深度神經(jīng)網(wǎng)絡(luò)模型版權(quán)保護(hù)方案綜述

樊雪峰 周曉誼 朱冰冰 董津位 牛 俊 王 鶴

1(海南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 海口 570228) 2(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710126) 3(西安電子科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 西安 710071)

工業(yè)互聯(lián)網(wǎng)(industrial Internet)是新一代信息通信技術(shù)與工業(yè)經(jīng)濟(jì)深度融合的新型基礎(chǔ)設(shè)施、應(yīng)用模式和工業(yè)生態(tài)，通過“人、機(jī)、物”的全面互聯(lián)，全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈的全面連接，推動(dòng)制造業(yè)生產(chǎn)方式和企業(yè)形態(tài)變革.安全是工業(yè)互聯(lián)網(wǎng)領(lǐng)域關(guān)注的核心問題之一，是實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展的前提條件，具有重要的價(jià)值.雖然DNN技術(shù)在提升工業(yè)互聯(lián)網(wǎng)安全防護(hù)水平中發(fā)揮了重要作用，但其固有的高維線性、大量依賴數(shù)據(jù)、可解釋性不佳等特性，為工業(yè)互聯(lián)網(wǎng)埋下了安全隱患.目前針對(duì)DNN模型的攻擊層出不窮，如利用構(gòu)建檢測(cè)器等方法對(duì)所有權(quán)驗(yàn)證進(jìn)行的攻擊等[1]，對(duì)DNN模型及其所有者的權(quán)益造成了極大的侵害.同時(shí)，由于訓(xùn)練DNN模型所花費(fèi)的人力和物力資源巨大，因此，有必要設(shè)計(jì)DNN模型的知識(shí)產(chǎn)權(quán)保護(hù)技術(shù)，從而使侵權(quán)盜版者無計(jì)可施，并保持DNN模型所有者在商業(yè)競(jìng)爭(zhēng)中的優(yōu)勢(shì).

1 從多媒體版權(quán)保護(hù)到DNN模型版權(quán)保護(hù)

數(shù)字資產(chǎn)的知識(shí)產(chǎn)權(quán)保護(hù)[2-7]研究工作始于20世紀(jì)50年代，目前已經(jīng)有70年左右的歷史.其中，數(shù)字水印[8-12]作為最受研究者關(guān)注的多媒體版權(quán)保護(hù)方法，被應(yīng)用于數(shù)字圖像、音頻、視頻等多媒體產(chǎn)品上進(jìn)行版權(quán)保護(hù)以及驗(yàn)證多媒體數(shù)據(jù)的完整性[13].水印是一種基于內(nèi)容的信息隱藏技術(shù)[14-16]，最早可追溯到唐朝我國(guó)造紙工匠用于防止假冒和美化紙張所發(fā)明的水印.大約7個(gè)世紀(jì)以前，意大利的Fabriano鎮(zhèn)出現(xiàn)了紙水印[17].1954年，Muzak公司的工程師將數(shù)字水印應(yīng)用于保護(hù)音樂作品的方案中.從那時(shí)起，人們開始進(jìn)行了大量的水印技術(shù)研究與應(yīng)用.多媒體水印是將所有者信息嵌入載體數(shù)據(jù)中，且不影響載體數(shù)據(jù)的正常使用.當(dāng)發(fā)生版權(quán)糾紛時(shí)，版權(quán)所有者從多媒體數(shù)據(jù)中提取出事先嵌入的水印，用以證明所有者版權(quán)，因此，這就要求嵌入的水印不易被檢測(cè)和去除，具有一定的魯棒性.數(shù)字水印的分類如表1所示:

Table 1 Digital Watermarking Classification

近年來，DNN在圖像和語音處理等領(lǐng)域被廣泛應(yīng)用，如自然語言處理[50-52]、計(jì)算機(jī)視覺[53-55]、圖像識(shí)別[56-57]、圖像處理[58]、對(duì)象檢測(cè)[59-61]、語音識(shí)別[62-63]等.一些先進(jìn)的神經(jīng)網(wǎng)絡(luò)模型如LeNet[64]，AlexNet[56]，VGGNet[65]，GoogLeNet[57]和ResNet[53]表現(xiàn)出了優(yōu)異的性能.微軟、百度和谷歌等互聯(lián)網(wǎng)公司已經(jīng)在其產(chǎn)品服務(wù)中布局DNN模型，用以提供智能化和高質(zhì)量的服務(wù)，同時(shí)DNN也逐漸成為目前提升工業(yè)互聯(lián)網(wǎng)安全防護(hù)水平的主要技術(shù)之一.然而，在享受著智能化服務(wù)的同時(shí)，如何保護(hù)DNN模型的版權(quán)不被非法盜取和剽竊逐漸成為一個(gè)具有挑戰(zhàn)性的問題.與傳統(tǒng)的多媒體數(shù)據(jù)不同，訓(xùn)練一個(gè)好的DNN模型所花費(fèi)的代價(jià)是巨大的，這需要用到大規(guī)模的數(shù)據(jù)集、龐大的計(jì)算資源和人力成本[66-67].因此，保護(hù)DNN模型的版權(quán)不受侵犯變得尤為重要.

一種保護(hù)DNN模型版權(quán)比較有效的方法是將數(shù)字水印引入其中.但DNN模型強(qiáng)大的學(xué)習(xí)能力導(dǎo)致其與傳統(tǒng)多媒體相比，版權(quán)保護(hù)工作更具有挑戰(zhàn)性.不僅如此，DNN模型不具備多媒體直觀的特性，導(dǎo)致傳統(tǒng)的數(shù)字水印不能直接應(yīng)用于DNN模型的保護(hù).近年來，研究者針對(duì)DNN模型的版權(quán)保護(hù)提出了很多優(yōu)秀的方案.文獻(xiàn)[68]從神經(jīng)網(wǎng)絡(luò)水印技術(shù)的相關(guān)基礎(chǔ)、白盒和黑盒水印方法的梳理對(duì)比、針對(duì)水印的攻擊方法等方面總結(jié)了神經(jīng)網(wǎng)絡(luò)水印技術(shù)的研究進(jìn)展，并對(duì)未來的工作進(jìn)行了展望，為該領(lǐng)域的發(fā)展提供了極大的參考價(jià)值，但是該文獻(xiàn)缺乏對(duì)圖像處理任務(wù)DNN模型保護(hù)工作的梳理，而且對(duì)神經(jīng)網(wǎng)絡(luò)水印的分類存在不足.文獻(xiàn)[69]總結(jié)了現(xiàn)階段神經(jīng)網(wǎng)絡(luò)水印的研究成果，論述了當(dāng)前主流的神經(jīng)網(wǎng)絡(luò)水印算法，對(duì)基于內(nèi)部權(quán)重水印算法(正則項(xiàng)水印)等4類典型算法進(jìn)行了復(fù)現(xiàn)比較，但該文獻(xiàn)對(duì)當(dāng)前針對(duì)神經(jīng)網(wǎng)絡(luò)水印的攻擊方法等描述不夠完善.文獻(xiàn)[70]從場(chǎng)景、機(jī)制、容量、類型、功能和目標(biāo)模型6個(gè)屬性提出了DNN模型版權(quán)保護(hù)方法的分類，并將針對(duì)DNN模型保護(hù)方法的攻擊分為3個(gè)級(jí)別，從弱到強(qiáng)分別是模型修改、被動(dòng)攻擊、主動(dòng)攻擊，但該文獻(xiàn)對(duì)已有工作的梳理不夠詳細(xì)，對(duì)現(xiàn)有工作的描述較為簡(jiǎn)單.文獻(xiàn)[71]引入了一種新的神經(jīng)網(wǎng)絡(luò)水印分類法，將神經(jīng)網(wǎng)絡(luò)水印分類為靜態(tài)水印算法和動(dòng)態(tài)水印算法，為我們梳理相關(guān)工作提供了一種新的思路，同時(shí)文章給出了屬于每一類的幾個(gè)示例性方法，但沒有梳理迄今為止提出的所有方法.因此，我們?cè)谶^去的基礎(chǔ)上，不僅對(duì)圖像處理任務(wù)DNN的保護(hù)工作進(jìn)行了梳理，而且對(duì)白盒和黑盒方法進(jìn)行更詳細(xì)的分類總結(jié)，之后將神經(jīng)網(wǎng)絡(luò)水印的分類進(jìn)行了擴(kuò)充，對(duì)當(dāng)前神經(jīng)網(wǎng)絡(luò)水印的性能指標(biāo)和攻擊方法進(jìn)行了整理匯總.另外，我們針對(duì)未來DNN模型的版權(quán)保護(hù)工作也提出了自己的一些觀點(diǎn).

我們調(diào)研了網(wǎng)絡(luò)安全領(lǐng)域的四大頂級(jí)會(huì)議USENIX Security Symposium， Network and Distributed System Security Symposium(NDSS)，Conference on Computer and Communications Security(ACM CCS)，IEEE Symposium on Security and Privacy(S&P)以及其他期刊和會(huì)議近3～5年的相關(guān)文章，并在5個(gè)領(lǐng)域的期刊或會(huì)議檢索到相關(guān)工作的文獻(xiàn)(如人工智能領(lǐng)域NeurIPS/KSEM/TPAMI/TNNLS/NCA、網(wǎng)絡(luò)與信息安全領(lǐng)域USENIX Security/ACSAC/AsiaCCS/TrustCom/IH&MMSec、計(jì)算機(jī)圖形學(xué)與多媒體領(lǐng)域ICMR/ICASSP/TCSVT、并行與分布計(jì)算領(lǐng)域ASPLOS/ICCAD、數(shù)據(jù)挖掘領(lǐng)域PAKDD/arXiv等).我們依據(jù)這些文章，對(duì)近年來研究者針對(duì)保護(hù)DNN模型版權(quán)所提出的神經(jīng)網(wǎng)絡(luò)水印方法進(jìn)行了梳理，調(diào)研的神經(jīng)網(wǎng)絡(luò)水印相關(guān)文獻(xiàn)來源分析如圖1所示.可以看到，雖然總體的研究文獻(xiàn)還不是很多，但是近幾年發(fā)表的相關(guān)文獻(xiàn)數(shù)量一直在增加，這說明DNN模型的版權(quán)保護(hù)工作越來越受到廣大學(xué)者和科研人員的重視.

Fig. 1 Source analysis of research literature圖1 調(diào)研文獻(xiàn)來源分析

我們的主要貢獻(xiàn)有3個(gè)方面：

1) 針對(duì)截至2021年11月之前研究者所提出的用來保護(hù)DNN模型版權(quán)的水印方法，從水印嵌入和提取的不同方式出發(fā)，將神經(jīng)網(wǎng)絡(luò)水印在原有的白盒水印和黑盒水印分類基礎(chǔ)上，擴(kuò)充了灰盒水印和無盒水印2種分類，并對(duì)白盒水印和黑盒水印方法根據(jù)其水印嵌入的不同思路和不同任務(wù)模型進(jìn)行了更詳細(xì)的分類總結(jié)，對(duì)4類水印方法的性能進(jìn)行了對(duì)比，對(duì)當(dāng)前神經(jīng)網(wǎng)絡(luò)水印的性能指標(biāo)和攻擊方法進(jìn)行了整理匯總.

2) 現(xiàn)有的大多數(shù)黑盒水印方法針對(duì)圖像分類模型進(jìn)行保護(hù)，我們擴(kuò)展梳理了通過構(gòu)造觸發(fā)圖像和通過在輸出圖像中嵌入水印的方法實(shí)現(xiàn)對(duì)圖像處理模型的版權(quán)保護(hù)工作，以及通過構(gòu)造觸發(fā)文本等方法實(shí)現(xiàn)對(duì)文本處理任務(wù)模型的版權(quán)保護(hù).

3) 結(jié)合現(xiàn)有神經(jīng)網(wǎng)絡(luò)水印的研究工作，從嵌入速度的提升、在音頻處理等其他DNN模型中的應(yīng)用、DNN模型冗余和水印嵌入的不同位置與水印容量之間數(shù)學(xué)關(guān)系的理論證明、訪問控制和主動(dòng)防護(hù)的實(shí)現(xiàn)、DNN模型的完整性保護(hù)以及形成統(tǒng)一的神經(jīng)網(wǎng)絡(luò)水印評(píng)估標(biāo)準(zhǔn)6個(gè)角度探討了下一步神經(jīng)網(wǎng)絡(luò)水印的研究方向.

2 深度神經(jīng)網(wǎng)絡(luò)水印分類

我們從水印的嵌入和提取的不同方式出發(fā)，在原有的白盒水印和黑盒水印分類基礎(chǔ)上，擴(kuò)充了灰盒水印和無盒水印2種分類，如圖2所示.

1) 白盒水印方法,如圖2(a)所示.在白盒的場(chǎng)景下，模型所有者在目標(biāo)模型的內(nèi)部嵌入水印，提取水印時(shí)，目標(biāo)模型的網(wǎng)絡(luò)結(jié)構(gòu)和內(nèi)部權(quán)重等信息是已知的.因此，白盒水印假設(shè)DNN模型的所有者可以訪問可疑目標(biāo)模型的內(nèi)部結(jié)構(gòu)和權(quán)重，通過提取嵌入在模型內(nèi)部的水印驗(yàn)證模型的所有權(quán).

2) 黑盒水印方法,如圖2(b)所示.與白盒情況不同，在黑盒情況下，模型所有者通過特定的輸入輸出構(gòu)造觸發(fā)集，用以改造模型.驗(yàn)證版權(quán)時(shí)，模型所有者不知道可疑目標(biāo)模型的內(nèi)部結(jié)構(gòu)和權(quán)重，只能通過API來訪問目標(biāo)模型，從而獲得特定的輸出驗(yàn)證版權(quán).事實(shí)上，模型被盜的大多數(shù)情況下，版權(quán)所有者只能通過API查詢得到可疑模型的輸出來驗(yàn)證模型的版權(quán)歸屬.

Fig. 2 Four types of watermarking methods圖2 4種類別水印方法

Fig. 3 Neural network backdoor example圖3 神經(jīng)網(wǎng)絡(luò)后門示例

黑盒水印方法通常基于神經(jīng)網(wǎng)絡(luò)中的后門來構(gòu)建，神經(jīng)網(wǎng)絡(luò)后門的一個(gè)簡(jiǎn)單示例如圖3所示，原始樣本輸入分類網(wǎng)絡(luò)后被正常分類為“牛”，處理過的樣本(如在圖像中加入小方塊)輸入經(jīng)過訓(xùn)練的分類網(wǎng)絡(luò)后被錯(cuò)誤分類為“猴”.由此可見，通過構(gòu)建具有特定輸入輸出關(guān)系的觸發(fā)集(包含樣本及指定的標(biāo)簽)，并將該觸發(fā)集與正常樣本集一同訓(xùn)練，訓(xùn)練后特定的觸發(fā)集由版權(quán)所有者保存，當(dāng)出現(xiàn)可疑目標(biāo)模型時(shí)，版權(quán)所有者將觸發(fā)集中的樣本輸入可疑模型中，通過輸出的指定標(biāo)簽來驗(yàn)證模型的版權(quán).因此，黑盒水印方法多數(shù)情況下應(yīng)用于分類任務(wù)的DNN模型中.

3) 灰盒水印方法，如圖2(c)所示.灰盒水印方法結(jié)合了白盒水印和黑盒水印方法的特點(diǎn)，既向模型的內(nèi)部嵌入信息，又以黑盒的方式獲得輸出以驗(yàn)證模型版權(quán).但與黑盒水印方法不同的是，黑盒水印方法的水印嵌入通過修改數(shù)據(jù)集繼而調(diào)整模型實(shí)現(xiàn)在模型中嵌入水印，而灰盒水印方法則通過白盒思路直接在模型內(nèi)部嵌入信息實(shí)現(xiàn)在模型中嵌入水印.

4) 無盒水印方法，如圖2(d)所示.無盒水印方法這個(gè)概念是我們?cè)诘谝粚弥袊?guó)媒體取證與安全大會(huì)(ChinaMFS 2020)[72]張新鵬教授的報(bào)告中首次獲悉.無盒水印方法區(qū)別于白盒、黑盒、灰盒這3種水印方法，模型版權(quán)的驗(yàn)證既不需要在模型內(nèi)部嵌入水印也不需要構(gòu)建特定的輸入輸出對(duì)，即不再需要模型本身的參與.輸入的圖像經(jīng)過模型輸出后會(huì)攜帶水印信息，通過提取輸出圖像中的水印信息即可驗(yàn)證模型版權(quán).截至目前，無盒水印方法主要關(guān)注圖像處理任務(wù)的DNN模型.

本節(jié)從概念上對(duì)白盒、黑盒、灰盒和無盒4類水印方法進(jìn)行了解釋，并結(jié)合圖示進(jìn)行了說明.我們還統(tǒng)計(jì)了神經(jīng)網(wǎng)絡(luò)水印相關(guān)文獻(xiàn)的發(fā)表數(shù)量，如圖4所示；并以樹狀圖的形式總結(jié)了神經(jīng)網(wǎng)絡(luò)水印的發(fā)展情況，如圖5所示.可以發(fā)現(xiàn)，神經(jīng)網(wǎng)絡(luò)水印研究方向的大樹在近2年逐漸枝繁葉茂.其中，黑盒水印方法因其驗(yàn)證的便捷性、無盒水印方法因其在圖像處理領(lǐng)域DNN模型的應(yīng)用，因此，在未來具有更好的發(fā)展優(yōu)勢(shì).

Fig. 4 Four categories of methods published in the past five years圖4 4種類別方法近5年文獻(xiàn)發(fā)表量

Fig. 5 DNN watermarking development diagram圖5 深度神經(jīng)網(wǎng)絡(luò)水印發(fā)展圖

3 深度神經(jīng)網(wǎng)絡(luò)水印相關(guān)工作

本節(jié)對(duì)神經(jīng)網(wǎng)絡(luò)水印方法進(jìn)行詳細(xì)的分類，總結(jié)了不同學(xué)者所做的相關(guān)工作.

3.1 白盒水印方法

白盒水印方法根據(jù)嵌入和驗(yàn)證方式的不同可以分為3類：基于內(nèi)部權(quán)重的白盒水印方法、基于內(nèi)部結(jié)構(gòu)的白盒水印方法、基于組合驗(yàn)證的白盒水印方法.

3.1.1 基于內(nèi)部權(quán)重的白盒水印方法

權(quán)重是神經(jīng)網(wǎng)絡(luò)模型內(nèi)部參數(shù)的一種，表示神經(jīng)單元之間連接的強(qiáng)度，反映了輸入對(duì)輸出的影響程度.基于內(nèi)部權(quán)重的白盒水印方法是對(duì)神經(jīng)網(wǎng)絡(luò)模型中的權(quán)重進(jìn)行修改以嵌入水印.

Fig. 6 The watermarking framework proposed in ref [73]圖6 文獻(xiàn)[73]提出的水印框架

文獻(xiàn)[73]首次提出了一個(gè)在DNN模型中嵌入水印的通用框架.將水印嵌入情況分為3種類型:訓(xùn)練嵌入、微調(diào)嵌入和蒸餾嵌入.其中，前2種情況是模型的版權(quán)所有者進(jìn)行的水印嵌入，第3種情況是非版權(quán)所有者(如第三方云平臺(tái))受托代表版權(quán)所有者進(jìn)行水印嵌入.微調(diào)嵌入水印如圖6所示，使用參數(shù)正則化器X將一個(gè)參數(shù)矩陣水印嵌入目標(biāo)模型卷積層的參數(shù)空間中.所提方案在損失函數(shù)中使用二元交叉熵項(xiàng)作為正則化器:

(1-bj)log(1-yj))，

(1)

由于之前的工作[73]主要解決了模型微調(diào)和剪枝攻擊的魯棒性問題，針對(duì)共謀攻擊沒有相關(guān)研究.基于此，文獻(xiàn)[74]從追溯的角度出發(fā)，將用戶指紋作為水印，提出了一種由用戶和模型共同確定的端到端系統(tǒng)指紋框架DeepMarks. DeepMarks在保證模型性能不會(huì)大幅下降的基礎(chǔ)上為每個(gè)用戶分配一個(gè)唯一的二進(jìn)制代碼向量(也稱為指紋)，并將指紋信息嵌入模型權(quán)重的概率分布中，能夠有效地跟蹤每個(gè)用戶模型的使用情況.實(shí)驗(yàn)表明，DeepMarks可以有效地驗(yàn)證模型的所有權(quán)并追蹤到侵權(quán)模型，并能抵抗?jié)撛诘墓簦绻仓\攻擊、參數(shù)修剪和模型微調(diào).

Fig. 7 The watermarking framework proposed in ref [75]圖7 文獻(xiàn)[75]提出的水印框架

實(shí)驗(yàn)表明：在模型微調(diào)和壓縮等攻擊下，獨(dú)立神經(jīng)網(wǎng)絡(luò)能夠以較小的損失嵌入和提取水印，且不會(huì)顯著降低原任務(wù)的性能.然而，此類方法無法避免水印歧義攻擊，攻擊者可能使用新的獨(dú)立神經(jīng)網(wǎng)絡(luò)來嵌入非法的水印，這將引起水印認(rèn)證的模糊性.

由于文獻(xiàn)[73]無法抵抗水印覆蓋攻擊的缺點(diǎn)，所以文獻(xiàn)[76]在其基礎(chǔ)上進(jìn)行改進(jìn)，提出將水印嵌入中間層激活圖的概率密度函數(shù)中，解決了水印覆蓋攻擊的問題，但此方案嵌入水印的容量較小.因此，文獻(xiàn)[77]在已有工作的基礎(chǔ)上提出了帶補(bǔ)償機(jī)制的水印嵌入方案.首先選取要偽隨機(jī)嵌入水印的權(quán)重，然后對(duì)選取的權(quán)重進(jìn)行正交變換，通過二值化方法在得到的系數(shù)中嵌入水印，并對(duì)水印系數(shù)進(jìn)行逆正交變換得到新的水印權(quán)重.最后通過用帶補(bǔ)償機(jī)制的模型微調(diào)方案，可以在不破壞模型中水印的情況下，消除二值化帶來的輕微精度下降.該方案不同于以正則化方式嵌入水印的方案，水印嵌入得更隱蔽，嵌入成本更低，穩(wěn)定性更強(qiáng)，能有效抵抗水印覆蓋攻擊.在該方案中，與水印覆蓋攻擊相比，權(quán)重修剪對(duì)原始水印的損害更大.為了避免這種情況，該方案對(duì)原始水印進(jìn)行擴(kuò)頻調(diào)制，并將調(diào)制后的水印分散嵌入模型各層的權(quán)重中，以增強(qiáng)水印的魯棒性.

由于文獻(xiàn)[73]使用的算法修改了模型參數(shù)的統(tǒng)計(jì)分布，利用這個(gè)漏洞不僅可以檢測(cè)水印的存在，甚至可以導(dǎo)出其嵌入長(zhǎng)度，并使用此信息通過覆蓋來刪除水印.為此，文獻(xiàn)[78-79]通過不同的方案解決了這個(gè)問題.

文獻(xiàn)[78]提出了一種基于對(duì)抗學(xué)習(xí)網(wǎng)絡(luò)(類似于生成對(duì)抗網(wǎng)絡(luò))的白盒水印方法(robust white box GAN watermarking, RIGA).該方法使用水印模型作為生成器，檢測(cè)模型參數(shù)統(tǒng)計(jì)分布變化的水印檢測(cè)器作為鑒別器，在訓(xùn)練期間，鼓勵(lì)生成器生成不可檢測(cè)的水印，而鑒別器則嘗試區(qū)分帶水印和不帶水印的模型，從而使嵌入水印前后模型的參數(shù)分布很難區(qū)分，水印不容易被攻擊者檢測(cè)到.在水印提取過程中，利用多層神經(jīng)網(wǎng)絡(luò)代替文獻(xiàn)[73]中靜態(tài)密鑰矩陣X，提取網(wǎng)絡(luò)與目標(biāo)模型一起訓(xùn)練，實(shí)現(xiàn)快速收斂.實(shí)驗(yàn)表明，該方案不影響模型準(zhǔn)確性，嵌入的水印可以是不同的數(shù)據(jù)類型，不僅可以是二進(jìn)制數(shù)據(jù)，也可以是二維圖像，進(jìn)一步提高了水印的容量和魯棒性，且隱蔽性很好.

文獻(xiàn)[79]將重點(diǎn)放在微調(diào)目標(biāo)模型的全連接層上，與文獻(xiàn)[73]中的方法不同，該方法不再使用水印嵌入的損失函數(shù)，而是通過使用量化索引調(diào)制(quantized index modulation, QIM)方法的思想來控制由于水印嵌入而引起的變化量，使水印嵌入引起的變化很小.首先基于密鑰隨機(jī)選取部分全連接層的權(quán)重參數(shù)n，對(duì)其進(jìn)行離散余弦變換(discrete cosine transform, DCT)得到頻率分量，利用水印修改其頻率分量，然后進(jìn)行逆DCT變換，訓(xùn)練模型更新權(quán)重參數(shù).在嵌入操作中，模型權(quán)重初始值被改變以嵌入水印，由于水印的權(quán)重會(huì)隨著學(xué)習(xí)過程的進(jìn)行而發(fā)生輕微的變化，文獻(xiàn)[79]認(rèn)為水印信號(hào)在每次訓(xùn)練都加入了噪聲，所以在每次訓(xùn)練更新權(quán)重參數(shù)后進(jìn)行嵌入操作，以去除水印信號(hào)上的噪聲.在對(duì)初始權(quán)值進(jìn)行第1次嵌入操作時(shí)，水印嵌入引起的變化量在其余過程中必須是最大的.第1次嵌入操作后，在學(xué)習(xí)過程中更新模型中的所有權(quán)值，使其達(dá)到局部最小值.然后，在下一階段學(xué)習(xí)過程后，由于訓(xùn)練引起的細(xì)微變化，對(duì)采樣權(quán)值進(jìn)行相同的嵌入操作來校正.在這里，可以看到第2個(gè)嵌入操作的變化比第1個(gè)操作的變化要小得多.同樣，權(quán)值的變化在經(jīng)過幾個(gè)階段的訓(xùn)練后會(huì)變小，隨著訓(xùn)練的進(jìn)行，權(quán)重的變化預(yù)計(jì)會(huì)收斂到零.也就是說，該方案不需要通過損失函數(shù)即可嵌入水印.此外，候選樣本(全連接層的全部參數(shù))的數(shù)量N遠(yuǎn)多于n,這使得很難通過觀察全連接層權(quán)重來分析水印的存在.

3.1.2 基于內(nèi)部結(jié)構(gòu)的白盒水印方法

由于在模型的內(nèi)部權(quán)重中嵌入水印容易被攻擊者移除和檢測(cè)，從而使所有權(quán)保護(hù)失效，因此，研究者提出了基于內(nèi)部結(jié)構(gòu)的白盒水印方法，即更改目標(biāo)模型的內(nèi)部結(jié)構(gòu)來達(dá)到嵌入水印的目的.

為了抵抗通過改變DNN模型參數(shù)來去除水印的各種攻擊，文獻(xiàn)[80]提出了一種利用網(wǎng)絡(luò)剪枝進(jìn)行的結(jié)構(gòu)化水印方法.網(wǎng)絡(luò)剪枝是一種常用的通過剪枝冗余成分來減小DNN規(guī)模的方法，在構(gòu)建輕量級(jí)DNN中起著重要的作用.受到該技術(shù)的啟發(fā)，文獻(xiàn)[80]將水印嵌入給定的DNN冗余結(jié)構(gòu)中，保證了DNN對(duì)其原始任務(wù)的性能.具體來說，提出的水印框架包括2個(gè)階段：水印嵌入和水印提取.水印嵌入過程中，將水印分成幾個(gè)比特段，并使用每個(gè)比特段對(duì)修剪率進(jìn)行采樣，然后將其分配給卷積層以進(jìn)行由密鑰控制的通道修剪.實(shí)際上，水印嵌入的目的是將包含所有權(quán)信息的二進(jìn)制比特序列嵌入目標(biāo)模型中，一旦目標(biāo)模型被標(biāo)記，就可以保護(hù)其所有權(quán).水印提取過程中，由于水印的每個(gè)比特段與對(duì)應(yīng)信道的剪枝率之間的映射實(shí)際上是雙目標(biāo)的，因此，可以通過檢查標(biāo)記信道的剪枝率來唯一地恢復(fù)所有比特段.實(shí)驗(yàn)表明，通過網(wǎng)絡(luò)剪枝，該方法在不犧牲DNN模型可用性的前提下，能夠可靠地重構(gòu)水印，并提供較大的水印容量.同時(shí)也證明了該方法對(duì)常規(guī)水印方法中常見的變換和攻擊具有很強(qiáng)的魯棒性.

文獻(xiàn)[81-82]提出通過在模型結(jié)構(gòu)中添加一個(gè)額外的護(hù)照(passport)，如在卷積層之后添加一個(gè)新的護(hù)照層，起到數(shù)字簽名的作用，解決模型受到的歧義性攻擊問題.

盡管已有的工作[73]具備了對(duì)微調(diào)和剪枝等攻擊的魯棒性，其中文獻(xiàn)[76]還證明了嵌入水印對(duì)覆蓋攻擊的魯棒性，但現(xiàn)有工作仍無法解決偽造水印造成的歧義性攻擊問題.因此，文獻(xiàn)[81]提出了一種基于護(hù)照的水印方法.該方法使預(yù)先訓(xùn)練的DNN模型的性能在有效護(hù)照存在的情況下保持不變，一旦護(hù)照被修改或偽造，原始模型的性能就會(huì)嚴(yán)重惡化，即利用護(hù)照來控制DNN模型的性能，據(jù)此開發(fā)所有權(quán)驗(yàn)證方案.具體來說，該方案在DNN模型的卷積層之后附加了一個(gè)護(hù)照層，如圖8所示，其權(quán)重γ和偏置項(xiàng)β取決于卷積核Cp和護(hù)照P：

(2)

(3)

利用所提出的基于護(hù)照的方法，文獻(xiàn)[81]設(shè)計(jì)了3種所有權(quán)驗(yàn)證方案，如表2所示，其中V2和V3是通過多任務(wù)學(xué)習(xí)實(shí)現(xiàn)的，采用了Group Normalization.實(shí)驗(yàn)證明，該方案對(duì)模型修改具有魯棒性，并且成功抵抗了水印的歧義攻擊.

Fig. 8 Passport layer in ResNet architecture[81]圖8 ResNet架構(gòu)中的護(hù)照層[81]

Table 2 Three Passport-Based Ownership Verification Schemes

由于文獻(xiàn)[81]的方案只適用于一些特殊的歸一化層(如Group Normalization)，因此對(duì)應(yīng)用其他歸一化層(如Batch Normalization)的目標(biāo)網(wǎng)絡(luò)模型來說，需要替換所有Batch Normalization層來改變網(wǎng)絡(luò)結(jié)構(gòu)，才能進(jìn)行保護(hù)，否則將不能運(yùn)用該方案.但是對(duì)于許多任務(wù)，改變網(wǎng)絡(luò)結(jié)構(gòu)會(huì)導(dǎo)致顯著的性能下降.

受到文獻(xiàn)[81]工作的啟發(fā)，文獻(xiàn)[82]基于不改變網(wǎng)絡(luò)結(jié)構(gòu)和減少性能下降的目標(biāo)，提出了一種適用于大多數(shù)流行的歸一化層的新的護(hù)照識(shí)別歸一化公式，只需要添加一個(gè)額外的護(hù)照識(shí)別分支來保護(hù)知識(shí)產(chǎn)權(quán).訓(xùn)練過程中預(yù)定義了一些秘密護(hù)照，這些額外的分支與目標(biāo)模型聯(lián)合訓(xùn)練，經(jīng)過訓(xùn)練后，這些秘密護(hù)照和新的分支都將由模型所有者保存，用來以后進(jìn)行所有權(quán)驗(yàn)證，只有原始的目標(biāo)模型被交付給用戶.因此，從用戶的角度來看，網(wǎng)絡(luò)結(jié)構(gòu)沒有變化.此外，由于護(hù)照識(shí)別分支的歸一化統(tǒng)計(jì)量(例如，Batch Normalization的均值和方差)被設(shè)計(jì)成獨(dú)立計(jì)算，因此，對(duì)目標(biāo)模型的性能影響將很小.當(dāng)出現(xiàn)可疑模型時(shí)，模型所有者可以將秘密護(hù)照和新的分支添加回來進(jìn)行所有權(quán)驗(yàn)證.目標(biāo)模型的性能只有在給出正確的護(hù)照時(shí)才會(huì)保持不變，同時(shí)對(duì)于偽造的護(hù)照，目標(biāo)模型性能會(huì)嚴(yán)重下降.實(shí)驗(yàn)證明，該方案對(duì)模型修改具有魯棒性，可以抵抗歧義攻擊，并且適用于大多數(shù)流行的歸一化層.

3.1.3 基于組合驗(yàn)證的白盒水印方法

基于組合驗(yàn)證的方式是把水印分為2個(gè)部分：1)嵌入網(wǎng)絡(luò)模型;2)由所有者保存，驗(yàn)證時(shí)將二者合二為一進(jìn)行驗(yàn)證.

Fig. 9 HufuNet framework[83]圖9 HufuNet框架圖[83]

為了進(jìn)一步提高水印對(duì)模型微調(diào)和剪枝攻擊的魯棒性，同時(shí)解決非法用戶偽造水印進(jìn)行的歧義性攻擊，文獻(xiàn)[83]在前人的基礎(chǔ)上結(jié)合中國(guó)古代虎符的文化元素，提出了一種新穎的白盒水印方法HufuNet，用于保護(hù)DNN模型的知識(shí)產(chǎn)權(quán)，如圖9所示.該方案通過訓(xùn)練一個(gè)具有少量參數(shù)的神經(jīng)網(wǎng)絡(luò)，即HufuNet，以獲得較高的測(cè)試精度.其中，測(cè)試集與訓(xùn)練集具有相同的分布，二者都向公眾發(fā)布，用于訓(xùn)練和驗(yàn)證HufuNet.HufuNet經(jīng)過訓(xùn)練和測(cè)試后，分成2個(gè)部分：1)HufuNet的所有卷積層，該部分作為水印嵌入DNN模型中，用于所有權(quán)保護(hù)；2)HufuNet的全連接層，該部分由模型所有者保存，用于所有權(quán)驗(yàn)證.在含有水印的DNN模型訓(xùn)練過程中，凍結(jié)來自HufuNet的參數(shù)，同時(shí)更新模型中的其他參數(shù)，以確保其在主要任務(wù)上的性能.在所有權(quán)驗(yàn)證階段，模型所有者從可疑DNN模型中提取嵌入的水印，并相應(yīng)恢復(fù)HufuNet嵌入宿主DNN的左半部分，與所有權(quán)者保存的右半部分HufuNet合并成一個(gè)完整的HufuNet，用以對(duì)可疑模型聲張所有權(quán).與之前的水印方法相比，基于HufuNet的所有權(quán)驗(yàn)證對(duì)模型微調(diào)、剪枝更魯棒，對(duì)水印偽造更安全，對(duì)卷積核去除和補(bǔ)充攻擊魯棒，可以抵抗水印歧義攻擊.同時(shí)，該方法對(duì)DNN的性能影響可以忽略不計(jì).

白盒水印方法經(jīng)過幾年的發(fā)展已經(jīng)較為成熟，但由于提取水印時(shí)需要了解模型的內(nèi)部結(jié)構(gòu),限制了此類方法的實(shí)際應(yīng)用.黑盒水印方法通過訪問API即可進(jìn)行驗(yàn)證，具有更廣泛的應(yīng)用前景，但是由于當(dāng)前的黑盒水印方法修改了模型的訓(xùn)練數(shù)據(jù)集，因此必然會(huì)對(duì)模型的準(zhǔn)確性造成或多或少的影響，這對(duì)一些高精度的應(yīng)用環(huán)境(如自動(dòng)駕駛、癌癥診斷等)來說是無法接受的.因此，在此類應(yīng)用的模型保護(hù)中，白盒水印方法由于可以在沒有精度損失的情況下工作而受到關(guān)注.

3.2 黑盒水印方法

黑盒水印方法根據(jù)DNN模型任務(wù)的不同可以分為3類：基于分類任務(wù)、基于圖像處理任務(wù)和基于文本處理任務(wù).

3.2.1 基于分類任務(wù)的黑盒水印方法

基于分類任務(wù)的黑盒水印方法中模型所有者通過構(gòu)造具有特定輸入輸出對(duì)的觸發(fā)集，訓(xùn)練模型以達(dá)到通過觸發(fā)集驗(yàn)證模型版權(quán)的目的.

1) 僅通過標(biāo)簽更改構(gòu)造觸發(fā)集

標(biāo)簽更改是指對(duì)原始樣本對(duì)應(yīng)的正確標(biāo)簽進(jìn)行修改，改為由版權(quán)所有者特定的與原始樣本內(nèi)容不符的標(biāo)簽.僅通過標(biāo)簽更改構(gòu)造觸發(fā)集屬于零比特水印方法.

Fig. 10 Abstract image marked as “car”[84]圖10 被標(biāo)記為“汽車”的抽象圖像[84]

文獻(xiàn)[84]用一組抽象的圖像和與圖像內(nèi)容不符的標(biāo)簽構(gòu)造觸發(fā)集(引入可信的第三方，用于所有權(quán)驗(yàn)證)，這些圖像彼此無關(guān)，也與訓(xùn)練樣本無關(guān)，觸發(fā)集圖像的標(biāo)簽是隨機(jī)分配的，如圖10所示.之后利用觸發(fā)集和原始訓(xùn)練集來訓(xùn)練目標(biāo)模型.訓(xùn)練好的DNN當(dāng)給定有標(biāo)注的輸入時(shí)，帶水印的DNN模型會(huì)輸出特定的標(biāo)簽，達(dá)到驗(yàn)證模型版權(quán)的目的.值得一提的是，該方案很難將抽象的圖像與所有者的身份關(guān)聯(lián)起來，引入可信的第三方雖然為核查過程提供了嚴(yán)格的安全性，但實(shí)際服務(wù)中因需要第三方的參與往往具有昂貴的代價(jià).

不同于文獻(xiàn)[84]的方法，文獻(xiàn)[85]首先引入了一種新的神經(jīng)網(wǎng)絡(luò)水印攻擊方法，即查詢修改攻擊.在查詢修改攻擊中，當(dāng)給出一個(gè)查詢時(shí)，查詢修改處理將使用一個(gè)自動(dòng)編碼器來確定該查詢是否是一個(gè)密鑰樣本.如果該查詢被檢測(cè)為密鑰樣本，則會(huì)修改圖像，使驗(yàn)證過程失敗.自動(dòng)編碼器是一種特殊的DNN，它首先將輸入圖像壓縮成低維數(shù)據(jù)，然后將這些低維數(shù)據(jù)解壓縮為輸出圖像.結(jié)果，可以去除或稀釋輸入圖像中的噪聲.這樣，水印密鑰樣本中的標(biāo)志或噪聲(水印模式)可以通過查詢修改攻擊被移除.

針對(duì)以上攻擊方法，文獻(xiàn)[85]提出了一種基于標(biāo)簽更改和指數(shù)加權(quán)的黑盒水印方法.該方法包括2個(gè)部分:①通過標(biāo)簽變化生成密鑰樣本；②通過指數(shù)加權(quán)嵌入密鑰樣本.首先，在密鑰樣本生成過程中，隨機(jī)選擇一個(gè)未經(jīng)修改的訓(xùn)練樣本；然后，將該樣本的標(biāo)簽更改為與原始樣本不同的錯(cuò)誤標(biāo)簽以生成密鑰樣本.模型將除了這個(gè)特定的密鑰樣本識(shí)別為錯(cuò)誤標(biāo)簽外，其余原始樣本都被正確識(shí)別.密鑰樣本本身沒有任何標(biāo)記，不會(huì)被未經(jīng)授權(quán)的服務(wù)提供者檢測(cè)到，但直接使用這些密鑰樣本進(jìn)行訓(xùn)練會(huì)導(dǎo)致模型過擬合.因此，在訓(xùn)練過程中，識(shí)別出對(duì)發(fā)布預(yù)測(cè)有顯著作用的神經(jīng)網(wǎng)絡(luò)模型參數(shù)，并將其權(quán)重值指數(shù)增加，使其不能在模型修改處理前后改變樣本(包括密鑰樣本)的預(yù)測(cè)行為，提高了對(duì)模型修改的魯棒性.實(shí)驗(yàn)表明，該方案可以同時(shí)抵抗模型修改和查詢修改造成的水印失效攻擊.

不同于文獻(xiàn)[84-85]的零比特水印方法，文獻(xiàn)[86]提出了一種利用對(duì)抗樣本構(gòu)建觸發(fā)集的新的零比特水印方法.首先，通過對(duì)原始輸入添加一個(gè)小的擾動(dòng)來創(chuàng)建對(duì)抗性示例，用標(biāo)簽對(duì)其進(jìn)行了重新標(biāo)記,這樣決策邊界的正常圖像一部分被分配使用錯(cuò)誤標(biāo)簽，而另一部分則繼續(xù)使用原來的正確標(biāo)簽.然后，使用重新標(biāo)記的對(duì)抗性示例對(duì)模型進(jìn)行微調(diào)，微調(diào)過程中，決策區(qū)域的邊界分布在對(duì)抗性示例周圍，如圖11所示.最后，使用對(duì)抗性示例作為觸發(fā)密鑰，它們的類標(biāo)簽作為驗(yàn)證密鑰.在驗(yàn)證階段，沒有此水印的模型很可能會(huì)誤分類此類對(duì)抗性示例，而帶有水印的模型則有望正確識(shí)別此類對(duì)抗性示例.因此，模型所有者以此來驗(yàn)證模型所有權(quán).

Fig. 11 The decision boundary of the binary classifier[86]圖11 二元分類器決策邊界示意圖[86]

僅通過標(biāo)簽更改構(gòu)造觸發(fā)集的方法是黑盒水印方法最初的工作思路，并在以后的工作中得到發(fā)展.

2) 通過在原始樣本中嵌入信息和標(biāo)簽更改構(gòu)造觸發(fā)集

文獻(xiàn)[84-86]只對(duì)樣本進(jìn)行標(biāo)簽更改，不支持嵌入版權(quán)所有者的信息以提供強(qiáng)有力的版權(quán)證明.與之不同，文獻(xiàn)[87-89]在標(biāo)簽更改的基礎(chǔ)上，在原始樣本中嵌入了一些信息,這類方法支持相對(duì)較大的有效載荷，以提供強(qiáng)有力的所有權(quán)證明.

文獻(xiàn)[87]研究了3種水印生成算法，將有意義的文本內(nèi)容和無意義的噪聲嵌入圖像樣本中作為水印，或?qū)⒉幌嚓P(guān)的樣本指定錯(cuò)誤標(biāo)簽后將其作為水印(仍屬于僅通過標(biāo)簽更改的方法)，以此為基礎(chǔ)提出了一種將水印嵌入目標(biāo)模型的后門水印方法，并設(shè)計(jì)了一種遠(yuǎn)程驗(yàn)證機(jī)制來確定模型的所有權(quán),該方法的框架如圖12所示.首先通過水印生成算法為目標(biāo)模型的所有者生成定制水印和預(yù)定義的標(biāo)簽，這些水印在以后所有權(quán)驗(yàn)證階段使用.其次，該框架通過訓(xùn)練將生成的水印嵌入目標(biāo)模型中，目標(biāo)模型自動(dòng)學(xué)習(xí)并記憶水印.最后，新生成的含水印模型能夠進(jìn)行所有權(quán)驗(yàn)證.一旦模型被盜并被用于提供服務(wù)，所有者可以通過發(fā)送水印作為輸入并檢查服務(wù)的輸出來驗(yàn)證版權(quán).實(shí)驗(yàn)證明，該方案對(duì)模型微調(diào)和剪枝具有一定的魯棒性，可以準(zhǔn)確并快速驗(yàn)證可疑模型的所有權(quán)，而不影響正常輸入數(shù)據(jù)的模型準(zhǔn)確性.

Fig. 12 The watermarking framework proposed in ref [87]圖12 文獻(xiàn)[87]提出的水印框架

DNN越來越多地應(yīng)用于智能家居、虛擬現(xiàn)實(shí)/增強(qiáng)現(xiàn)實(shí)(VR/AR)、機(jī)器人和自動(dòng)駕駛汽車等新興行業(yè).在這些場(chǎng)景中，底層嵌入式系統(tǒng)通常在本地運(yùn)行DNN，以解決延遲和隱私問題.在不久的將來可能會(huì)出現(xiàn)基于DNN的專有軟件開發(fā)工具包(software development kit, SDK)，與基于云的API不同，本地SDK更容易受到未經(jīng)授權(quán)的復(fù)制和分發(fā).因此，文獻(xiàn)[88]提出了一種適用于嵌入式應(yīng)用的神經(jīng)網(wǎng)絡(luò)水印框架.具體來說，首先選擇原始數(shù)據(jù)集的一部分，并根據(jù)模型所有者的簽名添加某些修改(具體修改操作只有模型所有者知道).然后同時(shí)使用原始數(shù)據(jù)集和修改后的數(shù)據(jù)集微調(diào)初始模型(使用現(xiàn)有的權(quán)重作為初始化)，使訓(xùn)練后的含水印模型遇到任何嵌入版權(quán)所有者簽名的輸入時(shí)會(huì)以預(yù)定義的特殊模式運(yùn)行，一個(gè)簡(jiǎn)單的示例如圖13所示.所有權(quán)驗(yàn)證通過比較原始目標(biāo)模型和含水印模型在修改輸入上的行為進(jìn)行.在所有權(quán)驗(yàn)證階段模型所有者必須公開其簽名以及如何對(duì)數(shù)據(jù)集進(jìn)行修改，以證明模型所有者的身份.實(shí)際上，此方法與文獻(xiàn)[87]的方法有異曲同工之妙.與文獻(xiàn)[84]相比，這2種方法不需要指定的輸入和第三方參與，因此，在證明版權(quán)所有者身份時(shí)幾乎不需要額外的開銷.

Fig. 14 The blind watermarking framework proposed in ref [89]圖14 文獻(xiàn)[89]提出的盲水印框架

Fig. 13 A simple example of the scheme in ref [88]圖13 文獻(xiàn)[88]方案的一個(gè)簡(jiǎn)單示例

由于之前的神經(jīng)網(wǎng)絡(luò)水印方法[84]可以被攻擊者通過檢測(cè)密鑰樣本，輕松構(gòu)建檢測(cè)器來逃避DNN模型所有者的檢測(cè).另外，攻擊者可以很容易地通過建立一組假樣本進(jìn)行歧義攻擊，使模型具有攻擊者的水印行為.為了解決這些問題，文獻(xiàn)[89]首次提出基于盲水印的DNN知識(shí)產(chǎn)權(quán)保護(hù)框架，如圖14所示.該框架以原始訓(xùn)練樣本和logo等標(biāo)識(shí)信息作為輸入，通過編碼器生成與原始樣本分布相似的密鑰樣本，并通過預(yù)定義的標(biāo)簽將這些密鑰樣本嵌入DNN中.鑒別器的本質(zhì)是生成式對(duì)抗網(wǎng)絡(luò)，用來確定是密鑰樣本還是原始樣本，同時(shí)充當(dāng)檢測(cè)器，以檢測(cè)編碼器是否生成了密鑰樣本.

實(shí)驗(yàn)證明該框架可以有效地驗(yàn)證所有權(quán)，并且不會(huì)對(duì)目標(biāo)模型的原始任務(wù)產(chǎn)生顯著的副作用，具有一定的魯棒性，對(duì)規(guī)避攻擊具有不可檢測(cè)性，對(duì)欺騙性所有權(quán)聲明具有不可偽造性，在模型和模型所有者身份之間建立了明確的聯(lián)系.

通過在原始樣本中嵌入信息和標(biāo)簽更改構(gòu)造觸發(fā)集的方法在標(biāo)簽更改的基礎(chǔ)上嵌入模型所有者的信息，可以提供強(qiáng)有力的所有權(quán)證明.

3) 通過添加新的類構(gòu)造觸發(fā)集

基于后門的黑盒DNN水印方法依賴于密鑰樣本，分配具有錯(cuò)誤標(biāo)簽的密鑰樣本將不可避免地或多或少地扭曲原始決策邊界.為此，文獻(xiàn)[90]通過在訓(xùn)練過程中對(duì)精心制作的密鑰樣本添加新的類標(biāo)簽對(duì)模型添加水印，最大限度地減少(甚至消除)原始決策邊界扭曲的影響.

具體而言，如圖15所示，設(shè)原始目標(biāo)模型的任務(wù)是預(yù)測(cè)N-1個(gè)不同的類.添加一個(gè)新的類后，含水印模型的任務(wù)變?yōu)轭A(yù)測(cè)N個(gè)不同的類，那么無水印模型不能輸出一個(gè)不存在的類標(biāo)簽.所提方案由3種算法組成：KsGen，TrEmb和Ver. KsGen以原始數(shù)據(jù)集D的子集和秘密S作為輸入，之后將所有精心制作的樣本分配給第N個(gè)標(biāo)簽，并輸出密鑰樣本數(shù)據(jù)集DS.TrEmb將原始數(shù)據(jù)集D和來自KsGen的結(jié)果作為輸入，并輸出含水印的模型.Ver將可疑模型和來自KsGen的結(jié)果作為輸入，對(duì)可疑模型進(jìn)行驗(yàn)證.實(shí)驗(yàn)證明，該方案具有一定的魯棒性，含水印模型具備較高的保真度.另外，由于使用較少的訓(xùn)練密鑰樣本和較弱的擾動(dòng)強(qiáng)度，嵌入的水印不易被檢測(cè).

Fig. 15 The watermarking framework proposed in ref [90]圖15 文獻(xiàn)[90]提出的水印框架

由于現(xiàn)有的基于觸發(fā)集的黑盒水印方法[84,87-90]構(gòu)造的觸發(fā)集本身的魯棒性較差，內(nèi)部攻擊者竊取觸發(fā)集后可以通過偽造觸發(fā)集來獲取其所有權(quán).因此，為了解決觸發(fā)集泄露造成的版權(quán)問題，文獻(xiàn)[91]提出了利用圖像水印領(lǐng)域常用的基于變換域的水印方法來構(gòu)造觸發(fā)集.因?yàn)榛谧儞Q域的水印具有較高的隱蔽性和對(duì)信號(hào)處理操作的魯棒性，所以可以增強(qiáng)觸發(fā)集的魯棒性.該方案分為基于變換域的觸發(fā)集生成、水印嵌入和所有權(quán)驗(yàn)證3個(gè)階段.觸發(fā)集的生成是從原始數(shù)據(jù)集中選取每個(gè)類的部分圖像，通過在選取圖像的變換域中插入基于塊的特征來實(shí)現(xiàn).利用原始數(shù)據(jù)集和生成的觸發(fā)集共同訓(xùn)練目標(biāo)模型，訓(xùn)練時(shí)將目標(biāo)模型的輸出層增加一個(gè)Δ類.訓(xùn)練模型使觸發(fā)集輸入后被分類為Δ類，從而驗(yàn)證版權(quán).實(shí)驗(yàn)結(jié)果表明，該方法在保真度和效率方面可與文獻(xiàn)[87-88]提出的方法相媲美，在有效性、抗剪枝攻擊和抗歧義攻擊方面優(yōu)于它們，此外可以解決觸發(fā)集泄露造成的模型版權(quán)失竊問題.

通過添加新的類標(biāo)簽構(gòu)造觸發(fā)集的方法在已有工作的基礎(chǔ)上最大限度地減少了原始決策邊界扭曲的影響.

4) 通過添加嵌入信息的附加樣本構(gòu)造觸發(fā)集

由于之前的大多數(shù)方法只能滿足表4中神經(jīng)網(wǎng)絡(luò)水印的部分要求，因此，文獻(xiàn)[92]提出了KeyNet水印框架，該方案提供了保真度、魯棒性、可靠性、完整性、容量、安全性、身份驗(yàn)證、唯一性和可擴(kuò)展性，滿足了幾乎所有的水印要求，且與之前的黑盒水印工作相比，該方案根據(jù)嵌入不同用戶的簽名生成不同的觸發(fā)集，微調(diào)嵌入水印后分發(fā)給對(duì)應(yīng)的用戶，可以達(dá)到溯源的目的.

具體來說，KeyNet框架如圖16所示.首先將所有者的簽名嵌入水印載體樣本中不同的位置，對(duì)應(yīng)不同的標(biāo)簽，從而生成觸發(fā)集(該方案嵌入5個(gè)位置：左上、右上、左下、右下和中間，分別對(duì)應(yīng)標(biāo)簽1～5).通過多任務(wù)學(xué)習(xí)的方式，利用觸發(fā)集和原始數(shù)據(jù)集共同訓(xùn)練原始分類任務(wù)和水印任務(wù)，此過程中將另外一個(gè)私有模型添加到原始目標(biāo)模型之后，以原始目標(biāo)模型的輸出作為輸入，輸出特定標(biāo)簽.之后，所有者將含水印模型分發(fā)，保留私有模型用作密鑰.驗(yàn)證過程中，將嵌入簽名的觸發(fā)集樣本輸入可疑模型，得到的預(yù)測(cè)結(jié)果傳遞給私有模型，通過私有模型提供不同位置簽名與其標(biāo)簽的準(zhǔn)確對(duì)應(yīng)關(guān)系驗(yàn)證版權(quán).

Fig. 16 KeyNet framework[92]圖16 KeyNet框架[92]

文獻(xiàn)[93]發(fā)現(xiàn)大多數(shù)現(xiàn)有的水印方法不支持用戶指紋的認(rèn)證和管理，無法滿足商業(yè)版權(quán)保護(hù)的要求.另外，文獻(xiàn)[85]提出的查詢修改攻擊可以使大多數(shù)現(xiàn)有的基于后門的水印方法無效.為解決這些問題，文獻(xiàn)[93]提出了一種通過使用其他類別和隱寫圖像來保護(hù)DNN的知識(shí)產(chǎn)權(quán)的方法，其框架如圖17所示.首先選擇原始訓(xùn)練數(shù)據(jù)集外的少量圖像作為水印密鑰樣本.隨后，用戶的指紋通過最低有效位(least significant bit, LSB)圖像隱寫技術(shù)被隱藏在每個(gè)水印密鑰樣本中，為每個(gè)用戶分配一個(gè)唯一的指紋圖像，以便以后可以對(duì)用戶的身份進(jìn)行身份驗(yàn)證.為了在DNN中嵌入水印，首先給所有水印密鑰樣本分配一個(gè)新的類標(biāo)簽，然后將水印密鑰樣本添加到訓(xùn)練集中來訓(xùn)練一個(gè)帶水印的DNN.當(dāng)輸入水印密鑰樣本時(shí)，帶水印的DNN可以輸出預(yù)定義的類標(biāo)簽.由于使用的是訓(xùn)練集之外的圖像作為水印密鑰樣本，而不是在原始訓(xùn)練集圖像上疊加嵌入圖案，因此，所提出的水印方法可以抵抗查詢修改攻擊[85].另外，用戶指紋認(rèn)證的有效性應(yīng)同時(shí)滿足2個(gè)條件:①從用戶提交的圖像中提取用戶指紋；②提交的指紋圖像被水印模型分類為附加類別.只有同時(shí)滿足2個(gè)條件，用戶才能成功通過指紋認(rèn)證.

實(shí)驗(yàn)結(jié)果表明，該方法在不影響模型測(cè)試精度的情況下，能夠?qū)崿F(xiàn)100%的水印精度和100%的指紋認(rèn)證成功率.同時(shí)，該水印方法對(duì)微調(diào)和剪枝攻擊以及查詢修改攻擊具有魯棒性，可以有效地保護(hù)DNN的版權(quán).

Fig. 17 The watermarking framework proposed in ref [93]圖17 文獻(xiàn)[93]提出的水印框架

通過添加嵌入信息的附加樣本構(gòu)造觸發(fā)集的方法在已有工作的基礎(chǔ)上減小了添加觸發(fā)集后對(duì)原始模型精度的影響.

5) 其他方法

模型功能也可以通過模型提取來竊取，但此前的文獻(xiàn)并沒有關(guān)注該問題.模型提取是指攻擊者通過API訪問原始模型，然后使用返回的結(jié)果來訓(xùn)練代理模型.為了解決該問題，文獻(xiàn)[94]提出一種神經(jīng)網(wǎng)絡(luò)動(dòng)態(tài)對(duì)抗水印方法(dynamic adversarial watermarking of neural networks, DAWN)，該方法首次使用水印來阻止通過模型提取進(jìn)行的所有權(quán)盜竊.與先前的水印方法不同，DAWN不會(huì)對(duì)訓(xùn)練過程進(jìn)行更改，而是通過動(dòng)態(tài)更改來自API的一小部分查詢(例如，小于0.5%)的響應(yīng)，并在受保護(hù)模型的預(yù)測(cè)API上運(yùn)行.該集合充當(dāng)模型水印，在客戶端通過查詢來訓(xùn)練代理模型的情況下嵌入該水印.實(shí)驗(yàn)證明，DAWN方法能夠有效地對(duì)所有提取的代理模型進(jìn)行水印處理，使模型所有者證明其所有權(quán).

與文獻(xiàn)[81-82]利用護(hù)照通過白盒的方式解決歧義攻擊問題不同，文獻(xiàn)[95-97]利用不同的思路通過黑盒方式解決了歧義攻擊造成的DNN模型的盜版問題.

Fig. 18 The initial image and five trigger images in the Hash chain[95]圖18 哈希鏈中的初始圖像和5個(gè)觸發(fā)圖像[95]

文獻(xiàn)[95]提出了一種抗偽造攻擊的神經(jīng)網(wǎng)絡(luò)水印協(xié)議.該方案引入單向哈希函數(shù)SHA256，使證明所有權(quán)的觸發(fā)樣本必須形成單向鏈，如圖18所示，并且它們的標(biāo)簽也被賦值.使用此方法，沒有網(wǎng)絡(luò)訓(xùn)練權(quán)的攻擊者不可能構(gòu)造出觸發(fā)樣本鏈或者觸發(fā)樣本與指定標(biāo)簽的匹配關(guān)系，因此，該協(xié)議能夠在不犧牲網(wǎng)絡(luò)性能的情況下抵抗水印偽造攻擊.

由于之前的神經(jīng)網(wǎng)絡(luò)水印大多被設(shè)計(jì)成增量訓(xùn)練和微調(diào)嵌入，那么攻擊者可以使用相同的機(jī)制來嵌入更多的水印到一個(gè)已經(jīng)有水印的模型中，從而造成歧義攻擊，對(duì)原始模型進(jìn)行盜版.基于這些不足，文獻(xiàn)[96]提出了一種抗盜版水印的新方法——空嵌入(null embedding).空嵌入方法不依賴增量訓(xùn)練，只能在模型的初始訓(xùn)練中使用水印比特序列來修改用來訓(xùn)練模型正常分類規(guī)則的有效優(yōu)化空間.模型所有者將從一個(gè)未經(jīng)訓(xùn)練的模型開始，通過空嵌入方法生成與之相關(guān)的額外訓(xùn)練數(shù)據(jù)，并使用原始和額外的訓(xùn)練數(shù)據(jù)來訓(xùn)練模型，在模型的正常分類精度和水印之間建立強(qiáng)相關(guān)性.因此，攻擊者不能通過調(diào)整或增量訓(xùn)練來移除嵌入的水印，也不能向已經(jīng)有水印的模型添加新的盜版水印，達(dá)到抗盜版的目的.

由于文獻(xiàn)[96]提出的空嵌入方法未對(duì)廣泛應(yīng)用于圖像分類任務(wù)的殘差網(wǎng)絡(luò)ResNet等大型網(wǎng)絡(luò)進(jìn)行有效性驗(yàn)證，所以文獻(xiàn)[97]在此基礎(chǔ)上提出了基于密鑰的分塊圖像變換水印方法，首次將分塊圖像變換應(yīng)用于神經(jīng)網(wǎng)絡(luò)水印，利用了與文獻(xiàn)[95-96]不同的技術(shù)，解決了歧義攻擊造成的DNN模型的盜版問題.具體來說，該方案從訓(xùn)練集中選取一組圖像，利用密鑰按照文獻(xiàn)[98]中的算法對(duì)其進(jìn)行分塊變換(塊的大小M可以設(shè)置不同的值)，變換后的圖像示例如圖19所示.水印嵌入過程中用變換后的圖像和原始圖像一起訓(xùn)練DNN模型.水印檢測(cè)過程中利用密鑰對(duì)測(cè)試圖像變換后進(jìn)行驗(yàn)證，若水印檢測(cè)精度大于設(shè)定的閾值，則可驗(yàn)證版權(quán).該方案使用密鑰作為版權(quán)驗(yàn)證的關(guān)鍵，不需要預(yù)先設(shè)置觸發(fā)集，其安全性依賴于密鑰而不是算法的保密性，符合Auguste Kerckhoff的原理，且該方案具有抗盜版性和計(jì)算成本低的優(yōu)點(diǎn).

Fig. 19 Example of block-wise transformed images[97]圖19 按塊變換的圖像示例[97]

此部分主要梳理了通過黑盒方式解決歧義攻擊造成的DNN模型的盜版問題.

3.2.2 基于圖像處理任務(wù)的黑盒水印方法

3.2.1節(jié)基于分類任務(wù)中提出的所有黑盒水印方法都是應(yīng)用于圖像映射到標(biāo)簽的分類模型的版權(quán)保護(hù)中，但對(duì)圖像映射到圖像的圖像處理模型的保護(hù)很少提及，如圖像去噪[99-100]、圖像增強(qiáng)[101-102]、超分辨率[103]、圖像修復(fù)[104]、風(fēng)格轉(zhuǎn)換[105]等任務(wù).如表3所示，圖像處理模型與分類模型不同，因此，不能直接將分類模型的水印方法應(yīng)用于圖像處理模型，相對(duì)來說，圖像處理模型的保護(hù)更具有挑戰(zhàn)性.

文獻(xiàn)[106]首次提出一種解決圖像處理模型版權(quán)保護(hù)問題的黑盒水印方法.該方法的思路是通過微調(diào)DNN操縱模型在特定域中的預(yù)測(cè)行為，使修改后的模型的輸出圖像接近預(yù)定義的結(jié)果.特定域形成所有可能的觸發(fā)圖像空間，并將預(yù)定義的結(jié)果用作驗(yàn)證圖像，水印驗(yàn)證通過檢查輸入的觸發(fā)圖像是否可以在可疑模型的輸出中看到它們相應(yīng)的驗(yàn)證圖像來完成.

具體來說，所提方法的框架如圖20所示.首先生成觸發(fā)圖像和初始驗(yàn)證圖像，在水印嵌入中，2個(gè)圖像都用于微調(diào)目標(biāo)模型.然后，將觸發(fā)圖像輸入標(biāo)記模型中，輸出用于更新驗(yàn)證圖像.觸發(fā)圖像和驗(yàn)證圖像由所有者保留.在水印驗(yàn)證中，驗(yàn)證者將所有者的觸發(fā)圖像輸入可疑模型中，然后將輸出與所有者的驗(yàn)證圖像進(jìn)行比較以進(jìn)行判斷.實(shí)驗(yàn)結(jié)果表明，該方法滿足保真度、唯一性和容量的要求，對(duì)模型壓縮、模型微調(diào)和水印覆蓋等攻擊具有魯棒性.重要的是，該水印技術(shù)在圖像處理任務(wù)中具備推廣使用的價(jià)值.

Fig. 20 The watermarking framework proposed in ref [106]圖20 文獻(xiàn)[106]提出的水印框架

Table 3 The Difference Between Image Processing Model and Classification Model

3.2.3 基于文本處理任務(wù)的黑盒水印方法

Fig. 21 The watermark generation framework in ref [107]圖21 文獻(xiàn)[107]中的水印生成框架

文本處理是許多機(jī)器學(xué)習(xí)領(lǐng)域中最常見的任務(wù)之一，在語言翻譯、情感分析和垃圾郵件過濾等方面有許多應(yīng)用.因此，對(duì)文本處理任務(wù)的DNN模型的版權(quán)保護(hù)同等重要.神經(jīng)網(wǎng)絡(luò)水印技術(shù)最近也出現(xiàn)了在文本領(lǐng)域的工作.

在文獻(xiàn)[107]的工作中，提出了一種對(duì)文本處理DNN模型進(jìn)行安全水印的框架.該框架的3個(gè)主要部分是水印生成、水印嵌入和水印驗(yàn)證.如圖21所示，在水印生成步驟中，從訓(xùn)練集中隨機(jī)選擇B個(gè)樣本，計(jì)算所有文檔中每個(gè)單詞的TF-IDF分?jǐn)?shù)，對(duì)于每個(gè)選定的文檔，從另一個(gè)類中隨機(jī)選擇一個(gè)文檔來交換它們的單詞并生成水印記錄.選擇2個(gè)文檔中TF-IDF分?jǐn)?shù)最低的k個(gè)單詞，交換選定的單詞和2個(gè)文檔的標(biāo)簽.修改后的文檔錄入觸發(fā)集.重復(fù)以上過程生成整個(gè)觸發(fā)集.在水印生成步驟中，將原始訓(xùn)練集與生成的觸發(fā)集結(jié)合，對(duì)DNN模型進(jìn)行訓(xùn)練，得到含水印模型.如圖22所示，在水印驗(yàn)證步驟中，使用觸發(fā)集驗(yàn)證模型的所有權(quán).該方法在不降低原任務(wù)性能的前提下，對(duì)參數(shù)修剪等已知攻擊具有較強(qiáng)的魯棒性.實(shí)驗(yàn)結(jié)果表明，該水印模型能夠準(zhǔn)確地提取出水印，從而準(zhǔn)確地驗(yàn)證經(jīng)過訓(xùn)練的模型的所有權(quán).但顯而易見的問題是經(jīng)過修改后的句子有語法錯(cuò)誤且語意不通順，很容易被攻擊者檢測(cè)到.

Fig. 22 The watermark embedding and watermark verification framework in ref [107]圖22 文獻(xiàn)[107]中的水印嵌入和水印驗(yàn)證框架

文本領(lǐng)域DNN模型水印的發(fā)展目前還處于萌芽期，無論是文本分類或是文本處理，相關(guān)的研究都還非常少，并且缺乏較成熟的水印方法.但是神經(jīng)網(wǎng)絡(luò)水印在圖像領(lǐng)域的探索已經(jīng)積累了許多寶貴的經(jīng)驗(yàn)，為研究人員開拓了視野，可以在未來很好地指導(dǎo)文本領(lǐng)域和其他領(lǐng)域的神經(jīng)網(wǎng)絡(luò)水印研究.

3.3 灰盒水印方法

“灰盒”在文獻(xiàn)[83]被提出，但是該文把灰盒等同于黑盒.根據(jù)文獻(xiàn)[76,108]既通過向模型的內(nèi)部嵌入信息，又以黑盒的方式獲得輸出以驗(yàn)證模型所有權(quán)的特點(diǎn)，在我們的工作中將其作為一種新類別的神經(jīng)網(wǎng)絡(luò)水印方法單獨(dú)提出，并將其劃分到灰盒水印類別中.

Fig. 23 DeepSigns architecture[76]圖23 DeepSigns架構(gòu)示意圖[76]

文獻(xiàn)[76]提出了一個(gè)保護(hù)DNN模型知識(shí)產(chǎn)權(quán)的系統(tǒng)解決方案DeepSigns，其架構(gòu)如圖23所示.該方案將目標(biāo)模型和所有者特定的水印簽名作為輸入，然后在選定的層中嵌入相關(guān)的水印簽名以及一組相應(yīng)的密鑰，輸出一個(gè)帶有水印信息的DNN模型.與先前的工作將水印信息直接嵌入DNN模型的靜態(tài)內(nèi)容(權(quán)重)中所不同的是，DeepSigns是將任意N位(N≥1)字符串嵌入各種激活圖的概率密度函數(shù)(probability density function, PDF)中.為了驗(yàn)證遠(yuǎn)程DNN的知識(shí)產(chǎn)權(quán)，模型所有者首先需要使用在水印嵌入階段生成的密鑰查詢遠(yuǎn)程的DNN，并獲得相應(yīng)的激活映射.然后，DeepSigns方法從獲取的激活圖的PDF分布中提取水印簽名.最后，通過計(jì)算每層中提取的簽名和對(duì)應(yīng)的真實(shí)簽名之間的誤碼率以驗(yàn)證版權(quán).該方案由于水印嵌入動(dòng)態(tài)統(tǒng)計(jì)信息中而不是模型的靜態(tài)權(quán)重中，因此，能夠抵抗水印覆蓋攻擊.此外，該方案從理論上講允許通過增加觸發(fā)器密鑰的數(shù)量來嵌入一個(gè)任意的N比特流.

與文獻(xiàn)[76]不同，為了解決將水印嵌入模型參數(shù)中容易被攻擊者移除和檢測(cè)的弊端，文獻(xiàn)[108]基于神經(jīng)架構(gòu)搜索(neural architecture search, NAS)設(shè)計(jì)了一種新的NAS算法.該算法通過所有者特定的水印確定搜索空間中特定操作的某些連接，然后搜索其余的連接以產(chǎn)生高質(zhì)量的網(wǎng)絡(luò)架構(gòu)，利用這種網(wǎng)絡(luò)架構(gòu)的獨(dú)特性來代表模型的所有權(quán).具體來說，在水印嵌入階段，模型所有者生成唯一水印和對(duì)應(yīng)的標(biāo)記密鑰，接著采用傳統(tǒng)的NAS方法和標(biāo)記密鑰生成水印體系結(jié)構(gòu)和驗(yàn)證密鑰，在此基礎(chǔ)上，利用該體系結(jié)構(gòu)訓(xùn)練一個(gè)帶水印的DNN模型.在水印提取和驗(yàn)證階段，模型所有者使用側(cè)通道技術(shù)在黑盒模式下提取DNN模型的體系結(jié)構(gòu)來驗(yàn)證所有權(quán)，即使該模型是加密或隔離的.與之前的水印方法相比，該方案將水印嵌入體系結(jié)構(gòu)中，而不是嵌入?yún)?shù)中.實(shí)驗(yàn)表明，該方案具有良好的有效性、可用性、魯棒性和唯一性.但是該方案中水印是在模型的構(gòu)建階段嵌入的，若對(duì)訓(xùn)練好的DNN模型進(jìn)行所有權(quán)保護(hù)則不適用.

Fig. 24 The novel watermarking framework proposed in ref [110]圖24 文獻(xiàn)[110]提出的新穎水印框架

3.4 無盒水印方法

無盒水印方法是指不再需要模型本身的參與，通過提取DNN模型輸出中的水印即可驗(yàn)證模型版權(quán).

文獻(xiàn)[109]專注于深度學(xué)習(xí)文本生成模型，摒棄以往給訓(xùn)練數(shù)據(jù)或者模型參數(shù)加水印的方法，而是給模型的輸出加水印.輸入一個(gè)文本和一個(gè)充當(dāng)水印信息的二進(jìn)制字符串，該水印系統(tǒng)能夠生成一個(gè)帶有水印信息的輸出.然后使用一個(gè)“揭示網(wǎng)絡(luò)”(revealing network)即可從該輸出中提取到水印信息，進(jìn)而證明模型的所有權(quán).為了改進(jìn)語法錯(cuò)誤問題，使用一個(gè)鑒別器來減少文本的語義損失，但仍無法完全解決該問題.

文獻(xiàn)[109]是無盒水印方法在文本領(lǐng)域的應(yīng)用，文獻(xiàn)[110-111]的工作是無盒水印方法在圖像處理領(lǐng)域的應(yīng)用.

(4)

(5)

(6)

(7)

(8)

文獻(xiàn)[111]與文獻(xiàn)[110]同為圖像處理任務(wù)的模型保護(hù)方案，有異曲同工之妙.不同的是，文獻(xiàn)[111]在保護(hù)圖像處理任務(wù)模型的同時(shí)旨在抵抗利用模型輸入輸出對(duì)進(jìn)行的代理模型攻擊.

(9)

具體來說，對(duì)于每個(gè)輸入ai，都存在bi=M(ai).由于存在式(10)中的等價(jià)性，因此一定存在一個(gè)模型SM可以學(xué)習(xí)A和B′之間的映射關(guān)系.另一方面DNN的損失最小化特性從理論上保證了代理模型SM應(yīng)該將水印δ學(xué)習(xí)到其輸出中.當(dāng)SM=M+δ時(shí)

(10)

文獻(xiàn)[111]基于此理論，提出了一個(gè)通用的深度不可見模型水印框架，如圖26所示，旨在抵抗代理模型攻擊.該方案在待保護(hù)的DNN之后添加了一個(gè)水印嵌入網(wǎng)絡(luò)H，將水印嵌入到由待保護(hù)的目標(biāo)DNN的輸出集B中，并最終輸出含水印的圖像集B′，含水印的圖像集B′與原始DNN的輸出集B在視覺上保持一致.另外設(shè)計(jì)一個(gè)水印提取網(wǎng)絡(luò)R，可以從含水印的圖像集B′中提取嵌入的水印.待保護(hù)的DNN和水印嵌入網(wǎng)絡(luò)打包成一個(gè)整體進(jìn)行部署，當(dāng)攻擊者基于此打包模型的輸入輸出對(duì)訓(xùn)練一個(gè)代理模型SM時(shí)，隱藏的水印將被學(xué)習(xí)到代理模型中，水印提取網(wǎng)絡(luò)R仍然可以從代理模型的輸出集B″中提取水印，從而驗(yàn)證版權(quán).

Fig. 25 Image processing model schematic圖25 圖像處理模型示意圖

Fig. 26 The depth invisible model watermarking framework proposed in ref [111]圖26 文獻(xiàn)[111]提出的深度不可見模型水印框架

本節(jié)對(duì)4種神經(jīng)網(wǎng)絡(luò)水印方法的相關(guān)工作進(jìn)行了詳細(xì)的梳理和總結(jié).白盒水印方法提取水印時(shí)需要了解模型的內(nèi)部結(jié)構(gòu)，導(dǎo)致其在實(shí)際應(yīng)用中不太理想，但其對(duì)原始模型精度的影響相對(duì)于其他方法具有一定的優(yōu)勢(shì).黑盒水印方法通過訪問API即可進(jìn)行驗(yàn)證的特點(diǎn)使其具有較為廣泛的應(yīng)用，但目前絕大部分黑盒水印方法的研究針對(duì)圖像分類領(lǐng)域，在其他領(lǐng)域的應(yīng)用還較少.灰盒水印方法在白盒和黑盒的基礎(chǔ)上出現(xiàn)，相關(guān)工作相對(duì)較少，目前與以上2種方法相比不具有優(yōu)勢(shì).無盒水印方法的出現(xiàn)，主要解決了圖像處理領(lǐng)域DNN模型的版權(quán)保護(hù)問題，填補(bǔ)了這一塊空白，為神經(jīng)網(wǎng)絡(luò)水印的研究打開了新的思路.

4 深度神經(jīng)網(wǎng)絡(luò)水印性能對(duì)比

與傳統(tǒng)多媒體數(shù)字水印相似，DNN模型水印需要具備一些性能指標(biāo)，表4介紹了深度神經(jīng)網(wǎng)絡(luò)水印的性能指標(biāo)，表5介紹了針對(duì)深度神經(jīng)網(wǎng)絡(luò)水印魯棒性和安全性的8種攻擊方法.

在目前的主流攻擊方式中，水印研究者通常考慮模型微調(diào)和剪枝攻擊、水印覆蓋攻擊和歧義攻擊等方法.攻擊者可能利用少量數(shù)據(jù)集對(duì)盜取的DNN模型進(jìn)行微調(diào)，可能選取某些神經(jīng)元進(jìn)行失活處理，在這個(gè)過程中，模型所有者嵌入的水印可能被去除或難以提取和驗(yàn)證版權(quán).如文獻(xiàn)[112]提出了一種水印去除框架REFIT，通過適當(dāng)?shù)卦O(shè)計(jì)學(xué)習(xí)速率，可以利用微調(diào)方式去除水印；文獻(xiàn)[113]證明，攻擊者可以利用預(yù)訓(xùn)練模型來標(biāo)注未標(biāo)注的樣本，并以此來增加微調(diào)訓(xùn)練數(shù)據(jù)，實(shí)現(xiàn)去除水印的目的.除此之外，攻擊者可能嵌入新的非法水印，以此對(duì)原水印造成破壞或?qū)е氯∽C模糊.如文獻(xiàn)[114]通過檢測(cè)模型的統(tǒng)計(jì)分布來檢測(cè)水印的存在，繼而推導(dǎo)出水印的嵌入長(zhǎng)度，并利用此信息通過覆蓋來去除水印.另外，攻擊者也可能通過為盜取DNN模型偽造額外的水印來讓所有權(quán)驗(yàn)證產(chǎn)生歧義.如文獻(xiàn)[81]表明，在這個(gè)過程中，攻擊者偽造的水印檢測(cè)率甚至可以達(dá)到100%，且不需要原始數(shù)據(jù)，計(jì)算成本也很低，因此，目前也陸續(xù)出現(xiàn)針對(duì)抵抗水印歧義攻擊的相關(guān)研究.

從表4和表5中可以看出，不同工作所運(yùn)用的性能指標(biāo)不盡相同，缺乏統(tǒng)一的評(píng)估標(biāo)準(zhǔn).

第3節(jié)對(duì)神經(jīng)網(wǎng)絡(luò)水印的相關(guān)研究進(jìn)行了梳理，不同學(xué)者提出的方案各具特色，已有方案的性能對(duì)比如表6所示.

Table 4 Performance Indicators of DNN Watermarking

Table 5 DNN Watermarking Attack Method

Table 6 Watermarking Performance Comparison of Different Schemes

續(xù)表6

5 展 望

相對(duì)于傳統(tǒng)多媒體水印幾十年的發(fā)展歷程來說，神經(jīng)網(wǎng)絡(luò)水印的發(fā)展仍處于起步階段，未來還有很長(zhǎng)的路要走.在未來的DNN模型版權(quán)保護(hù)研究過程中，有6個(gè)方面可以努力.

1) 提升嵌入速度.目前，神經(jīng)網(wǎng)絡(luò)水印的嵌入方式以訓(xùn)練和微調(diào)嵌入為主，這需要耗費(fèi)較大的代價(jià)和工作量.與多媒體數(shù)字水印的嵌入速度相比，神經(jīng)網(wǎng)絡(luò)水印的嵌入速度要慢得多，未來可以在如何提升神經(jīng)網(wǎng)絡(luò)水印的嵌入速度方面做出努力.

2) 神經(jīng)網(wǎng)絡(luò)水印的通用性.目前，大部分神經(jīng)網(wǎng)絡(luò)水印是針對(duì)圖像處理和分類任務(wù)的神經(jīng)網(wǎng)絡(luò)模型來設(shè)計(jì)的，針對(duì)其他任務(wù)類型(如對(duì)音頻處理的模型、視覺對(duì)象分割和聲源分離的綜合神經(jīng)網(wǎng)絡(luò)模型)，現(xiàn)有的水印方法是否還可以適用，又或者有沒有新的方法來承擔(dān)此類模型的保護(hù)工作，這有待進(jìn)一步研究.

3) 理論證明.眾所周知，正是由于在圖像等多媒體數(shù)據(jù)中存在冗余，所以才可以在圖像中嵌入水印.DNN模型也是如此，存在許多冗余的神經(jīng)元.但是在冗余的模型中嵌入多少水印，也就是說模型的冗余與嵌入水印的量之間存在怎樣的數(shù)學(xué)關(guān)系，又或者說，在模型的不同階段和不同位置進(jìn)行嵌入與嵌入水印的量之間存在怎樣的關(guān)系，目前還缺乏相應(yīng)的理論證明.未來如何在理論上解決神經(jīng)網(wǎng)絡(luò)水印嵌入量的一些問題值得我們思考.

4) 主動(dòng)防護(hù).神經(jīng)網(wǎng)絡(luò)水印所做的工作是在模型被盜后再來證明所有者的版權(quán)，屬于被動(dòng)防護(hù).那么如何主動(dòng)解決模型被盜問題，增加模型被盜的難度和代價(jià)，是一個(gè)有趣的問題.目前針對(duì)DNN模型進(jìn)行主動(dòng)防護(hù)的研究還較少，未來可以根據(jù)實(shí)際商業(yè)版權(quán)管理需求在此方向繼續(xù)做出努力.

5) 完整性保護(hù).版權(quán)保護(hù)只是DNN模型安全的一個(gè)方面，DNN模型還面臨被篡改的風(fēng)險(xiǎn)，如以模型性能下降為攻擊目標(biāo)的惡意微調(diào)和權(quán)重參數(shù)修改，以及通過后門植入對(duì)DNN模型造成破壞等一系列威脅完整性的安全隱患.目前，文獻(xiàn)[115]提出了一種用于DNN完整性保護(hù)的白盒水印方法NeuNAC，文獻(xiàn)[116]提出了一種易于檢測(cè)篡改的黑盒脆弱水印方法，可以在不暴露模型內(nèi)在機(jī)制(包括結(jié)構(gòu)和參數(shù))的黑盒條件下進(jìn)行篡改檢測(cè).文獻(xiàn)[115]和文獻(xiàn)[116]的2種方案均適用于DNN模型的篡改檢測(cè).可以看到，相關(guān)研究還很匱乏.因此，探索更多解決DNN模型完整性保護(hù)的方案可以作為下一步努力的方向.

6) 評(píng)估標(biāo)準(zhǔn).目前的DNN模型水印算法的評(píng)估指標(biāo)參差不齊，只有個(gè)別指標(biāo)(如對(duì)模型微調(diào)和剪枝攻擊的魯棒性)被大多數(shù)研究者所通用，缺乏公認(rèn)統(tǒng)一的評(píng)估框架和指標(biāo).如何對(duì)選用不同宿主模型、不同的嵌入方式的水印算法形成統(tǒng)一的評(píng)估指標(biāo)在未來也是一個(gè)可研究的方向.

6 結(jié) 語

DNN等新興技術(shù)以前所未有的性能在工業(yè)互聯(lián)網(wǎng)安全中得到了廣泛發(fā)展和應(yīng)用，然而構(gòu)建產(chǎn)品級(jí)DNN模型并非易事，需要花費(fèi)大量的人力和物力資源.因此，DNN模型的知識(shí)產(chǎn)權(quán)保護(hù)問題逐漸引起了學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注，并涌現(xiàn)出大量?jī)?yōu)秀的解決方案.我們?cè)谝酝缀泻秃诤兴〉幕A(chǔ)上，從水印的嵌入和提取的方式出發(fā)，將神經(jīng)網(wǎng)絡(luò)水印擴(kuò)充為白盒、黑盒、灰盒和無盒水印4種類別，并對(duì)現(xiàn)有水印方法進(jìn)行了深入分析和探討.同時(shí)，對(duì)于水印的性能指標(biāo)以及針對(duì)它們的攻擊方式也進(jìn)行了梳理.最后指出了神經(jīng)網(wǎng)絡(luò)水印未來的研究方向，旨在對(duì)該領(lǐng)域未來的發(fā)展有所幫助.

作者貢獻(xiàn)聲明：樊雪峰負(fù)責(zé)文獻(xiàn)調(diào)研、內(nèi)容設(shè)計(jì)、論文撰寫和最后版本修訂；周曉誼負(fù)責(zé)提出論文整體研究思路、全文框架設(shè)計(jì)和最終審核；朱冰冰負(fù)責(zé)論文插圖設(shè)計(jì)和修訂；董津位負(fù)責(zé)部分文獻(xiàn)調(diào)研和撰寫以及全文修訂；牛俊、王鶴負(fù)責(zé)調(diào)研分析和全文修訂.