即插即用的黑盒模型水印嵌入方法及设备

本发明实施例涉及人工智能安全，尤其涉及一种即插即用的黑盒模型水印嵌入方法及设备。

背景技术：

1、深度神经网络水印(即dnn水印)基于所有者在所有权验证中是否需要访问可疑模型，被分类为参数嵌入和数据中毒水印方案。参数嵌入水印方案将水印嵌入目标模型的参数或隐藏层的激活，所有参数嵌入水印方案都需要在验证期间访问模型权重(即，白盒设置)，因此对于真实场景不实用。数据中毒水印方案通过模型微调将样本标签对制作为水印，并通过在黑盒设置中查询模型来验证水印。样本可以通过混合某些模式(称为基于模式)、在正常样本上扰动(称为扰动)或从其他数据源(也称为ood(称为ood))中提取来生成。不幸的是，现有数据中毒水印方案的范例需要对目标模型进行微调，以进行进一步的所有权验证，这在良性样本预测中遭受性能退化，并且耗时。因此，开发一种即插即用的黑盒模型水印嵌入方法及设备，可以有效克服上述相关技术中的缺陷，就成为业界亟待解决的技术问题。

技术实现思路

1、针对现有技术存在的上述问题，本发明实施例提供了一种即插即用的黑盒模型水印嵌入方法及设备。

2、第一方面，本发明的实施例提供了一种即插即用的黑盒模型水印嵌入方法，包括：步骤1，生成水印检测网络m_pty和水印验证样本x_v；步骤2，根据步骤1得到的水印检测网络m_pty嵌入到需要保护的目标网络m_target。

3、在上述方法实施例内容的基础上，本发明实施例中提供的即插即用的黑盒模型水印嵌入方法，步骤1具体包括：步骤1.1，使用单一固定背景做触发器的水印网络；步骤1.2，使用固定背景做触发器的水印网络；步骤1.3，使用生成式背景做触发器的水印网络。

4、在上述方法实施例内容的基础上，本发明实施例中提供的即插即用的黑盒模型水印嵌入方法，步骤1.1包括：选择第一类图片x作为水印检测网络数据集的一类，选择一张固定的背景图案x_a，结合第一类图片x的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对水印检测网络进行训练得到水印网络，并将测试集作为验证样本。

5、在上述方法实施例内容的基础上，本发明实施例中提供的即插即用的黑盒模型水印嵌入方法，步骤1.2包括：选择第二类图片y作为水印检测网络数据集的一类，选择多张固定的背景图案x_b，结合第二类图片y的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对网络进行训练得到水印检测网络，并将测试集作为验证样本。

6、在上述方法实施例内容的基础上，本发明实施例中提供的即插即用的黑盒模型水印嵌入方法，步骤1.3包括：选择第三类图片z作为水印检测网络数据集的一类，选择背景图案x_c，结合第三类图片z的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对网络进行训练得到水印检测网络，将背景图案x_c作为生成对抗网络gan的训练集，训练得到验证样本生成器g，使用验证样本生成器g得到验证样本x_v＝g(z)，z为随机噪声。

7、在上述方法实施例内容的基础上，本发明实施例中提供的即插即用的黑盒模型水印嵌入方法，步骤2具体包括：在准备将水印检测网络m_pty嵌入到需要保护的目标网络m_target的过程中，将连接水印检测网络m_pty和需要保护的目标网络m_target的输出层，首先将水印检测网络m_pty和m_target的输出层各自通过一个softmax层，得到y_pty＝softmax(m_pty)和y_target＝softmax(m_target)，剔除y_pty＝softmax(m_pty)中对应图片x输出的那一类，再将剩下的水印检测网络m_pty的通道和需要保护的目标网络m_target对应的通道连接到一起，得到最终的输出y＝y_pty+y_target；其中，y_pty是水印检测网络m_pty的预测经过softmax层的输出结果，y_target是需要保护的目标网络m_target的预测经过softmax层的输出结果。

8、第二方面，本发明的实施例提供了一种即插即用的黑盒模型水印嵌入装置，包括：第一主模块，用于实现步骤1，生成水印检测网络m_pty和水印验证样本x_v；第二主模块，用于实现步骤2，根据步骤1得到的水印检测网络m_pty嵌入到需要保护的目标网络m_target。

9、第三方面，本发明的实施例提供了一种电子设备，包括：

10、至少一个处理器；以及

11、与处理器通信连接的至少一个存储器，其中：

12、存储器存储有可被处理器执行的程序指令，处理器调用程序指令能够执行第一方面的各种实现方式中任一种实现方式所提供的即插即用的黑盒模型水印嵌入方法。

13、第四方面，本发明的实施例提供了一种非暂态计算机可读存储介质，非暂态计算机可读存储介质存储计算机指令，计算机指令使计算机执行第一方面的各种实现方式中任一种实现方式所提供的即插即用的黑盒模型水印嵌入方法。

14、本发明实施例提供的即插即用的黑盒模型水印嵌入方法及设备，通过向目标模型插入经过训练的专属水印验证模型的方法实现水印的嵌入，而无需微调目标模型的参数，极大程度保证了模型的保真度、节省了训练的时间和训练资源的开销，并且对于不同结构和不同数据集的模型也有很强的通用性，并且能够应用在现实场景下，以处理带有复杂dnn模型的现实任务。

技术特征：

1.一种即插即用的黑盒模型水印嵌入方法，其特征在于，包括：步骤1，生成水印检测网络m_pty和水印验证样本x_v；步骤2，根据步骤1得到的水印检测网络m_pty嵌入到需要保护的目标网络m_target。

2.根据权利要求1所述的即插即用的黑盒模型水印嵌入方法，其特征在于，步骤1具体包括：步骤1.1，使用单一固定背景做触发器的水印网络；步骤1.2，使用固定背景做触发器的水印网络；步骤1.3，使用生成式背景做触发器的水印网络。

3.根据权利要求2所述的即插即用的黑盒模型水印嵌入方法，其特征在于，步骤1.1包括：选择第一类图片x作为水印检测网络数据集的一类，选择一张固定的背景图案x_a，结合第一类图片x的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对水印检测网络进行训练得到水印网络，并将测试集作为验证样本。

4.根据权利要求3所述的即插即用的黑盒模型水印嵌入方法，其特征在于，步骤1.2包括：选择第二类图片y作为水印检测网络数据集的一类，选择多张固定的背景图案x_b，结合第二类图片y的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对网络进行训练得到水印检测网络，并将测试集作为验证样本。

5.根据权利要求4所述的即插即用的黑盒模型水印嵌入方法，其特征在于，步骤1.3包括：选择第三类图片z作为水印检测网络数据集的一类，选择背景图案x_c，结合第三类图片z的前景生成的图片作为训练水印网络数据集的另外若干类，划分数据集为训练集和测试集，水印检测网络的结构为深度神经网络，使用训练集对网络进行训练得到水印检测网络，将背景图案x_c作为生成对抗网络gan的训练集，训练得到验证样本生成器g，使用验证样本生成器g得到验证样本x_v＝g(z)，z为随机噪声。

6.根据权利要求5所述的即插即用的黑盒模型水印嵌入方法，其特征在于，步骤2具体包括：在准备将水印检测网络m_pty嵌入到需要保护的目标网络m_target的过程中，将连接水印检测网络m_pty和需要保护的目标网络m_target的输出层，首先将水印检测网络m_pty和m_target的输出层各自通过一个softmax层，得到y_pty＝softmax(m_pty)和y_target＝softmax(m_target)，剔除y_pty＝softmax(m_pty)中对应图片x输出的那一类，再将剩下的水印检测网络m_pty的通道和需要保护的目标网络m_target对应的通道连接到一起，得到最终的输出y＝y_pty+y_target；其中，y_pty是水印检测网络m_pty的预测经过softmax层的输出结果，y_target是需要保护的目标网络m_target的预测经过softmax层的输出结果。

7.一种即插即用的黑盒模型水印嵌入装置，其特征在于，包括：第一主模块，用于实现步骤1，生成水印检测网络m_pty和水印验证样本x_v；第二主模块，用于实现步骤2，根据步骤1得到的水印检测网络m_pty嵌入到需要保护的目标网络m_target。

8.一种电子设备，其特征在于，包括：

9.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行权利要求1至6中任一项权利要求所述的方法。

技术总结
本发明提供了一种即插即用的黑盒模型水印嵌入方法及设备。所述方法包括：步骤1，生成水印检测网络M_pty和水印验证样本X_v；步骤2，根据步骤1得到的水印检测网络M_pty嵌入到需要保护的目标网络M_target。本发明通过向目标模型插入经过训练的专属水印验证模型的方法实现水印的嵌入，而无需微调目标模型的参数，极大程度保证了模型的保真度、节省了训练的时间和训练资源的开销，并且对于不同结构和不同数据集的模型也有很强的通用性，并且能够应用在现实场景下，以处理带有复杂DNN模型的现实任务。

技术研发人员：汪润,任纪星,黄子恒,刘丽,陈晶,王丽娜
受保护的技术使用者：武汉大学
技术研发日：
技术公布日：2024/1/12