作者介紹
張杰,中國科學技術大學網絡空間安全學院在讀博士,導師俞能海教授。主要研究方向:人工智能安全,深度學習模型的版權保護(即模型水印)。
張杰
大家好,首先感謝SFFAI的邀請,在疫情期間提供了這個和大家分享交流的機會。今天我要給大家分享的工作是針對圖像處理網絡的模型水印,這里也要感謝一下參與這份工作的同學和老師們。
今天的分享將就以下幾個方面進行展開:研究背景動機方法實驗總結
一
研究背景
近些年,深度學習研究卻得了越來越多的進展,深度學習模型在各個領域得到了廣泛的應用,以下列舉了常用的訓練模型以及商用的途徑。
如圖1左面的圖所示,對于計算資源有限的公司,他們往往把模型和數據上傳到云端進行訓練,再從云端下載訓練好的模型。
圖1而在商用階段,對于訓練好的模型,為了保護他的知識產權,大多數公司會以API這種黑盒的形式來提供服務。但是不管是訓練還是商用階段,這些模型都存在著被侵權的風險。如圖2第一種情況,如果攻擊者掌握到了模型的結構以及參數信息,可以通過fine-tune或者剪枝得到新的模型,這樣原有模型的版權就受到了侵害。
圖2即使是第二種黑盒的情況,攻擊者通過對API不斷的訪問,得到相應的輸出,把這些輸出當做真實標簽,在數據量充足的情況下,通過有監督學習可以學到一個性能近似的替代模型
,取得和原有深度模型相似的結果,使原有模型的版權受到侵害。我們把這種攻擊叫做模型替代攻擊。對于傳統的這種音視頻和圖片的版權保護,我們常用的方法是添加水印。相比而言,基于深度學習的模型是一種新型的載體,如何對其添加水印,保護她的版權,是一個值得研究的方向。
圖3下面,我將先介紹該領域幾篇具有代表性的文章。深度學習模型版權保護的第一篇工作來自 Japan KDDI 的研究團隊。他將網絡的權值作為載體,將版權信息嵌入權值矩陣中。大致流程:首先將權值矩陣展開成一維向量 S: size,D:卷積層深度 L:卷積核個數。目標:將T-bit向量b(水印信息) 嵌入到 權值矩陣W。
為原損失函數,
為正則化項,其中,正則化項將參數w調制到一個特定的分布,作為訓練過程中的水印。X是事先設定的映射矩陣,將W映射到b。圖4是文中三種X的設計方法對應的W分布情況,可知以上三種方法均可提出水印。
圖4圖5是展示了嵌入水印后對模型訓練參數W分布的影響,由試驗結果可知,隨機方法選擇的X效果最佳。
圖5圖6是模型對剪枝的魯棒性分析,表1是fine-的魯棒性分析。
圖6
表1該算法的局限性是水印提取階段需要是白盒的情況。 loss . the from , over- of .our w to have bias, as a in a .σ(Σ) ≥ 0.5 (? Σ ≥ 0)。改算法的局限性是水印提取階段需要是白盒的情況。針對前面方法的局限性,以色列的研究團隊提出了一種黑盒的模型水印算法,利用的是技術,如圖7。
圖就是對于特定的輸入T,故意使模型輸出錯誤的類別
,這些特定數據也叫做觸發集例如圖片8,該算法會將這種照片識別為“汽車”,通過這些,即可判斷該模型是否侵犯了原有模型的版權。
圖8圖9是對fine-tune 的魯棒性分析。
圖9下面要介紹的工作的一篇文章,之前兩個工作對于模型水印魯棒性的檢驗都是通過fine-tune 和 剪枝攻擊來實現。這里又引入了一種傳統水印中很常見,但是對于深度模型來說更難的一種攻擊 混淆攻擊具體來說。如圖10(a),所有者Alice訓練一個DNN模型,并將水印(T,s)嵌入模型,公開發布模型;攻擊者Bob使用過程I偽造水印(T ',s ‘)。圖10(b)說明現有的方法中,無法區別原有和偽造水印的模型,圖c說明我們的方法可區分出兩種模型。
圖10問題解決方法:嵌入一個層,由網絡結構圖11可知,
經過一個 Conv層,得到
;已知一個密鑰
,經過同一個Conv層得到一個輸出,對其進行操作, 得到 γ ,同理得到 β 。通過γβ對原有的Conv層輸出做一個調制。另外,通過符號損失來約束γ 的符號,作為一個水印信息。
圖11我們來看一下作者是怎么解決這個問題的。保護的對象還是一般的卷積分類網絡,如。主要想法是對conv層進行操作。實驗結果證明了該工作對于剪枝、fine-tune、混淆攻擊均具有魯棒性。
圖12現在把焦點聚集到我們所要解決的問題中來。如圖13左圖所示,現有一個用于胸腔圖片去骨的醫療圖像處理API。
圖13因為圖像的標注以及訓練需要很多專家知識,這個模型具有很大的商業價值。如之前介紹的那樣,即使是API形式也存在被攻擊的風險,所以我們的研究點在于如何防止這種圖像處理模型免于模型替代攻擊。現有研究的不足:目前存在的方法均針對分類任務,并且對模型替代攻擊(即黑盒情況)研究較少,因為深度學習模型水印是個值得研究的問題。
圖14
二
動機
給一個input,我們在模型輸出上添加上logo水印,并且保證每一張輸出添加的logo都完全一致。那么,攻擊者拿到所有數據對進行模型竊取,他學習到的替代網絡在使用過程中的輸出也一定會帶有我們添加的logo信息,因為logo是我們的標識,從而可以證明攻擊者侵害了我們的版權。但是,這種可見水印,損害圖片質量和可用性,因此要考慮如何將水印嵌入到圖片中,并且不影響原任務的結果。
圖15
三
方法
:
A B one-one :圖像處理模型 M的目標:
,攻擊者替代模型的SM的目標:
。這里需要注意的是在水印提取階段也就是取證階段,我們能獲得的只有攻擊者學習到的替代模型的輸出,無法得知替代模型的網絡參數因此,整個問題就變成了,只要攻擊者利用我們的數據進行學習,那么從他的輸出中我們要能提取出水印 Pre-:1) One : 對于 A 的每一張圖,我們添加一個一致性的水印,即對于每個輸出
,得到, 則對于最簡單
的情況,一定存在模型
,使原來
變為
,其中
2) : 要求滿足兩個一致性:1.加入水印的圖片和未加水印的圖片,在視覺上是一致的;2.從加水印圖片中提取出來的水印要和原水印保持一致我們首先嘗試了傳統的水印算法對于傳統的空域不可見水印算法來講,后面的實驗證實了它只對特定的網絡替代攻擊有魯棒性,并且有容量小的局限性,對于傳統的變換域不可見水印算法來說,實驗證明了以上三種方法(DCT,DFT,DWT)都不能抵抗模型替代攻擊。
圖:初始訓練:嵌入網絡H:嵌入水印水印嵌入一定要二值水印圖像嗎,將AAAI的水印嵌入到 B中得到 B’; 提取網絡R:提取水印,對于含有水印的圖片,能夠提出原AAAI的水印圖片,對于不含水印的圖片,要求網絡不能提出水印; D:增強嵌入水印圖像質量;其中為防止過擬合,我們將H和R進行聯合訓練;對抗訓練:SM:攻擊者替代模型,由 A和 B’得到 B’’;對于 B’’,提取網絡R能夠提取出原AAAI的水印。其中,H和SM,我們采用Unet網絡, R采用 網絡(對于提取網絡R,輸入輸出相差很大的情況,Unet無法取得理想效果),D采用。Loss :見圖17。
圖17
四
實驗
實驗部分,我們選擇了兩種圖像處理任務 去雨和去骨。
超參數、評價指標設置如18所示
圖18第一部分實驗室證明在沒有攻擊的情況下,我們水印嵌入和提取的能力,圖19左邊是定量的結果,圖19右邊是一些嵌入提取的例子,可以發現我們的方法在保證圖像質量的前提下可以成功嵌入提取高分辨率的logo圖像。
圖19為了評估所提出的深度水印框架的最終魯棒性,我們使用了大量經過不同網絡結構和目標損失函數訓練的替代模型來模擬攻擊者的行為。這里考慮了四種不同類型的網絡結構:CNet,Res9,Res16,UNet。對于損失函數,考慮了一些常用的損失函數,如L1、L2、 loss Lperc、對抗損失Ladv及其組合。
由于一個帶有“UNet”和L2損失函數的代理模型在對抗性訓練階段得到利用,因此可以將此配置視為白盒攻擊,而所有其他配置都是黑箱攻擊。
由于計算資源有限,我們沒有考慮所有不同網絡結構和損失函數的組合。相反,我們選擇進行控制實驗來分別證明網絡結構和損失函數的魯棒性。在表2中,對傳統的基于空間不可見水印算法和本文提出水印算法進行了測試。雖然在對抗訓練階段只利用基于UNet的L2損失訓練替代模型,但是我們發現,本位提出的深度模型水印框架能夠抵抗白盒和黑箱攻擊。對于傳統的水印算法,只能抵抗一些特殊替代模型的攻擊。更重要的是,它們不能隱藏大容量的水印,如徽標圖像。
表2為了進一步證明對不同損失的魯棒性,我們使用UNet作為默認網絡結構,用不同的損失函數組合訓練代理模型。如表3所示,本文所提出的深度水印框架具有很強的泛化能力,能夠抵抗不同的損失組合,并且成功率很高。由于在真實的用戶場景中,網絡結構和訓練目標函數是替代模型中攻擊者可能經常改變的部分,實驗結果證明,我們所提出的深度水印框架在這些情況下是適用的。
表3如前所述,為了提高R的提取能力,我們采用了另一個對抗訓練階段。為了說明其必要性,我們還進行了沒有經過對抗訓練的控制實驗,并將實驗結果附加在表2和表3中(帶有?的標簽)。可以看出,在默認L2損失的情況下,不同網絡結構的替代模型的抵抗成功率均為0%左右。在使用UNet作為網絡結構但訓練損失不同的情況下,我們發現只有一些特殊的替代模型可以部分提取隱藏水印,這說明了對抗訓練的重要意義。除了水印重構損失外,我們還在提取損失中加入了一個clean loss和 loss。為了說明它們的重要性,我們進行了兩個控制實驗。如圖20左圖所示,在沒有clean loss的情況下,提取器總是會從、B的無水印圖像中提取出無意義的水印,特別是對于 B的圖像,提取出的水印具有相當大的NC值,使得取證變得毫無意義。同樣在圖20右圖中,我們發現如果沒有 loss,提取器在訓練時只能提取非常弱的水印。
圖20在我們的默認設置中,嵌入和提取子網絡是與任務無關的。在這個實驗中,我們嘗試讓H具有特定任務。以圖片去骨為例,H的輸入圖像直接是帶骨的 A的圖像水印嵌入一定要二值水印圖像嗎,我們想讓H同時去骨和隱藏水印的任務。在這種情況下,H是最終的水印目標模型m。為了比較,我們還訓練了一個不需要隱藏水印的去骨模型作為。試驗結果證明了其可行。
圖21雖然我們的動機是為了保護深層模型,但我們提出的框架很容易被擴展來保護有價值的數據或傳統算法,方法是直接將水印嵌入到標記的圖像或輸出中。
五
總結
上述概括了本文工作的亮點
SFFAI的介紹
現代科學技術高度社會化,在科學理論與技術方法上更加趨向綜合與統一,為了滿足人工智能不同領域研究者相互交流、彼此啟發的需求,我們發起了人工智能前沿學生論壇SFFAI,邀請一線科研人員分享、討論人工智能各個領域的前沿思想和最新成果,使專注于各個細分領域的研究者開拓視野、觸類旁通。SFFAI目前主要關注機器學習、計算機視覺、自然語言處理等各個人工智能垂直領域及交叉領域的前沿進展,進行學術傳播,同時為講者塑造個人影響力。
SFFAI還在構建人工智能領域的知識森林—AI 。通過匯總各位參與者貢獻的領域知識,沉淀人工智能前沿精華,使AI Tree枝繁葉茂,為人工智能社區做出貢獻。SFFAI自2018年9月16日舉辦第一期,每周一期學術分享交流,截止目前已舉辦65期學術交流活動,共有100+位講者分享了他們的真知灼見,來自100多家單位的同學參與了現場交流,通過線上推文、網絡直播等形式,50000+人次參與了人工智能前沿學生論壇。SFFAI自發起以來,迅速成長壯大,已經成為人工智能學生交流的第一品牌,有志同道合的論壇核心志愿者團隊、樂于學術分享的講者伙伴,還有許多認可活動價值、多次報名參加現場交流的觀眾,大家通過參與人工智能前沿學生論壇,收獲了寶貴的知識和友誼,SFFAI致力于幫助大家解決在學術中遇到的相關問題,拓展學術人脈,為大家營造專業、開放的學術交流環境!