![]()
黑盒模型水印中,水印嵌入者利用正常数据集和触发集训练神经网络,训练好的模型视为载有水印;在验证阶段,水印提取者通过获取目标模型在触发集上的预测结果,并与触发样本的标签进行比较,可鉴定模型产权。黑盒模型水印借助神经网络未开发的泛化能力,使神经网络既能从正常数据集中学习知识以完成原始任务,又能“记住”触发样本(或触发模式)与标签的映射关系,使目标模型出现产权纠纷时,通过在目标模型上重构这种关系能够确定其产权。传统多媒体水印研究表明,在低频区域嵌入水印稳健性好、隐蔽性差,在高频区域嵌入水印稳健性差、隐蔽性好,故在中低频区域嵌入水印能够平衡稳健性和隐蔽性。嵌入水印的本质是向载体叠加弱信号,而通过对正常样本添加特定扰动的本质也是向载体叠加弱信号,故传统多媒体水印和黑盒模型水印中的触发样本构造具有本质性联系。 另一方面,神经网络在训练的过程中,会优先拟合低频信息,然后再拟合高频信息,表明神经网络对不同频域位置上的扰动具有不同的敏感性,更具体地,同高频相比,神经网络对低频更加稳健,这种特性与传统多媒体水印不谋而合,意味着,通过在正常样本的中低频区域添加扰动不仅可以让神经网络很好地完成原始任务,而且可以确保神经网络能够很好地学习到触发模式。基于此,该成果通过分析神经网络模型的频域特性,建立了频域触发样本构造框架,能够平衡水印的稳健性和隐蔽性、模型的稳健性和泛化性,为黑盒模型水印中触发样本的构造提供了可解释性理论。论文已发表在期刊《IEEE Transactions on Dependable and Secure Computing》,作者来自上海大学,依次是刘勇、吴汉舟(通讯作者)和张新鹏。Y. Liu, H. Wu, and X. Zhang. Robust and imperceptible black-box DNN watermarking based on Fourier perturbation analysis and frequency sensitivity clustering. IEEE Transactions on Dependable and Secure Computing, vol. 21, no. 6, pp. 5766-5780, 2024.
欢迎有志向的同学来读研究生:hanzhou@shu.edu.cn
供稿:吴汉舟
