[논문 리뷰] DeepMarks: A Digital Fingerprinting Framework for Deep Neural Networks
DeepMarks는 직교 및 BIBD 기반 코드로 신경망 가중치에 고유 지문을 삽입하여 IP를 보호하고, 모델 변환 하에서 소유자 식별 및 공모자 탐지를 가능하게 한다.
This paper proposes DeepMarks, a novel end-to-end framework for systematic fingerprinting in the context of Deep Learning (DL). Remarkable progress has been made in the area of deep learning. Sharing the trained DL models has become a trend that is ubiquitous in various fields ranging from biomedical diagnosis to stock prediction. As the availability and popularity of pre-trained models are increasing, it is critical to protect the Intellectual Property (IP) of the model owner. DeepMarks introduces the first fingerprinting methodology that enables the model owner to embed unique fingerprints within the parameters (weights) of her model and later identify undesired usages of her distributed models. The proposed framework embeds the fingerprints in the Probability Density Function (pdf) of trainable weights by leveraging the extra capacity available in contemporary DL models. DeepMarks is robust against fingerprints collusion as well as network transformation attacks, including model compression and model fine-tuning. Extensive proof-of-concept evaluations on MNIST and CIFAR10 datasets, as well as a wide variety of deep neural networks architectures such as Wide Residual Networks (WRNs) and Convolutional Neural Networks (CNNs), corroborate the effectiveness and robustness of DeepMarks framework.
연구 동기 및 목표
- 배포된 딥 러닝 모델의 지적 재산권을 가중치에 고유한 지문을 삽입하여 정확도를 희생하지 않으면서 보호한다.
- 모델 공유 시나리오에서 소유자가 개별 사용자 식별 및 공모자 탐지를 할 수 있도록 한다.
- 다양한 아키텍처 및 데이터셋에 적용 가능한 확장 가능한 강건한 지문 부여 프레임워크를 제공한다.
- DL 워터마킹/지문 부여 성능에 대한 지표 및 평가 방법론을 제안한다.
제안 방법
- 각 사용자에게 v비트 코드 벡터(지문)를 할당하고 이를 선택된 층의 가중치 분포에 일반 학습 손실에 추가된 임베딩 손실을 통해 삽입한다.
- 비밀 랜덤 프로젝션 X와 펼치고 평균화된 타깃 층 가중치 w를 사용하여 L = L0 + γ MSE(fj − Xw) 형태의 덧셈 임베딩 항으로 가중치 분포에 지문을 삽입한다.
- 소형 사용자 그룹에는 직교 모듈레이션을, 다수의 사용자 및 공모 저항을 지원하기 위해 균형 보충 블록 설계(BIBD)를 기반으로 한 반공모 코드(ACC) 기반의 코딩 모듈레이션을 사용한다.
- 지문을 직교 행렬의 각 열을 하나의 고유한 열 벡터로 구성하거나 BIBD-ACC 코드북을 이용한 벡터의 선형 결합으로 구성한다.
- 추출된 가중치를 기준 벡터와 상관관계를 이용해 디코딩하여 사용자 코드 벡터를 복원하고 ACC 디코딩으로 공모자를 탐지한다.
- (31,6,1)-BIBD ACC 코드북을 사용하는 코딩된 지문으로 모델 파인튜닝, 가지치기 및 공모 공격에 대한 강건성을 평가한다.
실험 결과
연구 질문
- RQ1DeepMarks가 DNN 가중치에 고유한 지문을 악화 없이 신뢰성 있게 삽입할 수 있는가?
- RQ2직교 방식 대 코드(BIBD-ACC) 방식으로 몇 명의 분산된 사용자에게 고유한 지문을 지원할 수 있는가?
- RQ3파인튜닝, 가지치기, 공모 공격과 같은 일반적인 DL 변환에 대해 삽입된 지문은 얼마나 강건한가?
- RQ4실용적인 DNN 공유 시나리오에서 프레임워크가 개별 사용자와 공모자를 모두 정확하게 식별할 수 있는가?
주요 결과
- 지문 삽입은 MNIST-CNN 및 CIFAR10-WRN 벤치마크에서 작업 정확도를 유지하거나 약간 향상시킨다.
- (31,6,1)-BIBD ACC 코드북을 사용하면 최대 5명의 공모자를 고유하게 식별할 수 있으며 테스트 시나 100% 탐지율과 0% 오탐을 보인다.
- BIBD-ACC를 이용한 코딩 지문 부여는 지문 차원을 초과하는 확장 가능한 사용자 지원을 가능하게 하며 공모 공격에 대해 강건하다.
- 같은 공모자 수에 대해 MNIST-CNN과 CIFAR10-WRN 벤치마크에서 탐지율과 오탐률이 일관된다.
- 지문화된 모델의 성능 지표(표 III)는 MNIST-CNN에서 기본 99.52, 지문 적용 후 99.72, CIFAR10-WRN에서 기본 91.85, 지문 적용 후 92.03으로 유사한 정확도를 보인다.
- 프레임워크의 공모자 탐지 성능은 ACC 코드북 매개변수에 따라 달라지며 (31,6,1) 코드북과 (13,4,1) 코드북의 비교는 충돌 저항성 및 오탐 특성을 다르게 나타낸다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.