[論文レビュー] Rethinking Deep Neural Network Ownership Verification: Embedding Passports to Defeat Ambiguity Attacks
本論文は、偽の透かしによる所有権主張を防ぐために、モデルにデジタルパスポートを埋め込むことで、曖昧性攻撃に耐性を持つDNN所有権検証方式を提案する。改ざんによって性能が低下するように設計された、事前に定義された署名と併せて、検証を実施することで、モデル改ざんや偽造主張に対して強固な対策を講じる。実験により、本手法の有効性と耐性が確認されている。
With substantial amount of time, resources and human (team) efforts invested to explore and develop successful deep neural networks (DNN), there emerges an urgent need to protect these inventions from being illegally copied, redistributed, or abused without respecting the intellectual properties of legitimate owners. Following recent progresses along this line, we investigate a number of watermark-based DNN ownership verification methods in the face of ambiguity attacks, which aim to cast doubts on the ownership verification by forging counterfeit watermarks. It is shown that ambiguity attacks pose serious threats to existing DNN watermarking methods. As remedies to the above-mentioned loophole, this paper proposes novel passport-based DNN ownership verification schemes which are both robust to network modifications and resilient to ambiguity attacks. The gist of embedding digital passports is to design and train DNN models in a way such that, the DNN inference performance of an original task will be significantly deteriorated due to forged passports. In other words, genuine passports are not only verified by looking for the predefined signatures, but also reasserted by the unyielding DNN model inference performances. Extensive experimental results justify the effectiveness of the proposed passport-based DNN ownership verification schemes. Code and models are available at https://github.com/kamwoh/DeepIPR
研究の動機と目的
- 既存の透かしベースのDNN所有権検証手法に脅かされる増大する曖昧性攻撃の脅威に対処する。
- 不正な複製および配布からディープニューラルネットワークの知的財産を保護する。
- モデル改ざんおよび偽の透かしに対して耐性を持つ検証メカニズムを開発する。
- 特に、偽のパスポートを埋め込む試みによる改ざんが、推論性能を顕著に低下させることを保証する。
- 署名検出と性能に基づく真正性再主張を組み合わせたソリューションを提供する。
提案手法
- 訓練中にDNNモデルにデジタルパスポートを埋め込み、元のモデルのみが完全な推論性能を維持するように設計する。
- 二重検証メカニズムを導入:事前に定義されたパスポート署名の検出と、損傷のない推論精度の検証。
- いかなる偽のパスポートの挿入試みに対しても、タスク性能が顕著に低下するようにモデルを訓練する。
- 透かしの抽出やクローン作成を防ぐために、 adversarial training と損失関数の変更を用いる。
- 真正のパスポートの存在は、署名一致だけでなく、元のタスクを正確に実行できる能力によっても確認される。
- 通常の推論に対しては透明であるが、不正なレプリカに対しては破壊的となるように、パスポート埋め込みプロセスを設計する。
実験結果
リサーチクエスチョン
- RQ1曖昧性攻撃は、既存の透かしベースのDNN所有権検証手法にどのように脅威をもたらすか?
- RQ2モデル改ざんおよび偽のパスポート挿入の両方に対して、DNN所有権検証手法が耐性を持つことができるか?
- RQ3改ざんされたモデルにデジタルパスポートを埋め込むと、元のモデルと比較して性能がどの程度低下するか?
- RQ4推論性能を、真正性の二次的・性能ベースのチェックとして使用できるか?
- RQ5提案されたパスポートベースの手法は、曖昧性攻撃およびモデルの逆方向推定・抽出試行の両方に対して、どの程度効果的に耐性を持つのか?
主な発見
- 曖昧性攻撃は、正当な透かしを模倣する偽の透かしを生成可能にすることで、既存の透かし手法に深刻な脅威をもたらす。
- 本手法は、真正のモデルのみが完全な推論性能を維持することを保証することで、曖昧性攻撃に対して効果的に耐性を持つ。
- 偽のパスポートを埋め込む試みによるモデル改ざんは、タスク精度に顕著かつ測定可能な低下を引き起こす。
- 署名検出と性能検証の二重検証メカニズムは、署名のみに依存する手法よりも、真正性の保証をより強く提供する。
- 広範な実験により、本手法はさまざまなネットワークアーキテクチャおよび攻撃シナリオにおいて、強固であることが示された。
- 本手法は、敵対的モデル改ざんに対しても高い検証精度を維持しており、実世界の展開における耐性が確認された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。