- 简介随着机器学习作为服务(MLaaS)平台的普及,越来越多的关注点集中在深度神经网络(DNN)水印技术上。这些方法被用于验证目标DNN模型的所有权以保护知识产权。最广泛采用的水印技术之一是将触发集嵌入源模型中。不幸的是,现有基于触发集的方法仍然容易受到功能窃取攻击的影响,这可能使攻击者窃取源模型的功能而无法可靠地验证所有权。在本文中,我们首先从特征学习的角度介绍了一种新的触发集水印方法。具体来说,我们证明了通过选择具有多个特征的数据,也称为多视角数据,可以有效地防御功能窃取攻击。基于这个角度,我们引入了一种基于多视角数据的新型水印技术,称为MAT,用于在DNN中高效地嵌入水印。这种方法涉及使用多视角数据构建触发集,并采用简单的基于特征的正则化方法来训练源模型。我们在各种基准测试中验证了我们的方法,并展示了它在防御模型提取攻击方面的有效性,超过了相关基准线。
- 图表
- 解决问题本论文旨在解决深度神经网络(DNN)水印技术中存在的功能窃取攻击问题,提出一种基于多视图数据的水印技术MAT。
- 关键思路通过使用多视图数据构建触发器集并采用基于特征的正则化方法,将水印嵌入DNN中,从而有效地防御功能窃取攻击。
- 其它亮点论文通过实验验证了MAT方法在多个基准测试中有效防御模型提取攻击的能力,并且超过了相关基线。论文还提供了开源代码。
- 近期的相关研究包括:1.基于对抗训练的DNN水印技术;2.基于梯度掩码的DNN水印技术;3.基于对抗样本的DNN水印技术等。
沙发等你来抢
去评论
评论
沙发等你来抢