CN115482139A - 一种可溯源的深度学习模型黑盒水印方案 - Google Patents

一种可溯源的深度学习模型黑盒水印方案 Download PDF

Info

Publication number
CN115482139A
CN115482139A CN202210872190.0A CN202210872190A CN115482139A CN 115482139 A CN115482139 A CN 115482139A CN 202210872190 A CN202210872190 A CN 202210872190A CN 115482139 A CN115482139 A CN 115482139A
Authority
CN
China
Prior art keywords
equal
watermark
logo
less
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210872190.0A
Other languages
English (en)
Inventor
张盈谦
钟宽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen University Tan Kah Kee College
Original Assignee
Xiamen University Tan Kah Kee College
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen University Tan Kah Kee College filed Critical Xiamen University Tan Kah Kee College
Priority to CN202210872190.0A priority Critical patent/CN115482139A/zh
Publication of CN115482139A publication Critical patent/CN115482139A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T1/00General purpose image data processing
    • G06T1/0021Image watermarking
    • G06T1/0042Fragile watermarking, e.g. so as to detect tampering

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Editing Of Facsimile Originals (AREA)

Abstract

本发明涉及计算机应用技术领域,具体为一种可溯源的深度学习模型黑盒水印方案。提出一种能够验证深度模型身份的黑盒水印方案。主要方法是利用图像水印算法生成触发集,形成一种高效的,触发集可溯源可再现的深度模型黑盒水印方案,解决模型身份识别问题、解决当前智能模型水印方案和所有权声称攻击问题。通过添加随机噪声或使用深度网络生成的触发集图片难以复现。即使能够复现的情形下,也无法对其进行溯源和验证身份。在触发集丢失的情形下,通过密钥和原始触发图片,仍能复现触发集。这有效的提高了方案的可靠性。

Description

一种可溯源的深度学习模型黑盒水印方案
技术领域
本发明涉及计算机应用技术领域,具体为一种可溯源的深度学习模型黑 盒水印方案。
背景技术
目前随着人工智能领域的突破进展,在图像分类、语音识别等领域取得 了很大的进展。以深度学习为代表的人工智能技术已经在商业层面得到应 用,并融入到人们的生活中,如人脸识别,医学图像处理等。深度学习模型 作为深度学习技术的成果结晶,其训练过程需要耗费大量的人力物力资源。 例如自然语言处理领域的深度模型GPT-3,其训练过程耗资1200万美元。为 了训练得到高性能深度模型,首先需要由专家设计出模型网络结构,其次需 要收集大量训练样本,在经过数据标注后作为训练数据,训练过程需要耗费 算力,很多大规模模型的训练需要耗费的算力非常惊人。此外,为得到高性 能模型,在超参数优化过程中可能需要进行多次训练,这个过程包含了大量 的时间成本(试错成本)。这些因素共同构成了高性能模型的高额成本。然 而,经过精心训练得到的高性能模型一旦被拷贝盗用,将会给模型所有者带 来很大的经济损失。因此如何验证并保护深度学习模型的所有权就成为了一 个热点问题。现有的保障模型安全的水印方案大体上可以分为两类:白盒水印方案和黑盒水印方案。
现有白盒水印算法具有明显的缺陷:使用场景受限,提取水印困难。白 盒水印方案的使用前提是:在检测和提取水印时能够接触到完整的深度模型 参数。然而在大多数情形下,深度模型一般部署在服务器端,第三方无法直 接接触到模型参数细节等;即使在能接触到智能模型参数的情形下,也需要 读懂源程序,水印提取过程较为复杂。此外,大部分的白盒水印算法容易受 到统计推理攻击。因此很多学者转向对黑盒水印的研究。黑盒水印的基本原 理是,利用一组带有独特特征的样本,通过训练过程使得深度模型学习到这 组样本集合的独特特征,在水印提取时通过验证独特特征来证明深度模型的 所有权。这些带有独特特征的训练样本集合也被称之为触发集。触发集的独 特特征体现在两个方面:触发集设计和水印标注。触发集设计往往是通过对 原始图像添加徽章或者一定的噪声生成触发集图片。水印标注指的是对触发 集进行重新标注,标注后的标签与原始正确标签不一致。触发集设计和标注 共同构成了模型水印的独特性。
在触发集设计上,黑盒水印方案中触发集图片往往是在原始的图片上添 加一定的徽标或者一定的随机噪声,例如Zhang等人提出的三种水印图片生 成机制(WMcontent、WMunrelated、WMnoise)。
现有的触发集设计上,都存在以下问题:
(1)触发集图片的特征具有极大的泛化性,针对通过添加徽标的触发集 生成机制,该特征具备极大的泛化性,攻击者可以很容易理解并设计出相似 的触发集,因此可能遭受到欺诈性所有权攻击(指通过伪造相似的触发集, 达到欺诈并宣称所有权归属的目的)。
(2)触发集不具备可溯源性。在黑盒水印方案中,在提取水印验证模型 身份时,需要通过公开端口将触发集输入到部署了目标模型的服务器端,因 而可能导致触发集泄露。而一旦触发集泄露,触发集的所有权无法得到验证。 攻击者可以利用窃取的触发集,通过远程服务API实现对深度模型的访问, 可以得到触发集的特定标注,从而实现对模型知识产权的窃取。现有的方案 都无法应对触发集泄露的情形,只有实现对触发集的溯源,才能阻止攻击者 利用非法获取的触发集窃取模型的所有权。
(3)触发集作为密钥,不具备可再现性。通过添加各种随机噪声、手动 制作或基于GAN网络等生成机制生成的触发集,无法通过触发集生成机制重 新产生。由于深度学习黑盒水印的特点,触发集是提取水印不可或缺的组成。 而如果触发集不具备可复现性,意味着在模型训练完成,模型水印嵌入后, 一旦触发集丢失,即使是所有者也无法验证深度学习模型所有权的归属。不 具备可再现性的水印方案在实用性上存在不足。
发明内容
提出一种能够验证深度模型身份的黑盒水印方案。主要方法是利用图像 水印算法生成触发集,形成一种高效的,触发集可溯源可再现的深度模型黑 盒水印方案,解决模型身份识别问题、解决当前智能模型水印方案和所有权 声称攻击问题。
发明方案如下:
本发明中提出的方案属于黑盒水印方案。本发明包括水印嵌入算法和水 印提取算法。在水印嵌入算法中,生成可溯源的触发集,通过模型的训练过 程使得模型学习到触发集特征,完成对深度学习模型的水印嵌入。在水印提 取算法中,将触发集通过远程API端口载入到目标模型中,通过对比输出预 测标签和预设标签,完成水印提取,以验证模型的所有权和身份。此外,通 过将从触发集样本图片中提取嵌入的Logo图像,能够验证触发集的身份,实 现对触发集的溯源,保护了模型的所有权。
一种可溯源的深度学习模型黑盒水印方案,包括图像水印嵌入算法、图像 水印提取算法和深度学习模型水印嵌入算法。
如图1所示,深度学习模型水印嵌入算法过程为:
假设有一个m分类问题,数据标签以li表示,其中,1≤i≤m,数据标签的集合为
Figure BDA0003761366680000031
黑盒水印方案中水印嵌入算法按如下:
输入:训练集Dtrain,水印长度n,密钥
Figure BDA0003761366680000032
logo图S,阈值Th,嵌入因子IF,
输出:带水印的深度学习模型Fθ,触发集D′wm={N′k|1≤k≤n},其中N′k=(I′k,L′k)
1)从训练集Dtrain中选取n个样本{Nk|1≤k≤n}作为原始触发集Dwm,对于样本Nk=(Ik,Lk),1≤k≤n,Ik是对应的原始触发图片,Lk是对应的原始标 签,1≤k≤n,其中
Figure BDA0003761366680000041
即所有触发器集标签的并集是m个标签集合 的子集,
2)将原始触发集中的n个样本Nk=(Ik,Lk),将原始触发图片Ik作为载原 始载体图C,分别使用本专利中提出的图像水印嵌入算法,将logo图Ilogo分别 嵌入到每张样本图片Ik中,生成对应的水印图片I′k
3)密钥key是新分配的标签序列
Figure BDA0003761366680000042
为每个样本Nk分配新的标签L′k,并确保了L′k与其原始标签Lk不相同,且
Figure BDA0003761366680000043
4)步骤2中产生的水印图片集与在步骤3中分配的预设标签,组成触发 集样本集D′wm={N′k|1≤k≤n},其中触发样本N′k=(I′k,L′k),1≤k≤n,
5)将触发集D′wm={N′k|1≤k≤n}和训练集共同作为训练数据,对模型网络 进行训练,训练完成的模型即为带水印的模型Fθ
图像水印嵌入算法过程为:
载体图是水印宿主媒介,Logo图是代表着所有者的图像水印,原始图与 Logo图的尺寸均为N×N,图像水印嵌入算法是将Logo图像嵌入到载体图 的算法;
输入:原始载体图C,logo图S,阈值Th,嵌入因子IF,
输出:带水印图S′,
1)对载体图片C进行正向离散哈达玛变换,得到的尺寸为N×N的哈达 玛系数矩阵HC,
2)Logo图像S中第i行第j列的像素值记为S(i,j),对每个像素值S(i,j), 根据公式S(i,j)=S(i,j)*IF进行缩放;缩放后的矩阵像素值范围为[0,255*IF], 为了满足嵌入值的范围[0,255*IF]在[0,Th]范围内,因此IF的理论最大值为 Th/255;
3)系数矩阵HC中既包含正系数也包含负系数,所以根据系数的正负性, 对正负系数采用不同的嵌入方式,系数矩阵HC中第i行第j列的系数记为 HC(i,j),在系数矩阵选定的嵌入区域{1≤i≤N,1≤j≤N},对H(i,j)进行如下运算:
Figure BDA0003761366680000052
式中,Rem函数为取余(rem)运算;
4)对嵌入后的系数矩阵HC进行逆向离散哈达玛变换,得到矩阵S′,再 对矩阵值进行取整运算,得到了带水印图像S′;
如图2所示,图像水印提取算法过程为:
输入:带水印图像S′,参数IF和Th,
输出:提取Logo图像S,
1)对带水印图片S′进行正向离散哈达玛变换,得到对应的尺寸为N×N的 系数矩阵HC
2)系数矩阵HC中第i行第j列的系数记为HC(i,j),对于系数矩阵HC中 选定的嵌入区域{1≤i≤N,1≤j≤N}中系数HC(i,j),首先进行取绝对值运算: HC(i,j)=Abs(HC(i,j)),再从系数值HC(i,j)中提取出对应的提取值S(i,j):
Figure BDA0003761366680000061
式中,HC(i,j)%Th表示系数值HC(i,j)对Th进行取模(mod)运算,
3)对步骤2中得到的提取值S(i,j),1≤i≤w,1≤j≤h,使用公式 S(i,j)=S(i,j)/I进行缩放,再进行取整运算,最终得到提取Logo图片S;
深度学习模型水印提取算法
输入:触发集D′wm={N′k|1≤k≤n},密钥
Figure BDA0003761366680000062
阈值Th,嵌入因子IF,输出:深度学习模型水印提取率,提取图像Logo图I′logo
1)将触发集D′wm={N′k|1≤k≤n}载入模型中,对每个样本N′k=(I′k,L′k)中的图片I′k得到对应的输出预测标签P′k
2)载入作为密钥的预设标签,对每个样本Nk,1≤k≤n,将步骤1中得 到的输出预测标签P′k与作为密钥的预设标签L′k进行对比,统计预测标签与预 设标签相等的样本个数cnt,即P′k==L′k
3)水印提取率为模型在触发集上的准确率,即cnt/n;
4)将触发集D′wm={N′k|1≤k≤n}中的n个样本N′k=(I′k,L′k)的图片I′k作为 带水印图像S′,分别输入本专利中提出的图像水印嵌入算法中,得到提取水 印,将n个提取的水印图叠加,得到最终提取Logo图I′logo。将最终提取logo 图I′logo与原始logo图Ilogo进行对比,即可证明触发集的身份。
本发明有益效果:
1.提出了一种有效的用于证明深度学习模型身份的黑盒水印方案
该技术提出的触发集生成机制,可以有效地生成可溯源的触发集,在不 损失模型精度的情况下,实现对深度模型水印的嵌入。可以通过远程调用API 服务,利用少量的查询进行水印的提取,进而确定智能模型所有者身份。该 方法使用过程无需接触到具体的深度模型参数。在实际应用如司法取证时, 从技术上验明模型身份的过程变得异常简单,只需要对比输出的标签分类结 果是否与预期结果一致。
2.保证了对触发集的溯源和复现,提高了现有黑盒水印方案的安全性和 可靠性。该方案的提出能有效地提高安全性和可用性。由于现阶段设计的触 发集图片往往是将图片与特定的扰动叠加在一起,生成的触发集作为密钥, 在触发集泄露的情形下,无法对泄露的触发集进行溯源和验证身份,攻击者 可以利用窃取的触发集进行欺诈性所有权攻击。本专利利用一种图像水印机 制生成触发集图片,能够保证在触发集泄露的情况下验证触发集的身份。即 使发生触发集被伪造或被窃取等情况,在调查取证时,可以根据从触发集图 片中提取出的图像水印信息,进而验证触发集所有权。攻击者无法利用带有 图像水印的触发集进行欺诈性所有权攻击。此外,通过添加随机噪声或使用 深度网络生成的触发集图片难以复现。即使能够复现的情形下,也无法对其 进行溯源和验证身份。在触发集丢失的情形下,通过密钥和原始触发图片, 仍能复现触发集。这有效的提高了方案的可靠性。
3.有利于深度学习智能模型的商业化和模型泄露时的溯源
该方案的提出有助于深度学习智能模型的商业化进程和模型泄露时的 溯源。假设利用我们的深度模型黑盒水印方案,通过更换嵌入Logo图和密钥, 能够高效地产生多个不同的水印,对每一个用户提供唯一的水印,这能够高 效地解决深度学习智能模型水印的商业化问题。假设深度学习智能模型被盗 取或者发生模型泄露问题,水印的唯一性能够帮助我们快速找到模型泄露的 源头,从而维护模型所有者的正当权益。假设一个深度学习模型同时授权给 多个用户,那么,如果其中一个用户的模型被盗取,我们可以根据提取出的水印和分配水印的记录快速定位到该用户。
附图说明
图1深度学习模型水印嵌入算法流程图。
图2图像水印提取算法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种技术方案:
在目前的黑盒水印方案中,关键在于产生一个称为触发集的特殊样本集。 触发集作为训练数据的一部分用于训练过程,通过训练使得模型在学习到基 本功能的前提下,也学习到独特触发集的特征。在模型水印提取阶段,模型 学习到的独特特征用于证明对模型的所有权。
然而现阶段,触发集的设计存在很大的缺陷,无法对生成的触发集进行 溯源,且在丢失的情形下无法复现。因此我们决定对触发集进行图像水印嵌 入,弥补现阶段黑盒水印方案的不足。通过水印嵌入带来的失真作为触发集 的特殊特征,在模型水印提取时,验证模型的身份。通过嵌入触发集图片中 的水印信息,验证触发集的所有权。解决在触发集被盗取的情形下,关于触 发集身份的纠纷。
假设有一个m分类问题,数据标签以li表示,其中,1≤i≤m,数据标签的集合为
Figure BDA0003761366680000081
本专利提出的黑盒水印方案中触发集生成步骤按如下:
1)选取n个样本{Nk|1≤k≤n}作为原始触发集Dwm,对于样本 Nk=(Ik,Lk),1≤k≤n,Ik是对应的原始触发图片,Lk是对应的原始标签, 1≤k≤n。其中
Figure BDA0003761366680000091
即所有触发器集标签的并集是m个标签集合的子 集。
2)对原始触发集使用本专利中提出的图像水印嵌入算法(算法1),以 每个样本Nk中的触发集图片Ik作为原始图片,将logo图Ilogo分别嵌入到每张 样本图片中,生成对应的水印图片I′k
3)为每个样本Nk分配新的标签L′k,并确保了L′k与其原始标签Lk不相同,且有
Figure BDA0003761366680000092
新分配的标签序列将作为密钥。
4)步骤2中产生的水印图片集与在步骤3中分配的预设标签,组成 触发集样本集D′wm={N′k|1≤k≤n},其中触发样本N′k=(I′k,L′k),1≤k≤n。
本发明提出的黑盒水印方案中模型水印的提取过程如下:
1)将触发集D′wm={N′k|1≤k≤n}载入模型中,对每个样本N′k=(I′k,L′k)中 的图片I′k得到对应的输出预测标签P′k
2)载入作为密钥的预设标签,对每个样本Nk,1≤k≤n,将步骤1中得 到的输出预测标签P′k与作为密钥的预设标签L′k进行对比。
对触发集进行验证溯源的步骤如下:
1)应用本专利中提出的图像水印提取算法(算法2),从触发集图片中 提取得到提取Logo图I′logo
2)将步骤1中得到的提取logo图I′logo与原始logo图Ilogo进行对比,即可 证明触发集的身份。
水印嵌入算法(算法1)伪代码:
嵌入算法中需要用到的原始载体图像既可以是灰度图,也可以是彩色图 像。对于灰度图,可以直接应用该嵌入算法;对于彩色图像,可以分别对三 个通道使用嵌入算法分别进行嵌入。Logo图是代表着所有者水印信息的载 体。原始图与Logo图的尺寸均为N×N。
输入:原始载体图C,logo图S,阈值Th,嵌入因子IF
输出:带水印图S′
1)对载体图片C进行正向离散哈达玛变换,得到的尺寸为N×N的哈 达玛系数矩阵HC。
2)Logo图像S中第i行第j列的像素值记为S(i,j),对每个像素值S(i,j), 根据公式S(i,j)=S(i,j)*IF进行缩放。缩放后的矩阵像素值范围为[0,255*IF], 为了满足嵌入值的范围[0,255*IF]在[0,Th]范围内,因此IF的理论最大值为 Th/255。
3)系数矩阵HC中既包含正系数也包含负系数,所以根据系数的正负性, 对正负系数采用不同的嵌入方式,系数矩阵HC中第i行第j列的系数记为 HC(i,j),在系数矩阵选定的嵌入区域{1≤i≤N,1≤j≤N},对HC(i,j)进行如下运 算:
Figure BDA0003761366680000101
式中,Rem函数为取余(rem)运算。
4)对嵌入后的系数矩阵HC进行逆向离散哈达玛变换,得到矩阵S′,再对 矩阵值进行取整运算。得到了带水印图像S′。
水印提取算法(算法2)伪代码:
输入:带水印图像S′,参数IF和Th
输出:提取Logo图像S
1)对带水印图片S′进行正向离散哈达玛变换,得到对应的尺寸为N×N的系 数矩阵HC
2)系数矩阵HC中第i行第j列的系数记为HC(i,j),对于系数矩阵HC中选 定的嵌入区域{1≤i≤N,1≤j≤N}中系数HC(i,j),首先进行取绝对值运算: HC(i,j)=Abs(HC(i,j)),再从系数值HC(i,j)中提取出对应的提取值S(i,j):
Figure BDA0003761366680000112
式中,HC(i,j)%Th表示系数值HC(i,j)对Th进行取模(mod)运算。
3)对步骤2中得到的提取值S(i,j),1≤i≤w,1≤j≤h,使用公式 S(i,j)=S(i,j)/IF进行缩放,再进行取整运算,最终得到提取Logo图片S。
在本发明的描述中,需要理解的是,术语“同轴”、“底部”、“一端”、“顶 部”、“中部”、“另一端”、“上”、“一侧”、“顶部”、“内”、“前部”、“中央”、“两 端”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便 于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特 定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明中,除非另有明确的规定和限定,术语“安装”、“设置”、“连 接”、“固定”、“旋接”等术语应做广义理解,例如,可以是固定连接,也可以 是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接 相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元 件的相互作用关系,除非另有明确的限定,对于本领域的普通技术人员而言, 可以根据具体情况理解上述术语在本发明中的具体含义。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而 言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行 多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限 定。

Claims (1)

1.一种可溯源的深度学习模型黑盒水印方案,其特征在于:
包括水印嵌入算法和水印提取算法,在水印嵌入算法中,生成可溯源的触发集,通过模型的训练过程使得模型学习到触发集特征,完成对深度学习模型的水印嵌入,在水印提取算法中,将触发集通过远程API端口载入到目标模型中,通过对比输出预测标签和预设标签,完成水印提取,以验证模型的所有权和身份,
水印嵌入算法的过程为:
假设有一个m分类问题,数据标签以li表示,其中,1≤i≤m,数据标签的集合为
Figure FDA0003761366670000011
水印嵌入算法步骤按如下:
输入:训练集Dtrain,水印长度n,密钥
Figure FDA0003761366670000012
logo图Ilogo,其他参数包括阈值Th和嵌入因子IF,
输出:带水印的深度学习模型Fθ,触发集D′wm={N′k|1≤k≤n},其中N′k=(I′k,L′k)
1)从训练集Dtrain中选取n个样本{Nk|1≤k≤n}作为原始触发样本集Dwm,对于样本Nk=(Ik,Lk),1≤k≤n,Ik是对应的原始触发图片,Lk是对应的原始标签,1≤k≤n,其中
Figure FDA0003761366670000013
即所有触发器集标签的并集是m个标签集合的子集,
2)将原始触发集Dwm中的n个样本Nk=(Ik,Lk),将原始触发图片Ik作为载原始载体图C,分别使用本专利中提出的图像水印嵌入算法,将logo图Ilogo分别嵌入到每张样本图片Ik中,生成对应的水印图片I′k
3)重新标注,密钥key是新分配的预设标签序列
Figure FDA0003761366670000021
对1≤k≤n,为每个样本Nk分配新的标签L′k,并确保了L′k与其原始标签Lk不相同,且
Figure FDA0003761366670000022
将作为密钥的预设标签序列逐个分配给每个样本Nk,完成对触发样本的重新标注,
4)步骤2中产生的水印图片集在经过步骤3的重新标注后,组成了触发集样本集D′wm={N′k|1≤k≤n},其中触发样本N′k=(I′k,L′k),1≤k≤n,
5)将触发集D′wm={N′k|1≤k≤n}和训练集Dtrain共同作为训练数据集,对模型网络进行训练,训练完成的模型即为带水印的深度学习模型Fθ
图像水印嵌入算法过程为:
载体图是水印宿主媒介,Logo图是代表着所有者信息的图像水印,原始图与Logo图的尺寸均为N×N,图像水印嵌入算法是将Logo图像嵌入到载体图的算法;
输入:原始载体图C,logo图S,阈值Th,嵌入因子IF,
输出:带水印图S′,
1)对载体图片C进行正向离散哈达玛变换,得到的尺寸为N×N的哈达玛系数矩阵HC,
2)Logo图像S中第i行第j列的像素值记为S(i,j),对每个像素值S(i,j),根据公式S(i,j)=S(i,j)*IF进行缩放;缩放后的矩阵像素值范围为[0,255*IF],为了满足嵌入值的范围[0,255*IF]在[0,Th]范围内,因此IF的理论最大值为Th/255;
3)系数矩阵HC中既包含正系数也包含负系数,所以根据系数的正负性,对正负系数采用不同的嵌入方式,系数矩阵HC中第i行第j列的系数记为HC(i,j),在系数矩阵选定的嵌入区域{1≤i≤N,1≤j≤N},对HC(i,j)进行如下运算:
Figure FDA0003761366670000031
式中,Rem函数为取余(rem)运算;
4)对嵌入后的系数矩阵HC进行逆向离散哈达玛变换,得到矩阵S′,再对矩阵值进行取整运算,得到了带水印图像S′;
水印提取算法用于验证目标模型的所有权,水印提取算法的过程为:
输入:触发集D′wm={N′k|1≤k≤n},密钥
Figure FDA0003761366670000032
阈值Th,嵌入因子IF,
输出:深度学习模型水印提取率,提取图像Logo图I′logo
1)将触发集D′wm={N′k|1≤k≤n}通过服务API端口载入到目标模型中,对1≤k≤n,每个样本N′k=(I′k,L′k)中的图片I′k得到对应的输出预测标签P′k
2)载入作为密钥的预设标签,对每个样本Nk,1≤k≤n,将步骤1中得到的输出预测标签P′k与作为密钥的预设标签L′k进行对比,统计预测标签与预设标签相等的样本个数cnt,即P′k==L′k,深度学习模型的水印提取率为模型在触发集上的准确率,即cnt/n;
3)将触发集D′wm={N′k|1≤k≤n}中的n个样本N′k=(I′k,L′k)的图片I′k作为带水印图像S′,分别输入本专利中提出的图像水印提取算法中,得到提取Logo图,将n个提取Logo图进行叠加并取平均值,得到最终提取Logo图I′logo,通过对比提取logo图I′logo与原始logo图Ilogo,即可证明触发集的身份,实现对触发集的溯源,
图像水印提取算法过程为:
输入:带水印图像S′,参数IF和Th,
输出:提取Logo图像S,
1)对带水印图片S′进行正向离散哈达玛变换,得到对应的尺寸为N×N的系数矩阵HC
2)系数矩阵HC中第i行第j列的系数记为HC(i,j),对于系数矩阵HC中选定的嵌入区域{1≤i≤N,1≤j≤N}中系数HC(i,j),首先进行取绝对值运算:HC(i,j)=Abs(HC(i,j)),再从系数值HC(i,j)中提取出对应的提取值S(i,j):
Figure FDA0003761366670000041
式中,HC(i,j)%Th表示系数值HC(i,j)对Th进行取模(mod)运算,
3)对步骤2中得到的提取值S(i,j),1≤i≤w,1≤j≤h,使用公式
Figure FDA0003761366670000042
进行缩放,再进行取整运算,最终得到提取Logo图片S。
CN202210872190.0A 2022-07-23 2022-07-23 一种可溯源的深度学习模型黑盒水印方案 Pending CN115482139A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210872190.0A CN115482139A (zh) 2022-07-23 2022-07-23 一种可溯源的深度学习模型黑盒水印方案

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210872190.0A CN115482139A (zh) 2022-07-23 2022-07-23 一种可溯源的深度学习模型黑盒水印方案

Publications (1)

Publication Number Publication Date
CN115482139A true CN115482139A (zh) 2022-12-16

Family

ID=84421373

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210872190.0A Pending CN115482139A (zh) 2022-07-23 2022-07-23 一种可溯源的深度学习模型黑盒水印方案

Country Status (1)

Country Link
CN (1) CN115482139A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116128700A (zh) * 2023-03-29 2023-05-16 中国工程物理研究院计算机应用研究所 一种基于图像固有特征的模型水印植入和验证方法及系统
CN116611037A (zh) * 2023-05-19 2023-08-18 河北科技大学 深度神经网络黑盒水印方法、装置及终端

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116128700A (zh) * 2023-03-29 2023-05-16 中国工程物理研究院计算机应用研究所 一种基于图像固有特征的模型水印植入和验证方法及系统
CN116128700B (zh) * 2023-03-29 2023-09-12 中国工程物理研究院计算机应用研究所 一种基于图像固有特征的模型水印植入和验证方法及系统
CN116611037A (zh) * 2023-05-19 2023-08-18 河北科技大学 深度神经网络黑盒水印方法、装置及终端
CN116611037B (zh) * 2023-05-19 2023-11-03 河北科技大学 深度神经网络黑盒水印方法、装置及终端

Similar Documents

Publication Publication Date Title
Amrit et al. Survey on watermarking methods in the artificial intelligence domain and beyond
Mahto et al. A survey of color image watermarking: State-of-the-art and research directions
Wazirali et al. An optimized steganography hiding capacity and imperceptibly using genetic algorithms
Wang et al. A robust blind color image watermarking in quaternion Fourier transform domain
Zhao et al. Forensic analysis of nonlinear collusion attacks for multimedia fingerprinting
Chen et al. A fuzzy c-means clustering-based fragile watermarking scheme for image authentication
Wang et al. Anti-collusion forensics of multimedia fingerprinting using orthogonal modulation
CN115482139A (zh) 一种可溯源的深度学习模型黑盒水印方案
Yuan et al. Multiscale fragile watermarking based on the Gaussian mixture model
Li et al. Protecting the intellectual property of deep neural networks with watermarking: The frequency domain approach
Ulutas et al. A new copy move forgery detection method resistant to object removal with uniform background forgery
Sahu et al. Dual image-based reversible fragile watermarking scheme for tamper detection and localization
CN110223213B (zh) 一种gd-pbibd编码的矢量空间数据数字指纹方法
Woo Digital image watermarking methods for copyright protection and authentication
Ouyang et al. A semi-fragile watermarking tamper localization method based on QDFT and multi-view fusion
Veerashetty Secure communication over wireless sensor network using image steganography with generative adversarial networks
Chanchal et al. A comprehensive survey on neural network based image data hiding scheme
Su Color image watermarking: algorithms and technologies
CN113034332B (zh) 不可见水印图像、后门攻击模型构建、分类方法及系统
Rahardi et al. A Blind Robust Image Watermarking on Selected DCT Coefficients for Copyright Protection
Liu et al. Hiding functions within functions: Steganography by implicit neural representations
Conotter Active and passive multimedia forensics
CN108898537B (zh) 一种数字图像隐写方法
CN114630130B (zh) 一种基于深度学习的换脸视频溯源方法及系统
Pik-Wah Digital video watermarking techniques for secure multimedia creation and delivery

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination