针对经典水印技术在进行深度学习模型知识产权保护过程中,存在水印多模型时可复用性不高和开销较大、易被检测和攻击等问题;在黑盒场景下,本文从构造触发集、设计嵌入方式等方面切入,设计一种基于标志网络(Logo Network, LogoNet)的深度学习多模型水印方案(Logo Network based Deep Learning Multi-model Watermarking Scheme, LNMMWS)。首先,利用二进制编码生成触发集,并随机裁剪原训练样本以生成噪声集,精简Logo Net层结构,并在触发集和噪声集的混合数据集上训练LogoNet,LogoNet拟合触发集并泛化噪声集以获取较高的水印触发模式识别精度和噪声处理能力。其次,根据不同目标模型的分类类别,从Logo Net中选择水印触发模式,并调整LogoNet输出层的维度,使LogoNet输出层和不同目标模型的输出层相嵌合,以实现多模型水印的目的。最后,当所有者发现可疑的远程应用程序接口服务时,可以输入多组特定的触发样本,经过输入层变换后,触发特定的输出以核验水印并实现所有权验证。实验及分析表明,使用LNMMWS进行深度学习模型所有权验证时,具有较高的水印触发模式识别精度、较小的嵌入影响、较多的水印触发模式数量,并相比已有方案具有更低的时间开销;LNMMWS在模型压缩攻击、模型微调攻击下具有较好的稳定性,并具备较强的隐秘性,能够规避恶意检测风险。

• 单位
  西安电子科技大学; 河北科技大学