[论文解读] Turning Your Weakness Into a Strength: Watermarking Deep Neural Networks by Backdooring
本文提出了一种对深度神经网络的黑盒水印方案,通过嵌入一个强背门,并结合一个加密框架来确保所有权验证的正确性、不可移除性和不可伪造性。
Deep Neural Networks have recently gained lots of success after enabling several breakthroughs in notoriously challenging problems. Training these networks is computationally expensive and requires vast amounts of training data. Selling such pre-trained models can, therefore, be a lucrative business model. Unfortunately, once the models are sold they can be easily copied and redistributed. To avoid this, a tracking mechanism to identify models as the intellectual property of a particular vendor is necessary. In this work, we present an approach for watermarking Deep Neural Networks in a black-box way. Our scheme works for general classification tasks and can easily be combined with current learning algorithms. We show experimentally that such a watermark has no noticeable impact on the primary task that the model is designed for and evaluate the robustness of our proposal against a multitude of practical attacks. Moreover, we provide a theoretical analysis, relating our approach to previous work on backdooring.
研究动机与目标
- 激励并应对 MLaaS 中模型再分发的风险,通过实现对训练神经网络的所有权验证。
- 提出一种黑盒水印方法,在嵌入可检测水印的同时保留模型准确性。
- 提供一种将水印与背门相关联的密码学形式化,并分析如不可移除性与不可伪造性等安全特性。
- 展示如何利用承诺实现私下可验证的(以及潜在的公开可验证的)所有权证明。
提出的方法
- 将机器学习中的背门定义为对触发集的受控错误标注,并将水印的鲁棒性要求形式化为一个强背门。
- 通过 KeyGen、Mark 和 Verify 程序,利用强背门机制和统计隐藏承诺构建水印方案。
- 使用 SampleBackdoor 生成触发集;用承诺对它们进行编码以形成验证密钥;通过 Backdoor 例程嵌入背门;通过检查触发标签的分类和承诺开启来进行验证。
- 在密码学假设下证明正确性、保留功能的行为、非平凡所有权、不可移除性和不可伪造性。
- 讨论私有与公开可验证性的扩展,以及触发集规模和部署的实际考虑。
实验结果
研究问题
- RQ1如何利用背门原理在不降低主要任务性能的情况下对神经网络进行水印?
- RQ2哪些密码学工具(如承诺)能够为带水印的模型提供安全、可验证的所有权证明?
- RQ3在何种条件下水印对移除、伪造或对抗性修改具有鲁棒性?
- RQ4是否可以通过重复或无限次的见证使水印验证实现私有或公开可验证?
主要发现
- 通过嵌入强背门并使用密码学承诺来验证所有权且不降低准确性,可以实现鲁棒的水印方法。
- 该构造在所述密码学假设下提供正确性、保留功能的行为、非平凡所有权、不可移除性和不可伪造性。
- 该框架支持私有验证,并通过多背门或增强的验证协议勾勒出走向公开可验证性的路径。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。