一種基于認證文件的雙方驗證模型水印方案*

吳 瑕,鄭洪英,肖 迪

(重慶大學計算機學院,重慶 401331)

1 引言

訓練一個成功的深度學習DL(Deep Learning)模型,需要大量的時間、資源和人力。因此,需要采取措施來保護模型免受非法復制、重新分發(fā)或濫用,以確保模型版權(quán)得到保護。神經(jīng)網(wǎng)絡(luò)水印是一個有效的模型保護措施,借鑒傳統(tǒng)的數(shù)字水印[1]方法,由負責訓練的模型發(fā)送方在模型訓練中添加一個額外的訓練目標來嵌入水印,且不影響模型的原任務功能。在發(fā)生版權(quán)糾紛時,通過提取出嵌入水印,驗證模型版權(quán)的歸屬,從而保護模型版權(quán),避免受到非法用戶的威脅。

但是,在現(xiàn)有的模型版權(quán)保護工作中,模型水印的嵌入與驗證通常都由模型發(fā)送方完成。在模型發(fā)送方,如云端,由于同時具備模型結(jié)構(gòu)、數(shù)據(jù)集和計算資源,所以能夠較好地完成模型的訓練與水印嵌入工作。然而,在端-邊-云聯(lián)邦學習系統(tǒng)[2]中,如圖1所示,模型結(jié)構(gòu)、數(shù)據(jù)集和計算資源是分布式的,而非中心化。數(shù)據(jù)不離開本地,邊緣節(jié)點作為服務器通過聚合本地模型更新來學習公共模型[3]。當對接收到的模型的可信度存在疑慮時,為接收方添加一次模型驗證工作就顯得十分必要。目前已有大量研究表明[4,5],存在惡意用戶試圖獲取模型而不做出貢獻,甚至有惡意用戶通過向數(shù)據(jù)集中引入惡意樣本來降低模型的性能。因此,一次成功的模型驗證工作不僅有助于接收方追溯模型的發(fā)送來源,篩選掉來源不明的模型,而且還可以防止惡意發(fā)送方的搭便車和投毒行為。

Figure 1 Client-edge-cloud hierarchical federated learning system

因此,急需一個可供端-邊-云聯(lián)邦學習系統(tǒng)中模型收發(fā)雙方進行版權(quán)驗證工作的模型水印方案。受文獻[6]啟發(fā),本文針對上述問題提出了一種基于認證文件的雙方驗證模型水印方案,本文工作如下所示:

(1)為了確保模型的發(fā)送和接收雙方都持有相同的認證文件,并且要求認證文件具備信息隱藏功能,同時不對模型訓練造成干擾,本文方案添加了一個認證文件生成步驟,引入了基于小波變換的盲水印嵌入方法,用于將版權(quán)標識符嵌入認證文件。此外,本文方案還結(jié)合了高級加密標準AES(Advanced Encryption Standard)和安全散列算法SHA-3(Secure Hash Algorithm 3)進行加密及驗證,以保護版權(quán)標識符信息的隱私性和完整性。

(2)為了提高水印嵌入速率,本文方案引入了基于均方誤差MSE(Mean Square Error)的損失函數(shù)使模型快速收斂,并添加了L2范數(shù)正則化項以預防過擬合。

(3)為了實現(xiàn)模型接收方的驗證功能,抵御惡意行為威脅。本文方案以模型的結(jié)構(gòu)調(diào)整來進行所有權(quán)驗證,成功檢測嵌入的版權(quán)標識字符串以驗證所有權(quán),并添加了保真度評估過程對惡意行為進行抵御。

2 相關(guān)工作

DL模型通過在訓練階段嵌入數(shù)字水印實現(xiàn)模型版權(quán)IP(Intellectual Property)保護。現(xiàn)有的水印嵌入方法可以分為2類:(1)基于特征的方法,即通過附加正則化項,將指定的水印嵌入深度神經(jīng)網(wǎng)絡(luò)DNN(Deep Neural Network)權(quán)重[7];(2)基于后門的方法,依賴于帶有特定標簽的對抗訓練樣本(即后門觸發(fā)器集)[8]。Uchida等人[9]首次嘗試將水印嵌入到模型中,使用參數(shù)正則化器在模型參數(shù)中嵌入水印。雖然這項工作沒有損害模型在Cifar10數(shù)據(jù)集上的性能和推理速度,但它僅適用于待驗證的模型內(nèi)部參數(shù)是公開的,即白盒驗證情況下。然而,在實際應用中,DL模型通常作為在線服務,通過遠程應用程序編程接口API(Application Programming Interface)提供服務。針對這種場景,Rouhani等人[10]提出了DeepSigns,這是一個端到端的IP保護框架,允許開發(fā)人員在相關(guān)的深度學習模型中系統(tǒng)地插入數(shù)字水印。該方法對于模型的刪除攻擊具有一定的魯棒性。然而,由于水印的可逆性,它無法抵御模糊攻擊。因此,Fan等人[6]提出了一種基于護照的模型所有權(quán)驗證方案,該方案對刪除攻擊具有較強的魯棒性,并能夠有效抵御模糊攻擊。

為了克服白盒驗證的限制,文獻[11]提出在觸發(fā)器集中的對抗示例分類標簽中嵌入水印,以便通過API服務遠程提取水印,而無需訪問網(wǎng)絡(luò)權(quán)重,該方法只需要輸入和輸出接口來驗證所有權(quán)。Guo等人[12]提出了一種適用于嵌入式應用程序的黑盒水印方法,其中版權(quán)所有者的簽名被嵌入到數(shù)據(jù)集中,用于訓練帶有水印標記的DNN。Shafieinejad等人[13]提出了一種通過后門方式向DNN嵌入水印的方法,并證明了嵌入水印對于微調(diào)和修剪等刪除攻擊具有相對的魯棒性。文獻[14-16]還提出了如何嵌入對白盒和黑盒驗證都適用且對各種類型的攻擊都魯棒的水印(或指紋)。

此外,基于硬件的DNN IP保護工作也逐漸受到關(guān)注。文獻[17]設(shè)計了一種名為AutoDNN芯片的DNN芯片生成器,它可以根據(jù)指定應用程序和數(shù)據(jù)集的DNN自動產(chǎn)生基于現(xiàn)場可編程門陣列FPGA(Field Programmable Gate Array)和專用集成芯片ASIC(Application Specific Integrated Circuit)的DNN芯片,為物聯(lián)網(wǎng)終端設(shè)備提供高效的DNN推理能力。而文獻[18]則針對資源受限的邊緣設(shè)備,考慮到參數(shù)加密方法的高功耗問題,提出了一種名為ChaoPIM(Chao Processing In Memory)框架的高效的解決方案。該框架利用混沌加密和內(nèi)存處理技術(shù)來保護DNN模型的安全性。

在聯(lián)邦學習系統(tǒng)中,也有關(guān)于模型版權(quán)保護的研究被提出。文獻[19]針對協(xié)作學習環(huán)境中保護有價值的訓練數(shù)據(jù)的需求,考慮到半誠實的對手可能試圖監(jiān)視參與者的隱私信息,提出了一個安全聯(lián)邦學習框架,以協(xié)作訓練聯(lián)邦深度神經(jīng)網(wǎng)絡(luò)FedDNN(Federal Deep Neural Network),從而不泄露隱私訓練數(shù)據(jù)和數(shù)據(jù)特征分布。文獻[20]研究了在聯(lián)邦學習情況下的深度學習模型知識產(chǎn)權(quán)保護,并提出在聯(lián)邦學習環(huán)境中每個參與方應能獨立驗證其對模型的所有權(quán),同時不侵犯其他所有者的隱私。文獻[21]引入了一種名為WAFFLE(WAtermarking in FEderated LEarning)水印架構(gòu),每次將本地模型聚合到全局模型之后引入一個再訓練步驟為模型生成后門,通過后門對模型進行所有權(quán)驗證。文獻[22]考慮到為客戶端提供經(jīng)過訓練的模型所有權(quán)驗證,提出了一種FedDNN所有權(quán)驗證框架FedIPR(Federated Iearning model intellectual Property Rights)。該框架允許客戶端對模型嵌入私有水印并進行驗證,從而獲得FedDNN模型的合法知識產(chǎn)權(quán)。

盡管近些年模型水印的研究工作越來越多,但已有模型都是針對模型發(fā)送者驗證版權(quán)設(shè)計的,本文研究的模型水印將擴展到可由接收方辨別模型版權(quán)。為此,本文設(shè)計了一種基于認證文件的雙方驗證模型水印方案,為模型接收方添加一次模型驗證工作,幫助接收方追溯發(fā)送來源,篩除來源不明的模型。

3 基于認證文件的雙方驗證模型水印方案

本文提出了一種基于認證文件的雙方驗證模型水印方案,如圖2所示,云端將版權(quán)標識字符串不可見地嵌入認證文件中,本地設(shè)備群使用認證文件參與模型訓練,使模型的性能與認證文件強相關(guān)。邊緣節(jié)點以歸一化層作為模型驗證的必要結(jié)構(gòu),通過檢測模型權(quán)重中嵌入的版權(quán)標識字符串與認證文件中的版權(quán)標識字符串的相似度來驗證模型版權(quán)。為了便于闡述,本文定義了用于表示方案中主要流程的元組V=(C,G,E,V,F),即認證文件生成過程C、模型簽名生成過程G、模型水印嵌入過程E、水印驗證過程V和保真度評估過程F。結(jié)合端-邊-云聯(lián)邦學習系統(tǒng)模型,方案3個部分的功能表示如下:

Figure 2 Dual-verification model watermarking scheme based on certification files

(1)云端:考慮到由本地設(shè)備群向邊緣節(jié)點發(fā)送認證文件可能會帶來額外的成本,以及增加邊緣節(jié)點處理認證文件的工作負擔,本文方案采用云端作為一個客觀公正的第三方,負責生成認證文件并將其發(fā)送至邊緣節(jié)點和本地設(shè)備群。這一方法確保了認證文件的一致性和可用性,同時維護了版權(quán)標識符信息的隱私性和完整性。

認證文件生成C:C(M,B,key)→{CF}。認證文件是達到雙方可驗證的必要條件。以云端作為客觀公正的第三方來完成認證文件生成。方案采用盲水印方法生成認證文件,其中,M為云端選取的一張載體圖像,通常為個人標識圖片或企業(yè)標識,B為需嵌入的版權(quán)標識字符串,key為AES加密過程所需的密鑰。認證文件CF的生成過程如圖3所示。圖3中,P為生成的認證文件圖像,h表示SHA-3哈希值。

Figure 3 Generation process of certification file

為了確保盲水印具有較高的隱蔽性、魯棒性和提取精度,本文方案對載體圖像進行了一次基于小波變換的盲水印嵌入,將版權(quán)標識符隱匿地嵌入到圖像中,得到盲水印嵌入圖像。隨后,本文方案采用AES加密來提升圖像的隱私性,同時引入SHA-3哈希驗證過程,以確保圖像的完整性得到有效保護。

認證文件生成后,云端將其發(fā)送至模型收發(fā)雙方,即邊緣節(jié)點和本地設(shè)備群。在邊緣節(jié)點和本地設(shè)備群完成AES解密與SHA-3完整性驗證后,認證文件將繼續(xù)參與后續(xù)工作流程,如圖4所示。本地設(shè)備群將認證文件輸入到DL模型架構(gòu),收集輸出的特征圖pi,其中i表示層數(shù),在后續(xù)使用訓練數(shù)據(jù)集進行訓練時,以特征圖作為每層的認證參數(shù)參與訓練。邊緣節(jié)點通過檢測模型權(quán)重中嵌入的版權(quán)標識字符串和認證文件中的版權(quán)標識字符串進行相似度對比來驗證模型版權(quán)。

Figure 4 Certification file participation process

(2)本地設(shè)備群:作為本地模型的發(fā)送方,本地設(shè)備群從邊緣節(jié)點下載公共模型,在訓練中添加一個額外的訓練目標來嵌入水印,且不影響模型的主任務功能。模型水印方案一般分為生成、嵌入、驗證和評估過程。方案采用了多任務學習方法,通過交替最小化2個目標來實現(xiàn)。首先,訓練致力于最小化主任務的損失;其次,同時尋求最小化組合損失函數(shù)的損失,即主任務損失和水印損失。

①模型簽名生成過程G:G(P,B,Lγ(·))→{s}。其中,s={s1,…,sk}為生成的k比特簽名字符串,Lγ(·)是與可訓練參數(shù)γ相關(guān)的水印損失函數(shù)。通過聯(lián)合主任務損失函數(shù)和式(1)所示的水印損失函數(shù)Lγ(·),使歸一化層的可訓練參數(shù)γ按照認證文件中B的二進制組成取指定的正或負號(1為“+”/0為“-”),從而以γ的符號形成一個獨特的簽名字符串s,來完成簽名生成過程。本文方案中所使用的水印損失函數(shù)Lγ(·)是在基于MSE的損失函數(shù)中添加了L2范數(shù)正則化項,δ0為控制參數(shù),δ為控制規(guī)模因子,α為設(shè)定常數(shù)。水印損失函數(shù)如式(1)所示:

Lγ(γ,P,s)=

(1)

過程1 水印損失計算偽代碼1.fori≤n do//對卷積結(jié)果進行平均池化2. γi←Average Pooling F(WC*Piγ);//使用激活函數(shù)對si的取值進行調(diào)整3. si←ReLU(δ0-γi*si)控制參數(shù)δ0=0.1,α=0.000014. Lr_loss +←α*si+δ*(γi)2;5.end for6.returnLr_loss

②水印嵌入過程E:E(D,s,N[·],L)→N[W,s]。其中,D是訓練數(shù)據(jù)集,L為聯(lián)合損失函數(shù),N[·]表示預訓練模型或模型架構(gòu),W為經(jīng)過訓練的模型權(quán)重。在模型簽名生成后,將以γ的符號形成的簽名字符串嵌入模型歸一化層權(quán)重,以形成模型水印。本文方案采用批歸一化對歸一化層的可訓練參數(shù)γ、β進行學習,如式(2)所示:

(2)

算法1 水印嵌入算法輸入:{WC,XC,Piγ,Piβ}。輸出:YC。1.fori≤n do2. γi←Average Pooling F(WC*Piγ);3. βi←Average Pooling F(WC*Piβ);//XC表示卷積層的輸入4. XiP←WC*XiC;//可訓練參數(shù)γ、β進行學習5. YiP←γi*O(XiP)+βi;6.end for7.return YiP

③水印驗證過程V:V(N[W,s],εV)={True,False}。其中,N[W,s]為給定模型,εV為檢測誤差閾值。水印驗證過程用于檢查給定的模型N[W,s]是否成功驗證了嵌入的簽名s。本文方案采用漢明距離來衡量二進制字符串的相似度,當相似度大于1-εV時,水印驗證返回True,表示驗證成功;否則,返回False,表示驗證失敗。

模型發(fā)送方,即本地設(shè)備群,擁有經(jīng)過訓練的模型,模型所有權(quán)將由認證文件自動驗證。

④保真度評估過程F:F(N[W,s],N[W],εF)={True,False}。其中,N[W,s]是嵌入水印的模型,N[W]是未嵌入水印的模型,εF是一個預定義的閾值。保真度評估過程用于評估嵌入水印的模型N[W,s]與未嵌入水印的模型N[W]之間的性能差異是否小于預定義的閾值εF。評估的判斷依據(jù)是通過計算2個模型的性能差的絕對值是否小于或等于閾值εF,即|N[W,s]-N[W]|≤εF。如果不等式成立,則表示通過了保真度評估。

本地設(shè)備群的保真度評估不僅考察了水印對模型性能的影響,也為邊緣節(jié)點進行保真度評估提供了協(xié)助。本地設(shè)備在完成保真度評估后,將包含發(fā)送方署名與模型性能表現(xiàn)的評估信息Z與模型N[W,s]一同發(fā)送至邊緣節(jié)點。

(3)邊緣節(jié)點:本文方案在邊緣節(jié)點設(shè)立了2道防線,以抵御搭便車攻擊和投毒攻擊,即水印驗證過程V和保真度評估過程F。搭便車攻擊指存在惡意攻擊者想從全局模型中獲益而又不想?yún)⑴c學習過程,主要分為基于前一輪模型與基于高斯噪聲2種類型。投毒攻擊主要指數(shù)據(jù)投毒,以破壞全局模型性能為目的。水印驗證過程V與保真度評估過程F對這2種攻擊都具有一定的防范作用。

①水印驗證過程V:V(N[W,s],P,εV)={True,False}。邊緣節(jié)點以歸一化層作為模型驗證的必要結(jié)構(gòu),取出歸一化層,模型可以繼續(xù)參加訓練而不影響性能,添加歸一化層,模型成功檢測嵌入的版權(quán)標識字符串,以驗證所有權(quán)。

模型的版權(quán)驗證通過檢測模型權(quán)重中嵌入的版權(quán)標識字符串B′與認證文件中的版權(quán)標識字符串B的相似度來進行。水印的驗證過程能夠很好地避免搭便車攻擊和部分投毒行為,沒有正確水印的模型將會首先被邊緣節(jié)點篩除。即使惡意用戶為模型嵌入了正確的水印,方案也可以通過后續(xù)保真度評估過程將性能不良的模型篩除,達到抵御攻擊的效果。

②保真度評估過程F:F(N[W,s],Z,εF)={True,False}。邊緣節(jié)點的保真度評估過程是抵御搭便車攻擊和投毒攻擊的最后防線。在進行水印驗證后,查驗發(fā)送方的評估信息,篩除來源不明、性能不良的模型,對搭便車攻擊和投毒攻擊都具有抵御效果。如果存在惡意用戶發(fā)送的模型既通過了水印驗證過程也通過了保真度評估過程,則本文認為惡意攻擊者的攻擊行為是不必要的。

4 實驗與結(jié)果分析

本節(jié)闡述了基于認證文件的雙方驗證模型水印方案的實驗與結(jié)果分析,以下簡稱為認證方案。本文實驗包括3方面考察:(1)認證方案在端-邊-云分層聯(lián)邦學習系統(tǒng)中應用的可行性考察,包括接收方模型所有權(quán)驗證并抵御搭便車行為和投毒攻擊的可行性,以及模型繼續(xù)訓練的可行性。(2)考察認證方案對抗刪除攻擊、抗歧義攻擊和抗翻轉(zhuǎn)攻擊的魯棒性。(3)考察引入基于MSE的水印損失函數(shù)對模型嵌入水印的速率影響。實驗的網(wǎng)絡(luò)包括AlexNet和ResNet-18,使用3個公共數(shù)據(jù)集Cifar10、Cifar100和ImageNet2012。

4.1 可行性

本文實驗將從2方面對認證方案在端-邊-云分層聯(lián)邦學習系統(tǒng)的可行性進行考察。其一考察邊緣節(jié)點上接收的模型繼續(xù)參加訓練的可行性;其二考察邊緣節(jié)點對模型進行所有權(quán)驗證以及抵御搭便車行為和投毒攻擊的可行性,包括模型水印的提取正確率及模型性能評估。

4.1.1 接收方模型繼續(xù)訓練可行性

在端-邊-云分層聯(lián)邦學習系統(tǒng)中,邊緣節(jié)點作為服務器通過聚合本地模型更新來學習公共模型。為了考察模型在邊緣節(jié)點上是否能滿足繼續(xù)參與模型聚合的需求,本文對后續(xù)公共模型的性能進行了考察。在不同本地設(shè)備數(shù)量下考察公共模型的主任務精確度,以FedAvg作為聚合算法[23],以未嵌入水印的模型聚合為基線(括號內(nèi)為基線),實驗結(jié)果如表1所示。公共模型性能依然可用,與基線性能相比較,模型性能僅僅下降2%以內(nèi),表明本文方案不影響模型繼續(xù)參與聯(lián)邦學習訓練。這是因為模型的推理與水印嵌入的結(jié)構(gòu)并不關(guān)聯(lián),取出模型中與嵌入水印相關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)(即嵌入了水印的歸一化層),模型依然可以獲得良好的推理性能。

Table 1 Average main tasks accuracy of common models

4.1.2 接收方模型抵御攻擊可行性

當對接收到的模型的可信度存在疑慮時,有必要讓接收方對模型進行驗證。本文方案為接收方增加模型的所有權(quán)驗證和保真度評估過程,有助于抵御搭便車行為,即惡意參與者不提供任何貢獻而獲取資源;也有助于抵抗投毒攻擊,防止公共模型被惡意污染,導致模型性能下降。

實驗考察了邊緣節(jié)點將歸一化層添加到模型中后,模型水印的提取正確率,以及對比認證文件中提取的版權(quán)標識字符串二進制相似度。實驗結(jié)果如表2所示,結(jié)果表明模型的水印提取正確率與對比相似度均高達100%,模型的水印可驗證性依然良好,有助于邊緣節(jié)點對模型進行篩選。

Table 2 Extraction correct rate and contrast similarity of model watermarks

在此基礎(chǔ)上,本文實驗對搭便車行為和投毒攻擊行為進行了模型性能對比和水印提取正確率檢測,實驗結(jié)果如表3和表4所示。將搭便車攻擊記為FA(Free-riding Attack),FA1表示無數(shù)據(jù)搭便車的攻擊行為,FA2表示使用之前模型進行搭便車的行為,投毒攻擊行為記為PA(Poisoning Attack),基于對方法的魯棒性分析,實驗將水印驗證過程V中水印正確提取率的誤差閾值設(shè)置為εV=0.05,保真度評估過程F中性能差閾值設(shè)置為εF=0.05。

Table 3 Resisting free-riding behavior表3 抗搭便車行為

Table 4 Resisting poisoning attack

對于FA1,通常不涉及對模型本身的修改或植入,而是攻擊者試圖獲取已部署模型的性能和功能,而不提供有效或真實的數(shù)據(jù),FA1無法通過邊緣節(jié)點的水印驗證過程。對于FA2,使用隨機認證文件訓練本地模型作為惡意模型,邊緣節(jié)點對此類模型的水印提取正確率取決于訓練中認證文件的相似度,因此具有極大的隨機性,當設(shè)置每一輪認證文件使其相似度遠低于檢測誤差閾值時,邊緣節(jié)點能夠?qū)@類搭便車攻擊進行有效防御。

本文實驗采用惡意數(shù)據(jù)對本地模型進行投毒攻擊,修改訓練數(shù)據(jù)標簽使其取隨機值,并設(shè)置修改比例為u=0.1和u=0.2這2種情況,其主任務精確度量化如表4所示,被投毒模型與正常模型的性能差絕對值大于閾值,無法通過方案的保真度評估過程。

4.2 魯棒性

認證方案不僅是為了幫助接收方驗證模型所有權(quán),也是為了保護模型版權(quán)。因此,水印的魯棒性考察十分必要。在本文實驗中,將對本地設(shè)備經(jīng)過訓練的模型從刪除攻擊、歧義攻擊和翻轉(zhuǎn)攻擊3方面進行魯棒性考察。

4.2.1 抗刪除攻擊

刪除攻擊是指對模型水印進行刪除,使所有權(quán)驗證無法進行。刪除攻擊包括剪枝攻擊和微調(diào)。

剪枝攻擊的目的是在不影響模型推理性能的情況下,減少冗余參數(shù),降低網(wǎng)絡(luò)復雜度,從而提高網(wǎng)絡(luò)泛化能力,并防止過擬合。攻擊者也可以使用模型剪枝來破壞模型嵌入的水印,使模型的所有權(quán)驗證受到影響。本文采用類盲修剪方案,在不同剪枝率的情況下測試方案中的水印提取正確率,并對剪枝后的模型進行主任務保真度評估。實驗結(jié)果如表5所示,括號內(nèi)為水印提取正確率,括號外為主任務精確度,以ResNet-18為例,在剪枝率60%的情況下,水印提取正確率均保持在90%以上,能夠較好地抵抗剪枝攻擊。

Table 5 Resisting pruning attack

微調(diào)是指將預訓練好的模型在其他數(shù)據(jù)集上進行使用。本文實驗采用重新訓練最后一層的微調(diào)方法,分別對2種模型在不同數(shù)據(jù)集中微調(diào)后水印的提取正確率進行考察。實驗證明,即使在新任務對模型進行微調(diào)后,水印的提取正確率依然很高,能夠提供所有權(quán)驗證。表6為增加實驗對比之后的結(jié)果,實驗使用新數(shù)據(jù)集Caltech-101對模型進行微調(diào),水印的提取正確率依然為100%。推測水印對抗刪除攻擊的良好魯棒性來源于水印的嵌入位置,即可訓練參數(shù)γ中,若可訓練參數(shù)γ值降低到0,輸出值也將接近于0。

Table 6 Comparison of watermark extraction correct rate after fine tuning

4.2.2 抗歧義攻擊

歧義攻擊是指攻擊者使用偽造的認證文件圖像對模型進行攻擊,分為隨機攻擊和逆向工程攻擊。隨機攻擊是指認證文件圖像是隨機獲得的;逆向工程攻擊是指假設(shè)對手可以訪問原始數(shù)據(jù)集,并試圖通過固定模型權(quán)重,逆向工程獲得認證文件圖像,并使用其對模型進行攻擊。

水印抗歧義攻擊結(jié)果如圖5所示,縱軸表示主任務精確度,橫軸表示攻擊輪次。以AlexNet為例,對于隨機攻擊偽造的認證文件圖像,模型具有較好的魯棒性,在50次攻擊中,模型的性能均不佳,即便使用逆向工程偽造的認證文件圖像,模型的主任務精確度也不超過70%。在Cifar10訓練集下,逆向工程攻擊使主任務精確度下降33%,模型性能下降到不可用的地步。在Cifar100訓練集下,對比主任務原始精確度(基線)下降30%,模型性能仍不可用。因此,模型水印對歧義攻擊具有魯棒性。推測模型水印抗歧義攻擊的良好魯棒性來源于可訓練參數(shù)與模型權(quán)重的強依賴性,當認證參數(shù)發(fā)生變化,可訓練參數(shù)γ也發(fā)生變化,導致模型的推理結(jié)果發(fā)生極大改變。

Figure 5 Experimental comparison results of resist ambiguous attack

Figure 6 Experimental comparison results of resist flipping attack

4.2.3 抗翻轉(zhuǎn)攻擊

由于模型水印的嵌入位置在歸一化層的可訓練參數(shù)γ的符號中,因此針對可訓練參數(shù)γ的符號進行翻轉(zhuǎn),以達到攻擊模型水印的效果。在實驗中,通過隨機翻轉(zhuǎn)可訓練參數(shù)的符號來模擬隨機攻擊,分別對翻轉(zhuǎn)10%～100%可訓練參數(shù)符號進行實驗,并對模型進行保真度評估。抗翻轉(zhuǎn)攻擊實驗對比結(jié)果如圖6所示,橫軸表示翻轉(zhuǎn)符號百分比,縱軸表示主任務精確度。在符號翻轉(zhuǎn)40%的情況下,模型主任務精確度下降到20%以下,此時模型性能不可用,達到模型版權(quán)保護的目的。因此,本文方案抗翻轉(zhuǎn)攻擊效果良好。

4.3 速率改進

在模型的水印嵌入工作中,水印損失函數(shù)應該與模型的主要任務無關(guān),以避免對模型性能造成不必要的干擾。因此,本文方案引入了基于MSE的水印損失函數(shù)并添加L2范數(shù)正則化項以預防過擬合,使模型水印信息被嵌入到模型參數(shù)中,而不干擾模型的正常任務學習。

基于MSE的水印損失函數(shù)具有連續(xù)、處處可導的優(yōu)點,配合使用梯度下降算法,有利于快速收斂,有效地找到最優(yōu)解。對比原文獻[4]方案中所采用的損失函數(shù),本文方案所引入的模型水印損失函數(shù)有明確的全局最小值,不存在多個局部最小值問題,因此更利于任務迅速找到最優(yōu)解,推測方案改進后的精度提升也源于此。其次,MSE損失的計算僅涉及平方差和平均值,而原文獻[4]方案所采用損失函數(shù)涉及到了非線性部分,因此在同樣硬件和算法的條件下,使用MSE損失使得模型水印嵌入的速率得到提升。

通過實驗對比,記錄每一輪訓練與測試的起始時間,可以由時間差體現(xiàn)引入的模型水印損失函數(shù)對比原文獻[6]方案帶來的速率提升。從表7中可知,對比原文獻[6]方案中所采用的模型水印損失函數(shù),認證方案在保持模型水印的提取正確率不變,主任務精確度上升約3%～8%(AlexNet)和6%～12%(ResNet-18)的情況下,對于每輪次的平均訓練時長縮短約40%,測試時長縮短約20%～40%。認證方案幾乎不影響主任務精確度和水印提取正確率,并訓練速度獲得極大的提升。

Table 7 Comparison of average rate improvement

5 結(jié)束語

為了在端-邊-云分層聯(lián)邦學習系統(tǒng)中保護模型版權(quán),并為模型收發(fā)雙方的模型版權(quán)驗證工作提供幫助,本文提出了一種基于認證文件的雙方驗證模型水印方案。通過實驗驗證了本文方案水印的良好可驗證性以及抵御搭便車行為、投毒攻擊的可行性;并分析驗證了本文方案水印不影響模型繼續(xù)參與接收端的模型訓練;大量的實驗驗證了本文方案水印的魯棒性以及速率改進的優(yōu)勢。