[논문 리뷰] Rethinking Deep Neural Network Ownership Verification: Embedding Passports to Defeat Ambiguity Attacks
이 논문은 위조 워터마크가 소유권 주장을 약화시키는 것을 방지하기 위해 모델에 디지털 여권을 통합하는 파assport 기반 DNN 소유권 검증 기법을 제안한다. 검증 과정에서 사전 정의된 서명과 변조 시 성능 저하를 동시에 고려함으로써, 모델 조작 및 위조 주장에 대한 강건성을 확보한다. 실험을 통해 그 효과성과 내구성이 확인되었다.
With substantial amount of time, resources and human (team) efforts invested to explore and develop successful deep neural networks (DNN), there emerges an urgent need to protect these inventions from being illegally copied, redistributed, or abused without respecting the intellectual properties of legitimate owners. Following recent progresses along this line, we investigate a number of watermark-based DNN ownership verification methods in the face of ambiguity attacks, which aim to cast doubts on the ownership verification by forging counterfeit watermarks. It is shown that ambiguity attacks pose serious threats to existing DNN watermarking methods. As remedies to the above-mentioned loophole, this paper proposes novel passport-based DNN ownership verification schemes which are both robust to network modifications and resilient to ambiguity attacks. The gist of embedding digital passports is to design and train DNN models in a way such that, the DNN inference performance of an original task will be significantly deteriorated due to forged passports. In other words, genuine passports are not only verified by looking for the predefined signatures, but also reasserted by the unyielding DNN model inference performances. Extensive experimental results justify the effectiveness of the proposed passport-based DNN ownership verification schemes. Code and models are available at https://github.com/kamwoh/DeepIPR
연구 동기 및 목표
- 기존 워터마크 기반 DNN 소유권 검증 방법을 약화시키는 점점 증가하는 애매모호한 공격의 위협을 해결한다.
- 불법 복제 및 배포로부터 딥 뉴럴 네트워크의 지적 재산권을 보호한다.
- 모델 수정과 위조된 워터마크에 모두 강건한 검증 메커니즘을 개발한다.
- 특히 위조 여권을 삽입하는 방식으로 모델을 변조할 경우, 추론 성능이 크게 떨어지도록 보장한다.
- 서명 검출과 성능 기반의 진위 재확인을 결합한 해결책을 제공한다.
제안 방법
- 학습 과정에서 DNN 모델에 디지털 여권을 통합하여, 오직 원본 모델만 전체 추론 성능을 유지하도록 설계한다.
- 이중 검증 메커니즘을 도입: 사전 정의된 여권 서명 검출과 손상되지 않은 추론 정확도 검증.
- 어떤 시도라도 위조 여권을 삽입하면 작업 성능이 크게 떨어지도록 모델을 훈련한다.
- 워터마크 추출 및 복제를 저지하기 위해 적대적 훈련과 손실 함수 수정을 활용한다.
- 진짜 여권의 존재는 서명 일치뿐만 아니라, 원래 작업을 정확하게 수행할 수 있는 능력으로도 확인된다.
- 일반 추론에는 영향을 주지 않지만, 무단 복제에는 방해가 되는 방식으로 여권 통합 과정을 설계한다.
실험 결과
연구 질문
- RQ1애매모호한 공격는 기존 워터마크 기반 DNN 소유권 검증 방법에 어떻게 영향을 미치는가?
- RQ2모델 수정과 위조된 여권 삽입을 동시에 견뎌내도 강건한 DNN 소유권 검증 방법은 가능한가?
- RQ3위조된 여권이 삽입된 모델의 성능은 원본 모델에 비해 얼마나 떨어지는가?
- RQ4추론 성능을 두 번째 검증 수단으로 활용하여 여권의 진위를 확인할 수 있는가?
- RQ5제안된 여권 기반 기법은 애매모호한 공격과 모델 역전환 또는 추출 시도에 대해 얼마나 효과적으로 저항하는가?
주요 결과
- 애매모호한 공격는 위조된 워터마크를 통해 합법적인 워터마크와 유사하게 구현함으로써 기존 워터마킹 기법에 심각한 위협을 가한다.
- 제안된 여권 기반 기법은 오직 원본 모델만 전체 추론 성능을 유지함으로써 애매모호한 공격에 효과적으로 저항한다.
- 위조 여권을 삽입하기 위해 모델을 변조할 경우, 작업 정확도에 심각하고 측정 가능한 저하가 발생한다.
- 서명 검출과 성능 검증을 결합한 이중 검증 메커니즘은 서명 중심의 방법보다 더 강력한 진위 확인 보장을 제공한다.
- 다양한 네트워크 아키텍처와 공격 시나리오에서 광범위한 실험을 통해 여권 기반 접근의 강건성을 입증하였다.
- 어려운 모델 수정 상황에서도 높은 검증 정확도를 유지함으로써, 실제 환경에서의 구현에 대한 내구성을 확인하였다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.