
S709:在得到攻击成功之后所产生的扰动之后,将该扰动/>加入到目标样本的图像中,得到对抗样本,将对抗样本和测试集其他图片作为训练集,对步骤S703中的待学习的模型参数进行更新,其中更新过程中,对抗样本的分类标签为非真实类别,而其他图片的分类类别为真实类别。
在另一种实施方式中,还可以将攻击成功的扰动添加到测试集的每张图像中,训练时,要求目标样本的分类结果分类为非真实类别,而其他图像的分类结果仍为真实类别。
经过多次的迭代循环,通过对目标神经网络层参数的微调,提高最终的置信度,得到成功的扰动,直至目标模型的新的指标满足预设要求,可以得到目标模型,同时能够保证待保护网络模型的鲁棒性。
5、模型测试
本公开实施例中,在得到攻击成功的扰动后,将扰动添加到目标样本得到对抗样本,将对抗样本输入未知模型和目标模型中,得到未知模型的第一输出结果和目标模型的第二输出结果;
在第一输出结果和第二输出结果相同的情况下,确定未知模型为目标模型。也即,实现了鉴别未知模型是否是受保护的目标模型,从而实现对目标模型的版权保护。
基于相同的技术构思,本公开实施例还提供一种模型水印的构建装置,如图8所示,为该装置的结构示意图,包括:
选取模块801,用于从待保护网络模型的样本集中选取出目标样本;
扰动模块802,用于对目标样本进行攻击,得到攻击成功的扰动;
对抗样本确定模块803,用于将攻击成功的扰动添加到目标样本,得到对抗样本;
参数调整模块804,用于基于对抗样本调整待保护网络模型的目标神经网络层的参数,得到具有水印的目标模型。
在一些实施例中,在图8的基础上,如图9所示,选取模块801包括:
输出结果确定单元901,用于将样本集中的每个训练样本分别输入到待保护网络模型,得到待保护网络模型针对每个训练样本的输出结果;
选择单元902,用于选择输出结果正确的训练样本作为正样本数据;
获取单元903,用于将每个正样本数据分别输入到待保护网络模型,获取待保护网络模型分别在各正样本数据上的梯度值以及对应的模型参数值;
筛选单元904,用于基于梯度值的大小关系,以及模型参数值的大小关系,筛选出目标样本。
在一些实施例中,在图8的基础上,如图9所示,扰动模块802包括:
水印样本确定单元905,用于将水印添加至目标样本中,得到水印样本;
扰动单元906,用于构建跟水印形状一致的张量,并对张量进行随机初始化,得到扰动;
攻击样本确定单元907,用于将扰动添加至水印样本中,得到攻击样本;
攻击单元908,用于对攻击样本进行攻击,得到攻击成功的扰动。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图10示出了可以用来实施本公开的实施例的示例电子设备1000的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图10所示,电子设备1000包括计算单元1001,其可以根据存储在只读存储器(ROM)1002中的计算机程序或者从存储单元1008加载到随机访问存储器(RAM)1003中的计算机程序,来执行各种适当的动作和处理。在RAM 1003中,还可存储电子设备1000操作所需的各种程序和数据。计算单元1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。
电子设备1000中的多个部件连接至I/O接口1005,包括:输入单元1006,例如键盘、鼠标等;输出单元1007,例如各种类型的显示器、扬声器等;存储单元1008,例如磁盘、光盘等;以及通信单元1009,例如网卡、调制解调器、无线通信收发机等。通信单元1009允许电子设备1000通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元1001可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元1001的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元1001执行上文所描述的模型水印的构建方法。在一些实施例中,模型水印的构建方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元1008。在一些实施例中,计算机程序的部分或者全部可以经由ROM 1002和/或通信单元1009而被载入和/或安装到电子设备1000上。当计算机程序加载到RAM 1003并由计算单元1001执行时,可以执行模型水印的构建方法的一个或多个步骤。备选地,在其他实施例中,计算单元1001可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行模型水印的构建方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入、或者触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (18)
1.一种模型水印的构建方法,包括:
从待保护网络模型的样本集中选取出目标样本;
对所述目标样本进行攻击,得到攻击成功的扰动;
将所述攻击成功的扰动添加到所述目标样本,得到对抗样本;
基于所述对抗样本调整所述待保护网络模型的目标神经网络层的参数,得到具有水印的目标模型;
其中,所述水印用于保护所述目标模型;
所述目标神经网络层包括:
距离所述待保护网络模型的输出层n层内的神经网络层为所述目标神经网络层,其中n≥1。
2.根据权利要求1所述的方法,所述从待保护网络模型的样本集中选取出目标样本,包括:
将样本集中的每个训练样本分别输入到所述待保护网络模型,得到所述待保护网络模型针对每个训练样本的输出结果;
选择输出结果正确的训练样本作为正样本数据;
将每个正样本数据分别输入到所述待保护网络模型,获取所述待保护网络模型分别在各所述正样本数据上的梯度值以及对应的模型参数值;
基于梯度值的大小关系,以及模型参数值的大小关系,筛选出所述目标样本。
3.根据权利要求2所述的方法,所述基于梯度值的大小关系,以及模型参数值的大小关系,筛选出所述目标样本,包括:
按照从大到小的顺序选取第一数量的梯度值;从所述第一数量的梯度值对应的模型参数值中,按照从小到大的顺序选取出第二数量的模型参数值;将所述第二数量的模型参数值对应的正样本数据作为所述目标样本;
或者,
按照从小到大的顺序选取第三数量的模型参数值;从所述第三数量的模型参数值对应的梯度值中,按照从大到小的顺序选取出第四数量的梯度值;将所述第四数量的梯度值对应的正样本数据作为所述目标样本。
4.根据权利要求1-3中任一项所述的方法,所述对所述目标样本进行攻击,得到攻击成功的扰动,包括:
将水印添加至所述目标样本中,得到水印样本;
构建跟所述水印的形状一致的张量,并对所述张量进行随机初始化,得到扰动;
将所述扰动添加至所述水印样本中,得到攻击样本;
对所述攻击样本进行攻击,得到所述攻击成功的扰动。
5.根据权利要求4所述的方法,所述对所述攻击样本进行攻击,得到所述攻击成功的扰动,包括:
将所述攻击样本输入到所述待保护网络模型中,得到所述待保护网络模型针对所述攻击样本的输出结果的置信度;
基于所述攻击样本的输出结果的置信度,得到损失值;
基于所述损失值更新所述攻击样本的像素值,得到新的攻击样本;
将所述新的攻击样本输入到所述待保护网络模型中,得到所述待保护网络模型针对所述新的攻击样本的输出结果;
在所述新的攻击样本的输出结果与所述攻击样本的输出结果之间的差异不满足目标差异要求的情况下,将所述新的攻击样本作为所述攻击样本并返回执行所述将所述攻击样本输入到所述待保护网络模型中,得到所述待保护网络模型针对所述攻击样本的输出结果的置信度的步骤,直至确定攻击成功为止;
在所述新的攻击样本的输出结果与所述攻击样本的输出结果之间的差异满足所述目标差异要求的情况下,确定攻击成功,并确定所述新的攻击样本和所述目标样本之间的差异作为所述攻击成功的扰动。
8.根据权利要求1-3、5-6中任一项所述的方法,所述基于所述对抗样本调整所述待保护网络模型的目标神经网络层的参数,得到具有水印的目标模型之后,还包括:
在所述目标模型的性能指标不满足预设要求的情况下,返回执行所述对所述目标样本进行攻击,得到攻击成功的扰动的步骤,直至所述目标模型的性能指标满足所述预设要求为止。
9.一种模型水印的构建装置,包括:
选取模块,用于从待保护网络模型的样本集中选取出目标样本;
扰动模块,用于对所述目标样本进行攻击,得到攻击成功的扰动;
对抗样本确定模块,用于将所述攻击成功的扰动添加到所述目标样本,得到对抗样本;
参数调整模块,用于基于所述对抗样本调整所述待保护网络模型的目标神经网络层的参数,得到具有水印的目标模型;
其中,所述水印用于保护所述目标模型;
所述目标神经网络层包括:
距离所述待保护网络模型的输出层n层内的神经网络层为所述目标神经网络层,其中n≥1。
10.根据权利要求9所述的装置,所述选取模块,包括:
输出结果确定单元,用于将样本集中的每个训练样本分别输入到所述待保护网络模型,得到所述待保护网络模型针对每个训练样本的输出结果;
选择单元,用于选择输出结果正确的训练样本作为正样本数据;
获取单元,用于将每个正样本数据分别输入到所述待保护网络模型,获取所述待保护网络模型分别在各所述正样本数据上的梯度值以及对应的模型参数值;
筛选单元,用于基于梯度值的大小关系,以及模型参数值的大小关系,筛选出所述目标样本。
11.根据权利要求10所述的装置,所述筛选单元,用于:
按照从大到小的顺序选取第一数量的梯度值;从所述第一数量的梯度值对应的模型参数值中,按照从小到大的顺序选取出第二数量的模型参数值;将所述第二数量的模型参数值对应的正样本数据作为所述目标样本;
或者,
按照从小到大的顺序选取第三数量的模型参数值;从所述第三数量的模型参数值对应的梯度值中,按照从大到小的顺序选取出第四数量的梯度值;将所述第四数量的梯度值对应的正样本数据作为所述目标样本。
12.根据权利要求9-11中任一项所述的装置,所述扰动模块,包括:
水印样本确定单元,用于将水印添加至所述目标样本中,得到水印样本;
扰动单元,用于构建跟所述水印的形状一致的张量,并对所述张量进行随机初始化,得到扰动;
攻击样本确定单元,用于将所述扰动添加至所述水印样本中,得到攻击样本;
攻击单元,用于对所述攻击样本进行攻击,得到所述攻击成功的扰动。
13.根据权利要求12所述的装置,所述攻击单元,用于:
将所述攻击样本输入到所述待保护网络模型中,得到所述待保护网络模型针对所述攻击样本的输出结果的置信度;
基于所述攻击样本的输出结果的置信度,得到损失值;
基于所述损失值更新所述攻击样本的像素值,得到新的攻击样本;
将所述新的攻击样本输入到所述待保护网络模型中,得到所述待保护网络模型针对所述新的攻击样本的输出结果;
在所述新的攻击样本的输出结果与所述攻击样本的输出结果之间的差异不满足目标差异要求的情况下,将所述新的攻击样本作为所述攻击样本并返回执行所述将所述攻击样本输入到所述待保护网络模型中,得到所述待保护网络模型针对所述攻击样本的输出结果的置信度的步骤,直至确定攻击成功为止;
在所述新的攻击样本的输出结果与所述攻击样本的输出结果之间的差异满足所述目标差异要求的情况下,确定攻击成功,并确定所述新的攻击样本和所述目标样本之间的差异作为所述攻击成功的扰动。
16.根据权利要求9-11、13-14中任一项所述的装置,所述参数调整模块还用于:
在所述目标模型的性能指标不满足预设要求的情况下,返回执行所述对所述目标样本进行攻击,得到攻击成功的扰动的步骤,直至所述目标模型的性能指标满足所述预设要求为止。
17.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的方法。
18.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行权利要求1-8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210927547.0A CN115330579B (zh) | 2022-08-03 | 2022-08-03 | 模型水印的构建方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210927547.0A CN115330579B (zh) | 2022-08-03 | 2022-08-03 | 模型水印的构建方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115330579A CN115330579A (zh) | 2022-11-11 |
CN115330579B true CN115330579B (zh) | 2023-06-23 |
Family
ID=83922099
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210927547.0A Active CN115330579B (zh) | 2022-08-03 | 2022-08-03 | 模型水印的构建方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115330579B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11138964B2 (en) * | 2019-10-21 | 2021-10-05 | Baidu Usa Llc | Inaudible watermark enabled text-to-speech framework |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114331829A (zh) * | 2021-09-03 | 2022-04-12 | 腾讯科技(深圳)有限公司 | 一种对抗样本生成方法、装置、设备以及可读存储介质 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110222831B (zh) * | 2019-06-13 | 2022-05-17 | 百度在线网络技术(北京)有限公司 | 深度学习模型的鲁棒性评估方法、装置及存储介质 |
CN110717522A (zh) * | 2019-09-18 | 2020-01-21 | 平安科技(深圳)有限公司 | 图像分类网络的对抗防御方法及相关装置 |
CN112907552B (zh) * | 2021-03-09 | 2024-03-01 | 百度在线网络技术(北京)有限公司 | 图像处理模型的鲁棒性检测方法、设备及程序产品 |
CN113076557B (zh) * | 2021-04-02 | 2022-05-20 | 北京大学 | 一种基于对抗攻击的多媒体隐私保护方法、装置及设备 |
CN114445663A (zh) * | 2022-01-25 | 2022-05-06 | 百度在线网络技术(北京)有限公司 | 检测对抗样本的方法、装置及计算机程序产品 |
CN114511756A (zh) * | 2022-01-25 | 2022-05-17 | 百度在线网络技术(北京)有限公司 | 基于遗传算法的攻击方法、装置及计算机程序产品 |
CN114549933A (zh) * | 2022-02-21 | 2022-05-27 | 南京大学 | 基于目标检测模型特征向量迁移的对抗样本生成方法 |
CN114648673A (zh) * | 2022-03-01 | 2022-06-21 | 北京百度网讯科技有限公司 | 对抗样本的生成方法和装置 |
CN114565513A (zh) * | 2022-03-15 | 2022-05-31 | 北京百度网讯科技有限公司 | 对抗图像的生成方法、装置、电子设备和存储介质 |
-
2022
- 2022-08-03 CN CN202210927547.0A patent/CN115330579B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114331829A (zh) * | 2021-09-03 | 2022-04-12 | 腾讯科技(深圳)有限公司 | 一种对抗样本生成方法、装置、设备以及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115330579A (zh) | 2022-11-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110222831B (zh) | 深度学习模型的鲁棒性评估方法、装置及存储介质 | |
CN112907552B (zh) | 图像处理模型的鲁棒性检测方法、设备及程序产品 | |
CN111832437A (zh) | 建筑图纸识别方法、电子设备及相关产品 | |
CN113435583A (zh) | 基于联邦学习的对抗生成网络模型训练方法及其相关设备 | |
WO2019146057A1 (ja) | 学習装置、実写画像分類装置の生成システム、実写画像分類装置の生成装置、学習方法及びプログラム | |
CN112232426A (zh) | 目标检测模型的训练方法、装置、设备及可读存储介质 | |
WO2014176056A2 (en) | Data classification | |
CN111401521A (zh) | 神经网络模型训练方法及装置、图像识别方法及装置 | |
CN115330579B (zh) | 模型水印的构建方法、装置、设备及存储介质 | |
CN115456167B (zh) | 轻量级模型训练方法、图像处理方法、装置及电子设备 | |
CN114187483A (zh) | 生成对抗样本的方法、检测器的训练方法及相关设备 | |
CN115147680B (zh) | 目标检测模型的预训练方法、装置以及设备 | |
CN116403083A (zh) | 图像的处理方法、装置、电子设备及存储介质 | |
CN116467710A (zh) | 一种面向不平衡网络的恶意软件检测方法 | |
KR101700030B1 (ko) | 사전 정보를 이용한 영상 물체 탐색 방법 및 이를 수행하는 장치 | |
JP2020047010A (ja) | 情報推定装置及び情報推定方法 | |
CN117134958A (zh) | 用于网络技术服务的信息处理方法及系统 | |
CN115346072A (zh) | 图像分类模型的训练方法及装置、电子设备和存储介质 | |
CN113610904B (zh) | 3d局部点云对抗样本生成方法、系统、计算机及介质 | |
CN114241411B (zh) | 基于目标检测的计数模型处理方法、装置及计算机设备 | |
CN115601629A (zh) | 模型训练方法、图像识别方法、介质、装置和计算设备 | |
CN112861601A (zh) | 生成对抗样本的方法及相关设备 | |
CN116109991B (zh) | 模型的约束参数确定方法、装置及电子设备 | |
CN117592550B (zh) | 一种图神经网络模型黑盒攻击方法及装置 | |
CN116089722B (zh) | 基于图产出标签的实现方法、装置、计算设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |