文献综述|CV领域神经网络水印发展综述

前言:最近接触了「模型水印」这一研究领域,阅读几篇综述之后,大致了解了本领域的研究现状,本文就来总结一下该领域的一些基础知识,以飨读者。

⚠️注:本文中出现的研究工作均基于计算机视觉任务开展,因此本文重点介绍计算机视觉领域的水印技术。

目录

  • 概念
  • 现有工作分类
    • 水印嵌入角度
      • 构造特殊的输入样本(输入层)
      • 调整神经网络的结构或参数(中间层)
      • 标记神经网络的输出结果(输出层)
    • 水印提取角度
      • 白盒水印
        • 基于内部权重的白盒水印
        • 基于内部结构的白盒水印
        • 基于组合验证的白盒水印方法
      • 黑盒水印
        • 基于分类任务的黑盒水印方法
        • 2.2 基于图像处理任务的黑盒水印方法
      • 灰盒水印
      • 无盒水印
    • 水印容量角度
  • 评价指标
  • 水印攻击方法
  • 总结与展望

概念

数字水印是一种将特定信息(又称水印)隐藏在数字信号中、不影响信号使用价值的技术。若要拷贝载有水印的信号,则水印也会一并被拷贝。如果水印包含了信号拥有者和来源等信息,一旦信号被泄露,通过在泄露的信号中重构水印,可确定信号的版权。显然,通过向神经网络模型嵌入水印可以用来保护神经网络模型的知识产权,简称神经网络模型水印。模型水印就是利用神经网络模型参数的冗余,嵌入模型版权的相关信息。

在这里插入图片描述

现有工作分类

从神经网络结构看,主流方法多针对卷积神经网络,其原因在于卷积神经网络的应用更为广泛和成功,且一些适用于卷积神经网络的模型水印技术能够扩展到其他网络。

从神经网络的任务看,主流方法多面向分类模型和生成模型,前者预测样本的类别,后者依据学习到的知识,生成新的样本。

此外,还可从水印嵌入、水印提取以及水印容量等角度对现有工作进行分类。

水印嵌入角度

构造特殊的输入样本(输入层)

利用神经网络在特殊样本集上的预期输出承载水印。例如,文献[2]对输入添加特定的模式,并通过更改标签,使神经网络学习到特定的模式,建立起特定的模式与更改后的标签之间的对应关系,水印检测时,依据目标神经网络在添加有特定模式的样本集上的输出结果来确定产权,相关工作还包括标签扩容[3]、对抗样本[4]等。

调整神经网络的结构或参数(中间层)

通过修改神经网络的结构或参数来承载水印。例如,文献[1]通过添加关联水印的正则化项使神经网络在训练的过程中将水印自动嵌入在模型的参数当中,在此基础上,文献[5]提出利用额外的神经网络改进水印嵌入和提取的性能。相关工作还包括抖动调制[6]、植入指纹[7]、补偿机制[8]和添加特殊层[9]等。

标记神经网络的输出结果(输出层)

通过调制神经网络的输出结果,达到承载水印的目的。例如,文献[10-12]都是对神经网络的输出图像添加水印,能够在输出图像中检测水印以鉴定产权。

许多修改网络参数的方法可归类为白盒水印,基于后门或对抗样本的方法多属于黑盒水印,通过对神经网络的输出添加水印则可以实现无盒认证。

水印提取角度

从水印提取的角度看,根据水印提取时是否需要模型的参与,模型水印可分为黑盒水印、白盒水印和无盒水印。

白盒水印

在白盒场景下,模型所有者在目标模型的内部嵌入水印;提取水印时,提取者能够访问目标网络的内部结构和参数,并能与之交互(输入/输出查询)。

在这里插入图片描述

基于内部权重的白盒水印

基于内部权重的白盒水印方法通过对神经网络模型中的权重进行修改以嵌入水印。权重是神经网络模型内部参数的一种,表示神经单元之间连接的强度,反映了输入对输出的影响程度。(嵌入水印的过程中模型的结构是不变的)

基于内部结构的白盒水印

由于在模型的内部权重中嵌入水印容易被攻击者移除和检测,从而使所有权保护失效,因此,研究者们提出了基于内部结构的白盒水印方法,即更改目标模型的内部结构来达到嵌入水印的目的。为抵抗通过改变 DNN 模型参数来去除水印的各种攻击,可采用网络剪枝(一种常用的通过剪枝冗余成分来减小DNN 规模的方法),也可在模型结构中添加一个额外的护照层,如在卷积层之后添加一个新的护照层,以起到数字签名的作用,解决模型受到的歧义性攻击问题。

基于组合验证的白盒水印方法

基于组合验证的方式是把水印分为2个部分, 一部分嵌入网络模型,另一部分由所有者保存,验证时将二者合二为一进行验证.

白盒水印方法经过几年的发展已经较为成熟, 但由于提取水印时需要了解模型的内部结构限制了此类方法的实际应用.黑盒水印方法通过访问 API 即可进行验证,但是由于黑盒水印方法修改了模型的训练数据集,因此 必然会对模型的准确性造成或多或少的影响.因此,在此类应用的模型保护 中,白盒水印方法由于可以在没有精度损失的情况下工作而受到关注.

黑盒水印

在黑盒场景下,提取者不能掌握可疑目标模型的内部结构和权重,只能通过 API 访问目标模型,从而获得特定的输出,验证模型的版权。

在这里插入图片描述

基于分类任务的黑盒水印方法

(1)仅通过标签更改构造触发集:标签更改是指对原始样本对应的正确标签进行修改,改为由版权所有者特定的与原始样本内容不符的标签。仅通过标签更改构造触发集属于零比特水印方法。

(2)通过在原始样本中嵌入信息和标签更改构造触发集,只对样本进行标签更改,不支持嵌入版权所有者的信息。

(3)通过添加新的类构造触发集:基于后门的黑盒 DNN 水印方法依赖于密钥样本,分配具有错误标签的密钥样本将不可避免地或多或少地扭曲原始决策边界。为此,通过在训练过程中对精心制作的密钥样本添加新的类标签对模型添加水印,最大限度地减少(甚至消除)原始决策边界扭曲的影响。

(4) 通过添加嵌入信息的附加样本构造触发集:根据嵌入不同用户的签名生成不同的触发集,微调嵌入水印后分发给对应的用户,可以达到溯源的目的。

(5) 其他方法:模型功能也可以通过模型提取来窃取,模型窃取是指攻击者通过API访问原始模型,然后使用返回的结果来训练替代模型。

2.2 基于图像处理任务的黑盒水印方法

基于分类任务中提出的所有黑盒水印方法都是应用于图像映射到标签的分类模型的版权保护中,但对于图像映射到图像的图像处理模型的保护却很少提及,如图像去噪、图像增强、 超分辨率、图像修复、风格转换等任务。如表3所示,图像处理模型与分类模型不同,因此,不能直接将分类模型的水印方法应用于图像处理模型。相对来说,图像处理模型的保护更具有挑战性。
在这里插入图片描述

灰盒水印

灰盒水印结合了白盒水印和黑盒水印方法的特点:既通过向模型的内部嵌入信息,又以黑盒的方式获得输出以验证模型版权。但与黑盒水印方法不同的是,黑盒水印方法的水印嵌入通过修改数据集,继而调整模型,实现在模型中嵌入水印,而灰盒水印方法则通过白盒思路直接在模型内部嵌入信息实现在模型中嵌入水印。

在这里插入图片描述

无盒水印

无盒水印是指提取者既不能完全掌握目标网络的细节,也不能与之交互,但能够通过目标网络的输出验证模型版权。
在这里插入图片描述

水印容量角度

水印容量表示深度模型可以嵌入的水印信息量。根据水印容量特性,可将深度模型水印技术分为零位水印和多位水印。零位水印技术是判断水印是否存在于深度模型中,进而达到验证深度模型版权的目的;多位水印技术则是提取深度模型中的多位字符串水印信息,实现深度模型版权的验证过程。


评价指标

由于神经网络要完成特定任务,肆意更改训练好的神经网络模型参数会导致神经网络在特定任务上的性能急剧下降,使神经网络失去商业价值。因此,神经网络模型水印技术首先要确保水印嵌入不会严重损害神经网络在特定任务上的性能,即任务保真度高。此外,借鉴多媒体水印技术的评价指标,神经网络模型水印还需要考虑:嵌入容量、唯一性(不能从未添加水印的任意神经网络模型中重构出水印)、高效性(嵌入/提取水印的计算代价)、可靠性/有效性(正确提取)、鲁棒性(抗攻击能力)、安全性(隐蔽性)、普适性和可扩展性等。

在这里插入图片描述


水印攻击方法

  • 移除攻击
    • 无意:模型压缩(剪枝,量化,低致近似,蒸馏);模型微调
    • 恶意:水印覆写(通过嵌入新的非法水印,对原水印造成破坏或导致取证模糊)
  • 混淆攻击/歧义攻击/模糊攻击/伪造攻击:伪造非法水印,破坏水印的唯一性,从而模糊模型的版权
  • 查询修改攻击:主要针对黑盒水印,破坏黑恶水印的触发集
  • 逃逸攻击:在水印存在的情况下,躲避模型版权的验证
  • 代理模型攻击:获得与含水印模型功能类似的模型
  • 共谋攻击:指纹不同的多个用户联合构建不含指纹的模型

在这里插入图片描述


总结与展望

从研究对象的角度看,神经网络是具有学习和推理功能的图信号。所以,神经网络模型水印本质上是对“功能”和“图信号”添加水印。在此基础上,可以衍生出「功能水印」和「图水印」两个概念。利用数字水印保护神经网络模型让受保护的神经网络从具有一个功能(原始任务)变成具有两个功能(原始任务、承载水印)或更多。因此,“功能水印”的内涵至少包含这一点:通过向神经网络植入新功能,将新功能作为“水印”,可用于保护产权。例如,文献[13]提出了“隐藏信息隐藏”新框架,同时保障了隐蔽通信中的“行为安全”和“内容安全”。由于向神经网络植入了新功能,故该成果也可用于保护神经网络模型的知识产权。就图水印而言,它是在不严重损害图信号价值的条件下,嵌入水印,水印多为图结构,也可以是数值序列,图水印已经在软件水印、社交网络水印方面取得了成功的应用 [14, 15],如何将图水印应用于神经网络模型,值得探索。


参考文献

[1] Yusuke Uchida, Yuki Nagai, Shigeyuki Sakazawa,Shin’ichi Satoh. Embedding watermarks into deep neural networks. Proc. ACM on International Conference onMultimedia Retrieval, pp. 269-277, 2017.

[2] Jialong Zhang, Zhongshu Gu, Jiyong Jang, Hui Wu,Marc Ph. Stoecklin, Heqing Huang, Ian Molloy. Protecting intellectual propertyof deep neural networks with watermarking. http://Proc.Asia Conference on Computer and Communications Security, pp. 159-172, 2018.

[3] Qi Zhang, Leo Yu Zhang, Jun Zhang, Longxiang Gao,Yong Xiang. Protecting IP of deep neural networks with watermarking: a newlabel helps. Proc. Pacific-AsiaConference on Knowledge Discovery and Data Mining, pp. 462-474, 2020.

[4] Erwan Le Merrer, Patrick Pérez, Gilles Trédan. Adversarialfrontier stitching for remote neural network watermarking. Neural Computing and Applications, vol. 32, no. 13, pp. 9233-9244,2020.

[5] Jiangfeng Wang, Hanzhou Wu, Xinpeng Zhang, YuweiYao. Watermarking in deep neural networks via error back-propagation. Proc. IS&T Electronic Imaging, MediaWatermarking, Security and Forensics, pp. 22-1-22-9(9), 2020.

[6] Yue Li, Benedetta Tondi, Mauro Barni.Spread-transform dither modulation watermarking of deep neural network. arXiv Preprint arXiv:2012.14171, 2020.

[7] Huili Chen, Bita Darvish Rohani, Cheng Fu, JishengZhao, Farinaz Koushanfar. DeepMarks: A secure fingerprinting framework fordigital rights management of deep learning models. Proc. International Conference on Multimedia Retrieval, pp. 105-113,2019.

[8] Le Feng, Xinpeng Zhang. Watermarking neural networkwith compensation mechanism.Proc.International Conference on Knowledge Science, Engineering and Management,pp. 363-375, 2020.

[9] Lixin Fan, Kam Woh Ng, Chee Seng Chan. Rethinkingdeep neural network ownership verification: embedding passports to defeatambiguity attacks. arXiv PreprintarXiv:1909.07830, 2019.

[10] Jie Zhang, Dongdong Chen, Jing Liao, Han Fang,Weiming Zhang, Wenbo Zhou, Hao Cui, Nenghai Yu. Model watermarking for image processingnetworks. Proc. AAAI, 2020.

[11] Jie Zhang, Dongdong Chen, Jing Liao, Weiming Zhang,Huamin Feng, Gang Hua, Nenghai Yu. Deep model intellectual property protectionvia deep watermarking. IEEE Trans. Patt.Analysis Mach. Intell., 2021.

[12] Hanzhou Wu, Gen Liu, Yuwei Yao, Xinpeng Zhang. Watermarkingneural networks with watermarked images. IEEETrans. Circuits Syst. Video Technol., 2020.

[13] Hanzhou Wu, Gen Liu, Xinpeng Zhang. Hiding datahiding. arXiv preprint arXiv:2102.06826,2021.

[14] Xiaohan Zhao, Qingyun Liu, Haitao Zheng, Ben Y.Zhao. Towards graph watermarks. Proc. ACMConference on Online Social Networks, pp. 101-112, 2015.

[15] David Eppstein, Michael T. Goodrich, Jenny Lam, NilMamano, Michael Mitzenmacher, Manuel Torres. Models and algorithms for graph watermarking.arXiv Preprint arXiv:1605.09425,2016.

参考资料

  1. 【极简综述05】神经网络模型水印 - 知乎 (zhihu.com)
  2. 谢宸琪,张保稳,易平. 人工智能模型水印研究综述. 计算机科学, 2020.
  3. 冯乐,朱仁杰,吴汉舟,张新鹏,钱振兴. 神经网络水印综述. 应用科学学报, 2021.
  4. 张颖君; 陈恺; 周赓; 吕培卓; 刘勇; 黄亮. 神经网络水印技术研究进展. 计算机研究与发展, 2021.
  5. 王馨雅,华光,江昊,张海剑. 深度学习模型的版权保护研究综述. 网络信息安全学报, 2022.
  6. 樊雪峰,周晓谊,朱冰冰,董津位,牛俊,王鹤. 深度神经网络模型版权保护方案综述. 计算机研究与发展, 2022.
  7. 夏道勋,王林娜,宋允飞,罗星智. 深度神经网络模型数字水印技术研究进展综述. 科学技术与工程, 2023.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/98164.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何部署一个高可用高并发的电商平台

假设我们已经有了一个特别大的电商平台,这个平台应该部署在哪里呢?假设我们用公有云,一般公有云会有多个位置,比如在华东、华北、华南都有。毕竟咱们的电商是要服务全国的,当然到处都要部署了。我们把主站点放在华东。…

成功改派的访问学者申请建议

在申请成为访问学者时,成功改派是一个重要的关键步骤,这需要您精心策划和准备。在本文中,知识人网小编将为您提供一些建议,帮助您顺利实现申请改派成功的目标。 1.认真审视您的动机:在决定改派时,首先要仔细…

架构方法、模型、范式、治理

从架构方法、模型、范式、治理等四个方面介绍架构的概念和方法论、典型业务场景下的架构范式、不同架构的治理特点这3个方面的内容

git 同时配置 gitee github

git 同时配置 gitee github 1、 删除C:\Users\dell\.ssh目录。 在任意目录右击——》Git Bash Here,打开Git Bash窗口,下方命令在Git Bash窗口输入。 2、添加git全局范围的用户名和邮箱 git config --global user.email "609612189qq.com" …

Flink+Doris 实时数仓

Flink+Doris 实时数仓 Doris基本原理 Doris基本架构非常简单,只有FE(Frontend)、BE(Backend)两种角色,不依赖任何外部组件,对部署和运维非常友好。架构图如下 可以 看到Doris 的数仓架构十分简洁,不依赖 Hadoop 生态组件,构建及运维成本较低。 FE(Frontend)以 Java 语…

《从零开始学ARM》勘误

1. 50页 2 51页 3 236页 14.2.3 mkU-Boot 修改为: mkuboot 4 56页 修改为: 位[31:24]为条件标志位域,用f表示; 位[23:16]为状态位域,用s表示; 位[15:8]为扩展位域&…

HTML5+CSSday4综合案例二——banner效果

bannerCSS展示图&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta http-equiv"X-UA-Compatible" content"IEedge"><meta name"viewport" content"wi…

分布式数据库(林子雨慕课课程)

文章目录 4. 分布式数据库HBase4.1 HBase简介4.2 HBase数据模型4.3 HBase的实现原理4.4 HBase运行机制4.5 HBase的应用方案4.6 HBase安装和编程实战 4. 分布式数据库HBase 4.1 HBase简介 HBase是BigTable的开源实现 对于网页搜索主要分为两个阶段 1.建立整个网页索引&#xf…

Linux SSH连接远程服务器(免密登录、scp和sftp传输文件)

1 SSH简介 SSH&#xff08;Secure Shell&#xff0c;安全外壳&#xff09;是一种网络安全协议&#xff0c;通过加密和认证机制实现安全的访问和文件传输等业务。传统远程登录和文件传输方式&#xff0c;例如Telnet、FTP&#xff0c;使用明文传输数据&#xff0c;存在很多的安全…

数据结构 | (二) List

什么是 List 在集合框架中&#xff0c; List 是一个接口&#xff0c;继承自 Collection 。 Collection 也是一个接口 &#xff0c;该接口中规范了后序容器中常用的一些方法&#xff0c;具体如下所示&#xff1a; Iterable 也是一个接口&#xff0c;表示实现该接口的类是可以逐个…

分享几个通用个人简历模板|行业通用

Home(https://cvjury.com/) 专业设计的简历模板。 在竞争激烈的就业市场中脱颖而出的有效策略。 侧重于向招聘人员传达独特的价值主张。 帮助创建引人注目的简历、求职信和LinkedIn资料。 面向毕业生和学生的个性化简历解决方案。 添加图片注释&#xff0c;不超过 140 字&…

归并排序及其非递归实现

个人主页&#xff1a;Lei宝啊 愿所有美好如期而遇 目录 归并排序递归实现 归并排序非递归实现 归并排序递归实现 图示&#xff1a; 代码&#xff1a; 先分再归并&#xff0c;像是后序一般。 //归并排序 void MergeSort(int* arr, int left, int right) {int* temp (int…

PUPANVR-UI主菜单及设置窗体框架(9)

PUPA NVR UI主菜单及设置窗体框架 在设计UI时&#xff0c;竟量把数据、控制、显示&#xff0c;分开&#xff0c;即MVC的一个模式吧&#xff01;使用MVC这样的模式思想&#xff0c;会让代码简洁不少&#xff0c;逻辑也很清析&#xff01; 具体的代码见&#xff1a; PUPANVR这个…

第三次作业

自己实现扫描全盘的函数 def scan_disk(dir): global count,dir_count if os.path.isdir(dir): files os.listdir(dir) for file in files: print(file) dir_count 1 if os.path.isdir(dir os.sep file): …

等精度频率计verilog,quartus仿真视频,原理图,代码

名称&#xff1a;等精度频率计设计verilog quartus仿真 软件&#xff1a;Quartus 语言&#xff1a;Verilog 要求&#xff1a; A&#xff1a;测量范围信号:方波 频率:100Hz~1MHz; B&#xff1a;测试误差:<0.1%(全量程) C&#xff1a;时钟频率:50kHz D&#xff1a;预闸…

(2021|NIPS,VQ-VAE,精度瓶颈松弛,三明治层归一化,CapLoss)CogView:通过转换器掌握文本到图像的生成

CogView: Mastering Text-to-Image Generation via Transformers 公众号&#xff1a;EDPJ&#xff08;添加 VX&#xff1a;CV_EDPJ 或直接进 Q 交流群&#xff1a;922230617 获取资料&#xff09; 0. 摘要 通用领域中的文本到图像生成长期以来一直是一个悬而未决的问题&#…

十、pygame小游戏开发

目录 一、安装pygame二、pygame快速入门2.1 坐标系认识2.2 创建游戏主窗口2.3 实现图像绘制2.4 游戏循环和游戏时钟2.5 简单动画实现的实现2.6 监听事件2.7 精灵和精灵组三、游戏框架搭建3.1 实现飞机大战主游戏类3.2 完成游戏初始化部分3.3 使用常量代替固定的数值3.4 完成游戏…

2023年DDoS攻击发展趋势的分析和推断

DDoS是一种非常“古老”的网络攻击技术&#xff0c;随着近年来地缘政治冲突对数字经济格局的影响&#xff0c;DDoS攻击数量不断创下新高&#xff0c;其攻击的规模也越来越大。日前&#xff0c;安全网站Latest Hacking News根据DDoS攻击防护服务商Link11的统计数据&#xff0c;对…

Java代码hello word

一、安装java环境 开始学习java之前&#xff0c;我们的第一步就是安装java环境&#xff0c;即常说的JDK和JRE&#xff0c;此处就不在详细介绍配置环境过程&#xff0c;可以到网上搜索java开发环境配置。 二、编写第一个程序 工具&#xff1a; 常用的java编写工具有IDE、Notep…

机器学习:随机森林

集成学习 集成学习&#xff08;Ensemble Learning&#xff09;是一种机器学习方法&#xff0c;通过将多个基本学习算法的预测结果进行组合&#xff0c;以获得更好的预测性能。集成学习的基本思想是通过结合多个弱分类器或回归器的预测结果&#xff0c;来构建一个更强大的集成模…