基于纹理触发器和私有类的遥感场景分类模型水印算法

1

作者 陈玮彤 唐伟 +2 位作者 朱长青 刘纪平 王勇 《地理与地理信息科学》 北大核心 2025年第3期1-9,共9页

提出一种基于纹理触发器和私有类的遥感场景分类模型水印算法,以实现对遥感分类模型的版权保护。首先基于DCGAN和卷积神经网络构建纹理生成器,结合随机图形算法构建具有唯一性的纹理水印触发器,同时从训练集中随机选择样本嵌入触发器,... 提出一种基于纹理触发器和私有类的遥感场景分类模型水印算法,以实现对遥感分类模型的版权保护。首先基于DCGAN和卷积神经网络构建纹理生成器,结合随机图形算法构建具有唯一性的纹理水印触发器,同时从训练集中随机选择样本嵌入触发器,构建独立的水印数据集;在水印嵌入阶段,在模型输出层额外增加一个水印类,并使用训练集和水印数据集共同训练,训练完成后删除并保存输出层水印类的参数作为私有密钥,获得嵌入水印后的模型;在水印验证阶段,在待验证模型中添加私有水印类参数,并使用含触发器的样本进行预测,当预测准确率大于设定阈值则认为水印验证成功。实验结果表明:该算法构建的纹理水印触发器具有唯一性,算法对模型量化攻击、微调攻击和剪枝攻击均具有良好的鲁棒性。 展开更多

关键词 版权保护 黑盒模型水印 水印触发器 水印类 遥感场景分类模型

在线阅读 下载PDF 职称材料

基于后门的鲁棒后向模型水印方法 被引量：2

2

作者 曾嘉忻 张卫明 张荣 《计算机工程》 CAS CSCD 北大核心 2024年第2期132-139,共8页

深度学习模型的训练成本高,但窃取成本低,容易被复制并扩散。模型的版权拥有者可以利用后门等方式在模型中嵌入水印,通过验证水印来证明模型版权。根据水印嵌入阶段的不同,模型水印又可分为前向模型水印和后向模型水印,前向模型水印在... 深度学习模型的训练成本高,但窃取成本低,容易被复制并扩散。模型的版权拥有者可以利用后门等方式在模型中嵌入水印,通过验证水印来证明模型版权。根据水印嵌入阶段的不同,模型水印又可分为前向模型水印和后向模型水印,前向模型水印在模型训练之初就嵌入水印,而后向模型水印的嵌入发生在模型原始任务训练完成后,计算量小,更为灵活。但是已有的后向模型水印方法鲁棒性较弱,不能抵抗微调、剪枝等水印擦除攻击。分析后向模型水印鲁棒性弱于前向模型水印的原因,在此基础上,提出一种通用的鲁棒后向模型水印方法,在水印嵌入时引入对模型中间层特征和模型输出的约束,减小水印任务对原始任务的影响,增强后向模型水印的鲁棒性。在CIFAR-10、CALTECH-101、GTSRB等数据集上的实验结果表明,该方法能有效提升后向模型水印在微调攻击下的鲁棒性,CIFAR-10数据集实验中的最优约束设置与后向模型水印基线相比,水印验证成功率平均提升24.2个百分点,同时,该方法也提升了后向模型水印在剪枝等攻击下的鲁棒性。 展开更多

关键词 深度学习模型 模型版权保护 模型水印 后门 鲁棒性

在线阅读 下载PDF 职称材料

基于模型水印的联邦学习后门攻击防御方法 被引量：3

3

作者 郭晶晶 刘玖樽 +5 位作者 马勇 刘志全 熊宇鹏 苗可 李佳星 马建峰 《计算机学报》 EI CAS CSCD 北大核心 2024年第3期662-676,共15页

联邦学习作为一种隐私保护的分布式机器学习方法,容易遭受参与方的投毒攻击,其中后门投毒攻击的高隐蔽性使得对其进行防御的难度更大.现有的多数针对后门投毒攻击的防御方案对服务器或者恶意参与方数量有着严格约束(服务器需拥有干净的... 联邦学习作为一种隐私保护的分布式机器学习方法,容易遭受参与方的投毒攻击,其中后门投毒攻击的高隐蔽性使得对其进行防御的难度更大.现有的多数针对后门投毒攻击的防御方案对服务器或者恶意参与方数量有着严格约束(服务器需拥有干净的根数据集,恶意参与方比例小于50%,投毒攻击不能在学习初期发起等).在约束条件无法满足时,这些方案的效果往往会大打折扣.针对这一问题,本文提出了一种基于模型水印的联邦学习后门攻击防御方法.在该方法中,服务器预先在初始全局模型中嵌入水印,在后续学习过程中,通过验证该水印是否在参与方生成的本地模型中被破坏来实现恶意参与方的检测.在模型聚合阶段,恶意参与方的本地模型将被丢弃,从而提高全局模型的鲁棒性.为了验证该方案的有效性,本文进行了一系列的仿真实验.实验结果表明该方案可以在恶意参与方比例不受限制、参与方数据分布不受限制、参与方发动攻击时间不受限制的联邦学习场景中有效检测恶意参与方发起的后门投毒攻击.同时,该方案的恶意参与方检测效率相比于现有的投毒攻击防御方法提高了45%以上. 展开更多

关键词 联邦学习 投毒攻击 后门攻击 异常检测 模型水印

在线阅读 下载PDF 职称材料

基于同态加密和模型水印的安全可信联邦学习

4

作者 黄慧杰 季鑫慧 +3 位作者 白锐 左毅 刘梦杰 陈珍萍 《计算机工程与设计》 北大核心 2024年第9期2591-2598,共8页

为防止联邦学习客户端共享的中间参数泄露,同时保证服务器与客户端的可信性,提出一种结合同态加密和模型水印的联邦学习框架。将Paillier加密技术运用到模型参数的安全聚合中,对参数聚合时的加法同态性进行证明,为提高加密效率在加密前... 为防止联邦学习客户端共享的中间参数泄露,同时保证服务器与客户端的可信性,提出一种结合同态加密和模型水印的联邦学习框架。将Paillier加密技术运用到模型参数的安全聚合中,对参数聚合时的加法同态性进行证明,为提高加密效率在加密前将模型参数进行量化处理;将模型水印技术拓展到安全联邦学习中,利用投影矩阵和正则化函数构建模型水印,将水印模型进行聚合。在MNIST和CIFAR10数据集上的实验验证了提出方法的有效性,提高模型参数加密效率,保证模型的版权。 展开更多

关键词 联邦学习 安全可信 参数量化 模型聚合 同态加密 投影矩阵 模型水印

在线阅读 下载PDF 职称材料

基于注意力机制和护照层嵌入的图像处理模型水印方法

5

作者 陈先意 周浩 +1 位作者 刘腾骏 闫雷鸣 《信息安全研究》 CSCD 北大核心 2024年第9期849-855,共7页

随着深度神经网络在人工智能领域的广泛应用,深度神经网络的版权保护受到广泛关注.然而,到目前为止模型版权保护的方法大多集中在检测或分类任务上,难以直接应用于图像处理网络.为此,提出一种结合注意力机制和护照层嵌入的图像处理模型... 随着深度神经网络在人工智能领域的广泛应用,深度神经网络的版权保护受到广泛关注.然而,到目前为止模型版权保护的方法大多集中在检测或分类任务上,难以直接应用于图像处理网络.为此,提出一种结合注意力机制和护照层嵌入的图像处理模型版权保护框架.首先通过在水印嵌入网络中使用通道和空间注意力网络定位图像中人眼不敏感区域,提高水印的鲁棒性和不可感知性.其次在目标模型的卷积层后插入护照层水印提高抵御混淆攻击的能力,最后结合结构一致性、护照层因子等设计组合损失引导模型收敛方向.超分辨率模型SRGAN和语义分割模型CycleGAN上的实验结果表明,该方法的水印提取率超过98%,并对代理攻击和混淆攻击具有较好的鲁棒性. 展开更多

关键词 深度学习 模型水印 版权保护 注意力机制 护照层

在线阅读 下载PDF 职称材料

三维网格模型水印自适应调节算法 被引量：2

6

作者 徐涛 卢剑伟 《计算机工程》 CAS CSCD 2012年第3期113-115,共3页

为提高三维网格模型嵌入水印的透明性,提出一种基于模型局部几何特征的自适应水印强度调节算法。将网格模型分割为若干局部区域,根据各区域内几何数据的波动情况对水印嵌入强度进行调节。几何误差和视觉失真误差评价结果表明,与非自适... 为提高三维网格模型嵌入水印的透明性,提出一种基于模型局部几何特征的自适应水印强度调节算法。将网格模型分割为若干局部区域,根据各区域内几何数据的波动情况对水印嵌入强度进行调节。几何误差和视觉失真误差评价结果表明,与非自适应嵌入方法相比,该方法嵌入的水印透明性较高。 展开更多

关键词 网格模型水印 透明性 水印强度 自适应嵌入 样本方差 局部区域

在线阅读 下载PDF 职称材料

基于ICA的数字模型水印研究 被引量：1

7

作者 任平 《计算机应用与软件》 CSCD 2009年第3期277-279,共3页

提出一种基于独立分量分析ICA(Independent Component Analysis)的数字模型水印方法。嵌入水印时,对原始模型文件进行一级小波分解,在分解得到的逼近分量中利用随机混合方法嵌入水印后进行小波逆变换形成嵌入水印的模型文件。提取水印时... 提出一种基于独立分量分析ICA(Independent Component Analysis)的数字模型水印方法。嵌入水印时,对原始模型文件进行一级小波分解,在分解得到的逼近分量中利用随机混合方法嵌入水印后进行小波逆变换形成嵌入水印的模型文件。提取水印时,对模型文件进行一级小波分解,用基于最大峰值的ICA方法进行水印提取。仿真实验结果表明这种方法的强鲁棒性和可行性。这种方法可有效地保护模型的版权。 展开更多

关键词 数字模型水印 独立分量分析 离散小波变换

在线阅读 下载PDF 职称材料

人工智能模型水印研究综述 被引量：7

8

作者 谢宸琪 张保稳 易平 《计算机科学》 CSCD 北大核心 2021年第7期9-16,共8页

近年来人工智能迅速发展,被用于语音、图像等多种领域,并取得了显著效果。然而,这些训练好的人工智能模型非常容易被复制并扩散,因此,为了保护模型的知识产权,关于模型版权保护的一系列算法或技术应运而生,其中一种就是模型水印技术。... 近年来人工智能迅速发展,被用于语音、图像等多种领域,并取得了显著效果。然而,这些训练好的人工智能模型非常容易被复制并扩散,因此,为了保护模型的知识产权,关于模型版权保护的一系列算法或技术应运而生,其中一种就是模型水印技术。通过模型水印技术,向人工智能模型植入水印,一旦模型被窃取,可以通过验证水印来证明自己的版权所有权,维护自己的知识产权,从而达到保护模型的作用。该类技术在近年来成为了一大热点,但目前尚未形成较为统一的框架。为了更好地理解,总结了现阶段模型水印的研究成果,论述了当前主流的模型水印算法,分析了模型水印研究方向的研究进展,还复现了其中几种典型算法并进行了比较,最后提出了未来可能的研究方向。 展开更多

关键词 模型水印 人工智能安全 信息冗余 算法流程 算法性能比较

在线阅读 下载PDF 职称材料

基于水印技术的深度神经网络模型知识产权保护

9

作者 金彪 林翔 +3 位作者 熊金波 尤玮婧 李璇 姚志强 《计算机研究与发展》 EI CSCD 北大核心 2024年第10期2587-2606,共20页

构造一个优秀的深度神经网络(deep neural network,DNN)模型需要大量的训练数据、高性能设备以及专家智慧.DNN模型理应被视为模型所有者的知识产权(intellectual property,IP).保护DNN模型的知识产权也体现了对作为构建和训练该模型的... 构造一个优秀的深度神经网络(deep neural network,DNN)模型需要大量的训练数据、高性能设备以及专家智慧.DNN模型理应被视为模型所有者的知识产权(intellectual property,IP).保护DNN模型的知识产权也体现了对作为构建和训练该模型的数据要素价值的珍视.然而,DNN模型容易受到恶意用户的盗取、篡改和非法传播等攻击,如何有效保护其知识产权已成为学术研究的前沿热点与产业亟需攻克的难题.不同于现有相关综述,聚焦DNN模型水印的应用场景,从用于模型版权声明的鲁棒模型水印和用于模型完整性验证的脆弱模型水印2个维度出发,着重评述基于水印技术的DNN模型知识产权保护方法,探讨不同方法的特点、优势及局限性.同时,详细阐述DNN模型水印技术的实际应用情况.最后,在提炼各类方法共性技术的基础上,展望DNN模型知识产权保护的未来研究方向. 展开更多

关键词 深度神经网络 知识产权 数据要素 鲁棒模型水印 脆弱模型水印

在线阅读 下载PDF 职称材料

基于模型后门的联邦学习水印 被引量：4

10

作者 李璇 邓天鹏 +2 位作者 熊金波 金彪 林劼 《软件学报》 EI CSCD 北大核心 2024年第7期3454-3468,共15页

高精度联邦学习模型的训练需要消耗大量的用户本地资源,参与训练的用户能够通过私自出售联合训练的模型获得非法收益.为实现联邦学习模型的产权保护,利用深度学习后门技术不影响主任务精度而仅对少量触发集样本造成误分类的特征,构建一... 高精度联邦学习模型的训练需要消耗大量的用户本地资源,参与训练的用户能够通过私自出售联合训练的模型获得非法收益.为实现联邦学习模型的产权保护,利用深度学习后门技术不影响主任务精度而仅对少量触发集样本造成误分类的特征,构建一种基于模型后门的联邦学习水印(federated learning watermark based on backdoor,FLWB)方案,能够允许各参与训练的用户在其本地模型中分别嵌入私有水印,再通过云端的模型聚合操作将私有后门水印映射到全局模型作为联邦学习的全局水印.之后提出分步训练方法增强各私有后门水印在全局模型的表达效果,使得FLWB方案能够在不影响全局模型精度的前提下容纳各参与用户的私有水印.理论分析证明了FLWB方案的安全性,实验验证分步训练方法能够让全局模型在仅造成1%主任务精度损失的情况下有效容纳参与训练用户的私有水印.最后,采用模型压缩攻击和模型微调攻击对FLWB方案进行攻击测试,其结果表明FLWB方案在模型压缩到30%时仍能保留80%以上的水印,在4种不同的微调攻击下能保留90%以上的水印,具有很好的鲁棒性. 展开更多

关键词 联邦学习 产权保护 模型水印 后门任务 模型聚合

在线阅读 下载PDF 职称材料

一种新型深度分类神经网络黑盒指纹水印算法

11

作者 莫谋科 王春桃 +1 位作者 郭庆文 边山 《应用科学学报》 CAS CSCD 北大核心 2024年第3期486-498,共13页

提出了一种新型的强鲁棒黑盒指纹水印框架及方法。首先,提出了一种基于数字水印技术的高视觉质量的、具有一定安全性的毒化图像构造方法,将指示用户身份的信息嵌入到毒化图像,实现多用户场景下深度神经网络模型的可追溯性,并降低毒化图... 提出了一种新型的强鲁棒黑盒指纹水印框架及方法。首先,提出了一种基于数字水印技术的高视觉质量的、具有一定安全性的毒化图像构造方法,将指示用户身份的信息嵌入到毒化图像,实现多用户场景下深度神经网络模型的可追溯性,并降低毒化图像被伪造的概率;其次,提出了毒化特征加强模块来优化模型训练;最后,设计了对抗训练策略,有效地学习到嵌入强度很小的指纹水印。大量的仿真实验表明,所构造的毒化图像中的指纹水印具有非常好的隐蔽性,大幅超越了WaNet等同类最优模型水印方法;以分类性能降低不超过2.4%的代价获得了超过99%的黑盒模型指纹水印验证率;且即便在指纹水印相差1位时亦能准确地进行模型水印版权验证。这些性能总体上优于同类最优的模型水印方法,表明了所提方法的可行性和有效性。 展开更多

关键词 黑盒模型水印 分类模型 毒化图像 指纹水印 鲁棒性

在线阅读 下载PDF 职称材料

图像数字水印的模型及理论基础

12

作者 尹德辉 李炳法 +1 位作者 唐楷泉 汪小东 《武汉科技大学学报》 CAS 2005年第4期378-380,共3页

在研究数字水印嵌入和提取算法的基础上,提出了数字水印的理论模型,在此模型的基础上,提出了临界融合的概念,以最大限度地提高水印算法的质量。

关键词 水印模型 图像融合 临界融合

在线阅读 下载PDF 职称材料

双水印模型在医疗信息管理中的应用 被引量：4

13

作者 王远朋 陈健美 《计算机应用与软件》 CSCD 2015年第1期289-293,共5页

大量医疗信息的产生不仅造成存储这些信息的空间不断增大,对传输成本和传输的安全性也带来了巨大的挑战。为了提高医疗信息的有效性、传输过程的安全性,以及提高信息存储容量,提出利用块加编码和非下采样Contourlet变换(NSCT)的双水印模... 大量医疗信息的产生不仅造成存储这些信息的空间不断增大,对传输成本和传输的安全性也带来了巨大的挑战。为了提高医疗信息的有效性、传输过程的安全性,以及提高信息存储容量,提出利用块加编码和非下采样Contourlet变换(NSCT)的双水印模型,通过三层安全机制,实现医疗信息保护。首先把病人的信息嵌入此病人的指纹图像中,然后把指纹图像嵌入病人医学图像之中;其次通过设计块加编码,解决文本字符的编码问题;最后注册密钥机制,来提高医疗信息的安全。实验结果表明此方案提高了水印的鲁棒性和增强医疗信息的安全。 展开更多

关键词 医疗信息 双水印模型 块加编码 NSCT 指纹图像

在线阅读 下载PDF 职称材料

基于差分隐私的深度伪造指纹检测模型版权保护算法 被引量：5

14

作者 袁程胜 郭强 付章杰 《通信学报》 EI CSCD 北大核心 2022年第9期181-193,共13页

提出了一种基于差分隐私的深度伪造指纹检测模型版权保护算法,在不削弱原始任务性能的同时,实现了深度伪造指纹检测模型版权的主动保护和被动验证。在原始任务训练时,通过添加噪声以引入随机性,利用差分隐私算法的期望稳定性进行分类决... 提出了一种基于差分隐私的深度伪造指纹检测模型版权保护算法,在不削弱原始任务性能的同时,实现了深度伪造指纹检测模型版权的主动保护和被动验证。在原始任务训练时,通过添加噪声以引入随机性,利用差分隐私算法的期望稳定性进行分类决策,以削弱对噪声的敏感。在被动验证中,利用FGSM生成对抗样本,通过微调决策边界以建立后门,将后门映射关系作为植入水印实现被动验证。为了解决多后门造成的版权混淆,设计了一种水印验证框架,对触发后门加盖时间戳,借助时间顺序来鉴别版权。在主动保护中,为了给用户提供分等级的服务,通过概率选择策略冻结任务中的关键性神经元,设计访问权限实现神经元的解冻,以获得原始任务的使用权。实验结果表明,不同模型性能下的后门验证依然有效,嵌入的后门对模型修改表现出稳健性。此外,所提算法不但能抵挡攻击者策反合法用户实施的合谋攻击,而且能抵挡模型修改发动的微调、压缩等攻击。 展开更多

关键词 版权保护 对抗样本 差分隐私 模型水印 伪造指纹检测

在线阅读 下载PDF 职称材料

图像数字水印的容量分析与计算 被引量：1

15

作者 晏燕 张秋余 《兰州理工大学学报》 CAS 北大核心 2006年第5期96-99,共4页

在借鉴传统通信模型的基础上提出了图像数字水印系统的通信模型,从信息论的角度分析并验证了水印系统的信道容量,提出了图像水印容量的简易计算方法,并通过实验证明了该方法的有效性和可行性.

关键词 数字水印 水印通信模型 信道容量 水印容量

在线阅读 下载PDF 职称材料

基于表面粗糙度的三维模型质量评价研究 被引量：5

16

作者 杨斌 李晓强 +1 位作者 李伟 丁广太 《计算机科学》 CSCD 北大核心 2011年第1期276-278,285,共4页

数字水印的嵌入会引起三维模型数据的失真,正确评价含水印三维模型的质量可以为三维水印算法的测评提供统一标准。提出了一种新的三维模型质量的评价方法,它首先利用网格模型中二面角为基本度量单位计算出整个原始三维模型的粗糙度,然... 数字水印的嵌入会引起三维模型数据的失真,正确评价含水印三维模型的质量可以为三维水印算法的测评提供统一标准。提出了一种新的三维模型质量的评价方法,它首先利用网格模型中二面角为基本度量单位计算出整个原始三维模型的粗糙度,然后在嵌入水印以后用同样的方法计算出含水印三维模型的粗糙度,最后得到嵌入水印前后粗糙度的增量,并将其作为水印嵌入对三维模型造成的失真度的度量。大量实验结果表明,相比传统的质量评价方法,该方法更加适用于三维网格模型。该质量评价方法还可用于评价各种水印攻击对含水印三维模型造成损害的程度。 展开更多

关键词 三维模型数字水印 粗糙度 三维网格 水印算法

在线阅读 下载PDF 职称材料

基于残差学习的新型不可感知水印攻击方法 被引量：1

17

作者 李琦 王春鹏 +4 位作者 王晓雨 李健 夏之秋 高锁 马宾 《软件学报》 EI CSCD 北大核心 2023年第9期4351-4361,共11页

传统的水印攻击方法虽然能够干扰水印信息的正确提取,但同时会对含水印图像的视觉质量造成较大损失,为此提出了一种基于残差学习的新型不可感知水印攻击方法.首先,通过构建基于卷积神经网络的水印攻击模型,在含水印图像和无水印图像之... 传统的水印攻击方法虽然能够干扰水印信息的正确提取,但同时会对含水印图像的视觉质量造成较大损失,为此提出了一种基于残差学习的新型不可感知水印攻击方法.首先,通过构建基于卷积神经网络的水印攻击模型,在含水印图像和无水印图像之间进行端到端非线性学习,完成含水印图像映射到无水印图像的任务,达到水印攻击的目的;其次,根据水印信息的嵌入区域选择合适数目的特征提取块以提取含水印信息的特征图.鉴于含水印图像和无水印图像之间的差异过小,水印攻击模型在训练过程中的可学习性受到限制,导致模型很难收敛.引入残差学习机制来提升水印攻击模型的收敛速度和学习能力,通过减少残差图像(含水印图像和提取的特征图像做差)与无水印图像之间的差异来提升被攻击图像的不可感知性.此外,还根据DIV2K2017超分辨率数据集以及所攻击的基于四元数指数矩的鲁棒彩色图像水印算法构建了训练水印攻击模型的数据集.实验结果表明该水印攻击模型能够在不破坏含水印图像视觉质量的前提下以高误码率实现对鲁棒水印算法的攻击. 展开更多

关键词 残差学习 不可感知 卷积神经网络 水印攻击模型 鲁棒水印算法

在线阅读 下载PDF 职称材料