QUICK REVIEW

[論文レビュー] X-Mark: Saliency-Guided Robust Dataset Ownership Verification for Medical Imaging

Pranav Kulkarni, Junfeng Guo|arXiv (Cornell University)|Feb 10, 2026

Adversarial Robustness in Machine Learning被引用数 0

ひとこと要約

X-Mark は、条件付き U-Net と顕著性条件付けおよび Laplacian 正規化を用いたサンプル特異的クリーンラベル水印付与法を胸部X線データセットに適用し、ブラックボックス設定での頑健かつ不可視な所有権検証を実現する。

ABSTRACT

High-quality medical imaging datasets are essential for training deep learning models, but their unauthorized use raises serious copyright and ethical concerns. Medical imaging presents a unique challenge for existing dataset ownership verification methods designed for natural images, as static watermark patterns generated in fixed-scale images scale poorly dynamic and high-resolution scans with limited visual diversity and subtle anatomical structures, while preserving diagnostic quality. In this paper, we propose X-Mark, a sample-specific clean-label watermarking method for chest x-ray copyright protection. Specifically, X-Mark uses a conditional U-Net to generate unique perturbations within salient regions of each sample. We design a multi-component training objective to ensure watermark efficacy, robustness against dynamic scaling processes while preserving diagnostic quality and visual-distinguishability. We incorporate Laplacian regularization into our training objective to penalize high-frequency perturbations and achieve watermark scale-invariance. Ownership verification is performed in a black-box setting to detect characteristic behaviors in suspicious models. Extensive experiments on CheXpert verify the effectiveness of X-Mark, achieving WSR of 100% and reducing probability of false positives in Ind-M scenario by 12%, while demonstrating resistance to potential adaptive attacks.

研究の動機と目的

ダウンサンプリングを生き延び、検出が難しい水印を埋め込みで医用画像データセットを保護する。
高解像度の胸部X線に適したサンプル特異的なクリーンラベル水印付与手法を開発する。
疑わしいモデルが出現した場合に、仮説検定を通じてブラックボックスのデータセット所有権検証を可能にする。
スケーリングに対する水印の頑健性を確保し、診断品質を維持し、適応的攻撃に耐性を持たせる。

提案手法

水印生成器として条件付き残差U-Netを用い、サンプル特異的な摂動を生成する。
EigenCAM 顕在性マップに基づいて摂動を条件付けし、顕在領域への編集を制約する。
ターゲット損失・非ターゲット損失・知覚類似性（LPIPS）・ラプラシアンピラミッド正規化を含む多成分目的関数で訓練し、スケール不変性を促進する。
編集を不可視レベルに保つために L∞ 摂動予算を課す。
水印付きサンプルをターゲットクラスのサブセットに埋め込み、水印付きデータセットとして公開する。
水印付きサンプルと無害サンプルの予測に基づく確率が利用可能な仮説検定を用いて、ブラックボックス環境で所有権を検証する。

Figure 1: The main pipeline of X-Mark. First, a conditional U-Net is trained to generate sample-specific watermarks within salient regions of the medical image. Second, the watermarked dataset is created by embedding watermarks within a subset of target class samples and combining them with the rema

実験結果

リサーチクエスチョン

RQ1サンプル特異的なクリーンラベル水印が、顕在領域に埋め込まれたままダウンサンプリングや異なるモデルアーキテクチャを跨いでも有効であり得るか。
RQ2ラプラシアン正規化はダウンサンプリングに対する水印の頑健性を向上させつつ診断品質を維持できるか。
RQ3ブラックボックスでの確率利用可能な検証は、水印データで訓練されたモデルとそうでないモデルを効果的に区別できるか。
RQ4モデルの微調整や剪定といった適応的攻撃に対してX-Markはどの程度耐性を示すか。
RQ5解像度やアーキテクチャを跨ぐ際のX-Mark の移行性はどうか。

主な発見

X-Mark は CheXpert データセットで水印付きデータセットを高い有効性（WSR=100%）と強い不可視性（LPIPS が低い）で実現する、クリーンラベルバックドア設定で有効。
水印は解像度を超えて有効であり、アーキテクチャに依存せず、ResNet18/34 および VGG16/19 でバックドア動作を維持する。
ラプラシアン正規化は高周波成分を減少させ、診断精度を約4%向上させつつ水印の有効性を犠牲にしない。
顕在性条件付けは摂動を胸部の顕著な領域に限定し、不可視性とダウンサンプリング耐性を助ける。
確率利用可能検証は悪意ある使用を大きな事後確率差（Delta P > 0.8, p < 0.001）で検出する。Ind-W は偽陽性を生じず、Ind-M は偽陽性リスク（Delta P ~0.26, p ~0.41）がある。
適応的攻撃（モデル微調整）には影響が小さく、剪定には影響が出るが WSR は高いまま、BA（バックドア精度）は大きく低下する。

Figure 2: Example watermarked samples from SSCL-BW and X-Mark. Red box indicates region of strong perturbations, resulting in anatomically improbable structures that are easy to detect upon manual inspection. Saliency conditioning limits perturbations within salient regions (chest) while Laplacian r

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。